(1).發送日志的服務器(被收集)
|
1
2
3
4
5
|
[root@xuexi ~]# vim /etc/rsyslog.conf
//在#*.* @@remote-host:514行下添加一行
*.* @@192.168.1.222:514
//@@表示使用TCP協議,@表示使用UDP協議
[root@xuexi ~]# systemctl restart rsyslog.service
|
(2).接收日志的服務器(收集端)
|
1
2
3
4
5
6
7
8
9
10
11
|
[root@xuexi ~]$ vim /etc/rsyslog.conf
//將以下兩行的注釋符去除
#$ModLoad imtcp
#$InputTCPServerRun 514
[root@xuexi ~]# setenforce 0
//臨時關閉SELinux
[root@xuexi ~]# systemctl stop firewalld.service
//臨時關閉防火牆
[root@xuexi ~]# systemctl restart rsyslog.service
//重啟服務
[root@xuexi ~]# netstat -anlpt | grep 514
//查看是否開啟
tcp 0 0 0.0.0.0:514 0.0.0.0:* LISTEN 9708/rsyslogd
tcp6 0 0 :::514 :::* LISTEN 9708/rsyslogd
|
注意:收集端需要關閉SELinux和防火牆。
當被收集端產生日志時,就可以看到接收到的日志了,接收的日志和原來的日志位置一樣,不過可以后期定制(local0~local7)
|
1
2
3
4
5
|
[root@xuexi ~]# tail -f /
var
/log/messages | grep CentOS6
Feb 15 00:56:12 CentOS6 kernel: Kernel logging (proc) stopped.
Feb 15 00:56:12 CentOS6 rsyslogd: [origin software=
"rsyslogd"
swVersion=
"5.8.10"
x-pid=
"2826"
x-info=
"http://www.rsyslog.com"
] exiting
on
signal 15.
Feb 15 00:56:12 CentOS6 kernel: imklog 5.8.10, log source = /proc/kmsg started.
Feb 15 00:56:12 CentOS6 rsyslogd: [origin software=
"rsyslogd"
swVersion=
"5.8.10"
x-pid=
"2859"
x-info=
"http://www.rsyslog.com"
] start
|
(3).其他需要根據各自使用的日志整理軟件配置了,前面應該都是一樣的。