一、 下載安裝
通過https://www.rsyslog.com/windows-agent/windows-agent-download/下載客戶端后,按照默認安裝完成后即進行配置。
二、 服務器測試
點擊Tools>Syslog Test Message,填寫Syslog Server 服務器地址,Syslog Port端口(一般默認為UDP協議),然后點擊Send往日志服務器發送一條驗證消息,如果服務器能收到表示通信正常可以收發日志。
三、 客戶端配置
3.1 轉發服務設置
進入Rule>Default RuleSet>ForwardRsyslog>Actions>Rsyslog。其中Syslog Target Options 中配置好日志服務器地址
Syslog Message Options 中配置好日志格式和編碼
3.2 系統日志類型選擇
進入Services>Event Log Monitor V2 >Event Channel選擇需要發送到日志服務器的事件日志類型。一般登錄信息之類的包含在Security中。
3.3 日志過濾
默認的日志包含了較多我們不需要的信息,會導致日志服務器的日志記錄增長非常快,也干擾日志查找。通過Rule>Default RuleSet>ForwardRsyslog>Filters可以很好的進行過濾。
這一部分需要自行進行測試,一般通過message進行關鍵字過濾就可以達到很好的效果。完成這一步驟基本就完成全部配置了。
四、 日志服務器配置
這是我自己日志服務器的配置
[root@zht-app003 etc]# sed 's/^#.*//;/^$/d' rsyslog.conf $ModLoad imuxsock # provides support for local system logging (e.g. via logger command) $ModLoad imjournal # provides access to the systemd journal $ModLoad imudp $UDPServerRun 514 $template myFormat,"%timestamp% %fromhost-ip% %syslogtag% %msg%\n" $ActionFileDefaultTemplate myFormat $WorkDirectory /var/lib/rsyslog $template RemoteLogs,"/rsyslog/%fromhost-ip%/%fromhost-ip%_%$YEAR%-%$MONTH%-%$DAY%/%PROGRAMNAME%.log" :fromhost-ip, !isequal, "127.0.0.1" *.* ?RemoteLogs & ~ $IncludeConfig /etc/rsyslog.d/*.conf $OmitLocalLogging on $IMJournalStateFile imjournal.state *.info;mail.none;authpriv.none;cron.none /var/log/messages authpriv.* /var/log/secure mail.* -/var/log/maillog cron.* /var/log/cron *.emerg :omusrmsg:* uucp,news.crit /var/log/spooler local7.* /var/log/boot.log *.* @172.19.100.214:514 kern.warning;*.err;*.info;kern.debug;daemon.notice;mail.none;authpriv.none;cron.none /var/log/kern.log
基本翻譯
n. 根;根源;詞根;祖先
vi. 生根;根除
vt. 生根,固定;根源在於
n. (Root)人名;(英)魯特;(德、瑞典)羅特