Rsyslog介绍及运用

Rsyslog：采集系统日志，或接收远程日志

一.实验环境配置

虚拟主机1的ip：172.25.254.10

虚拟主机2的ip：172.25.254.20

二.Rsyslog基本参数

#下载安装包

        rsyslog-8.2310.0-4.el9.x86_64

#服务名称

        rsyslog.service

#主配置文件

        /etc/rsyslog.conf

#端口（默认未开启）

        tcp/udp  514

三.自定义日志路径

1.默认日志路径

/var/log/boot.log            #系统启动信息

/var/log/cron                  #系统中周期化任务日志

/var/log/maillog             #邮件日志

/var/log/messages        #服务常规信息，服务启动报错

/var/log/secure              #系统认证日志

2.如何更改日志存放路径

#1.设置日志存储位置为/var/log/xurui

进入/etc/rsyslog.conf文件

黄框内容表示：所有类型的级别日志存放到/var/log/xurui

                         第一个*标识日志类型  第二个*标识日志级别

#重启服务

#测试

logger test message           #生成测试日志

cat /var/log/timinglee         #查看日志内容

出现这个算成功

3.设定采集日志的种类，（把系统中除服务认之外的日志记录在/var/log/xurui）

进入该文件编写

#authpriv.none #指定服务认证日志不采集

测试：

先在虚拟机2远程连接到这台虚拟机1

然后再虚拟机上执行这个指令（#默认在/var/log/timinglee中有认证信息）

#默认在/var/log/timinglee中有认证信息

#配置生成后

虚拟机1上执行这个指令

虚拟机2上执行这个指令

最后虚拟机1上

三.日志的类型和级别

日志类型

auth        #用户认证，比如用户登录系统

authpriv    #服务认证，比如ssh远程登录

cron        #时间任务

kern        #内核类型

mail        #邮件

news        #系统更新信息

user        #用户

日志级别

none        #不采集

debug       #程序排错信息

info        #程序常规运行信息

notice      #重要信息的普通日志

waring      #程序警告

err         #程序报错

crit        #严重级别会导致系统软件不能正常工作

alert       #系统中立即要更改的信息

emerg       #系统的严重问题日志

四.日志同步

        在企业中，服务器系统数量不唯一，那多个操作系统对于日志的查询分析难度和时效性非常大，为了解决此问题，我可以把所有主机的日志同步到一台主机中来进行集中存储

1.设定日志接收服务器servera

module(load="imudp") # needs to be done just once      #加载日志接收模块

input(type="imudp" port="514")                                         #指定模块端口

#重启

#测试

#记得关闭防火墙

2.日志发送方

#@标识udp协议

#测试

五.如何定义日志的采集格式

进入该文件进行编辑

#####对于参数的解释#########

#%FROMHOST-IP%     #生成日志的ip

#%timegenerated%     #生成日志的时间

#%syslogtag%             #生成日志的程序

#%msg%                      #生成日志的内容

#\n                                #换行

#重启

#测试成功界面