Linux部署rsyslog日志服务器

一、简介

rsyslog是一个快速处理收集系统日志的开源程序，提供了高性能、安全功能和模块化设计。rsyslog 是syslog 的升级版，它将多种来源输入输出转换结果到目的地。

rsyslog是一个开源工具，被广泛用于Linux系统以通过TCP/UDP协议转发或接收日志消息。rsyslog守护进程可以被配置成两种环境，一种是配置成日志收集服务器，rsyslog进程可以从网络中收集其它主机上的日志数据，这些主机会将日志配置为发送到另外的远程服务器。rsyslog的另外一个用法，就是可以配置为客户端，用来过滤和发送内部日志消息到本地文件夹（如/var/log）或一台可以路由到的远程rsyslog服务器上。

虽然它基于常规的 syslogd，但 rsyslog 已经演变成了一个强大的工具，可用于：

• 接收来自各种来源的输入
• 转换它们
• 将结果输出到不同的目的地

与之前的syslog日志系统相比，具有以下优点：

• 支持多线程
• 支持TCP、SSL、TLS、RELP等协议
• 强大的过滤器，可实现过滤日志信息中的任意部分
• 支持自定义输出格式
• 适用于企业级别日志记录需求
• 模块化

除此之外，它还支持按需磁盘缓冲，基于TCP，SSL，TLS和RELP的可靠syslog，写入数据库（MySQL，PostgreSQL，Oracle等），电子邮件警报，完全可配置的输出格式（包括高精度时间戳），能够对syslog消息的任何部分进行过滤，在线消息压缩以及将文本文件转换为syslog的能力。 它是syslogd的直接替代品，并且可以使用相同的配置文件语法。

二、环境说明

OS：CentOS7.8 x64 内核：3.10.0-1160.15.2.el7.x86_64

Server IP：192.168.168.100

Client IP：192.168.168.103

Server服务器关闭SELinux，防止Client服务器日志无法写入指定目录。

三、Server服务端配置

1.安装rsyslog

## CentOS7系统默认是安装rsyslog，再执行安装命令会如下图所示。

yum -y install rsyslog

## 查看rsyslog版本信息

2.修改配置文件

日志的传输有udp和tcp两种方式。本文中启用udp模块进行传输，自定义Client服务器日志保存目录，方便管理查看。

## 创建日志目录，用于保存Client服务器日志

mkdir -p /data/logs/syslog/

## 备份rsyslog配置文件

cp /etc/rsyslog.conf /etc/rsyslog.conf.bak

## 修改配置文件

vi /etc/rsyslog.conf

//启用udp传输

# Provides UDP syslog reception     #启用UDP进行传输，取消下面两行的注释
$ModLoad imudp
$UDPServerRun 514

# Provides TCP syslog reception     #若启用TCP进行传输，则取消下面两行的注释
#$ModLoad imtcp
#$InputTCPServerRun 514

//在$ActionFileDefaultTemplate RSYSLOG_TraditionalFileFormat 这一行下添加如下配置

$template myFormat,"%timestamp% %fromhost-ip% %syslogtag% %msg%\n"
$ActionFileDefaultTemplate myFormat

# This one is the template to generate the log filename dynamically, depending on the client's IP address. 
# 根据客户端的IP单独存放主机日志在不同目录，设置远程日志存放路径及文件名格式 
$template Remote,"/data/logs/syslog/%fromhost-ip%/%fromhost-ip%_%$YEAR%-%$MONTH%-%$DAY%.log"
# Log all messages to the dynamically formed file.
# 排除本地主机IP日志记录，只记录远程主机日志
:fromhost-ip, !isequal, "127.0.0.1" ?Remote
# 注意此规则需要在其它规则之前，否则配置没有意义，远程主机的日志也会记录到Server的日志文件中
# 忽略之前所有的日志，远程主机日志记录完之后不再继续往下记录
& ~

//修改完成如下图所示。

备注：为尽量避免修改主配置文件，可在/etc/rsyslog.d/中新建conf配置文件。

3.重启rsyslog服务

systemctl restart rsyslog
netstat -anp|grep 514

备注：Server端服务器防火墙开启的状态下需要放开UDP514端口，或者关闭防火墙。

四、Client客户端配置

## CentOS7系统默认是安装rsyslog，若无请参考Server服务端的步骤。

1.修改配置文件

## 备份rsyslog配置文件

cp /etc/rsyslog.conf /etc/rsyslog.conf.bak

## 修改配置文件

vi /etc/rsyslog.conf

//添加自定义日志模板，在$ActionFileDefaultTemplate RSYSLOG_TraditionalFileFormat 这一行下添加如下配置

## 自定义日志格式
$template myFormat,"%timestamp% %fromhost-ip% %msg%\n"

//修改远程rsyslog服务器信息，在配置文件末尾添加如下配置

## 将系统上定义传输的各种日志消息路由到远程rsyslog服务器（192.168.168.100）的UDP端口514。‘@’表示通过udp传输。注：‘@@’表示通过tcp传输。
*.*  @192.168.168.100:514

2.重启rsyslog服务

systemctl restart rsyslog

五、验证

1.在服务端查看是否在日志目录里正常生成客户端日志

2.在客户端生成日志，是否日志同步

## 客户端日志

## 服务端日志

## 由上面两张截图可以看出，日志服务端和客户端日志已同步。