部署日誌服務器(主機部分)
阿新 • • 發佈:2018-07-15
acc save 修改配置文件 soc 第一步 file for form 兩個
第一步:配置rsyslog服務等接收遠程日誌
配置文件路徑為/etc/sysconfig/rsyslog
把內容SYSLOGD_OPTIONS="-m 0" 修改為 SYSLOGD_OPTIONS="-r "
(-r -m 0 設置能從遠端設備寫入日誌 )
第二步:配置文件/etc/rsyslog.conf,在GLOBAL DIRECTIVE塊前追加模板。
$template RemoteLogs, "/data/log/%HOSTNAME%/%$YEAR%-%$MONTH%-%$DAY%.log"
local6.* ?RemoteLogs
& ~
- 設置模塊名為RemoteLogs,並指向日誌的保存路徑。
(以單個設備主機名為文件夾,然後以每天為單位生成子文件夾,並保存當天產生的所有日誌) - 設置接受facility為local6,接受所有日誌級別。
(同時需在各個網絡設備設置facility都為local6,方便該日誌服務器識別) - 符號"& ~"表示了一個重定向規則,被用來告知rsyslog守護進程停止對日誌消息的進一步處理,並且不要在本地寫入
第三步:修改配置文件只需開啟兩個模塊和協議支持的端口
$ModLoad imuxsock # provides support for local system logging (e.g. via logger command) $ModLoad imklog # provides kernel logging support (previously done by rklogd) $ModLoad imudp #開啟支持upd的模塊 $UDPServerRun 514 #允許接收udp 514的端口傳來的日誌 $ModLoad imtcp #開啟支持tcp的模塊 $InputTCPServerRun 514 #允許接收tcp 514的端口傳來的日誌 $ActionFileDefaultTemplate RSYSLOG_TraditionalFileFormat $IncludeConfig /etc/rsyslog.d/*.conf
主要將以上內容前面的註釋符(#)去掉即可。
第四步:改變SELinux策略
命令:
chcon -R -t var_log_t /data/
chcon -R -u system_u /data/
(方便日誌信息寫入自定義路徑中,rsyslog服務默認路徑為/var/log/*)
第五步:編輯iptables策略
配置文件路徑為/etc/sysconfig/iptables
添加策略:
-A INPUT -p udp -m udp --dport 514 -j ACCEPT -A OUTPUT -p udp -m udp --dport 514 -j ACCEPT -A INPUT -p tcp -m tcp --dport 514 -j ACCEPT -A OUTPUT -p tcp -m tcp --dport 514 -j ACCEPT
註意策略的位置!!
保存iptables策略:
service iptables save
(需放通rsyslog的默認端口514,方便接收設備日誌)
第六步:然後重啟rsyslog服務
service rsyslog restart
service rsyslog reload(無需中斷服務)
(讀出rsyslog最新的配置信息)
第七步:在接收Cisco交換機的IP地址時需轉換為設備主機名
編輯/etc/hosts文件
添加:
IP 主機名
192.168.3.12 switch_2
第八步:內部測試日誌服務器是否正常運行
命令:
logger -i -t "test message" -p local6.notice " test text 1"
然後進入自定義的日誌保存路徑查看是否有日誌出現。
如無日誌產生可查看系統日誌信息查找原因,
命令:
tail /var/log/messages
部署日誌服務器(主機部分)