Linux Rsyslog日誌集中管理
Linux Rsyslog日誌集中管理
一、Rsyslog簡介
ryslog 是一個快速處理收集系統日誌的程序,提供了高性能、安全功能和模塊化設計。rsyslog 是syslog 的升級版,它將多種來源輸入輸出轉換結果到目的地。
Rsyslog的傳輸方式有三種:
UDP 傳輸協議
基於傳統UDP協議進行遠程日誌傳輸,也是傳統syslog使用的傳輸協議;
可靠性比較低,但性能損耗最少
在網絡情況比較差,或者接收服務器壓力比較高情況下,可能存在丟日誌情況。
TCP 傳輸協議
基於傳統TCP協議明文傳輸,需要回傳進行確認,可靠性比較高;
但在接收服務器宕機或者兩者之間網絡出問題的情況下,會出現丟日誌情況。
RELP 傳輸協議
RELP(Reliable Event Logging Protocol)是基於TCP封裝的可靠日誌消息傳輸協議;
是為了解決TCP 與 UDP 協議的缺點而在應用層實現的傳輸協議,也是三者之中最可靠的。
對於線上服務器,為了日誌安全起見,建議使用還是使用 RELP 協議進行傳輸。
二、安裝
系統一般會默認安裝 ,yum install rsyslog -y
如果啟用RELP傳輸方式(yum install rsyslog-relp -y)
查看服務狀態service rsyslog status
啟動服務service rsyslog start
版本查看rsyslogd -version
三、實驗條件
Rsyslog 服務器 Rsyslog 客戶端
實驗需要關閉Rsyslog 服務器和Rsyslog 客戶端的防火墻(service iptables stop setenforce )
四、實驗步驟
一、UDP傳輸方式
1.首先在服務端設置啟用哪種傳輸模式,這裏采用UDP傳輸模式
Vim /etc/rsyslog.conf
2.然後在服務端開啟傳輸端口監聽
Vim /etc/sysconfig/rsyslog
-r指定監聽端口
-c2 使用兼容模式
3.重啟服務 service rsyslog restart
4.在客戶端設置,指定日誌傳輸方式,這裏以UDP傳輸
Vim /etc/rsyslog.conf
5.重啟syslog服務 service rsyslog restart
6.測試
在客戶端生成一條日誌,看服務器是否接受到這個日誌
在客戶端生成一條日誌
7.在服務器端用tail -f /var/log/messages追蹤日誌
二、TCP傳輸方式
1.首先在服務端設置啟用哪種傳輸模式,這裏采用TCP傳輸模式
Vim /etc/rsyslog.conf
2.然後在服務端開啟傳輸端口監聽
Vim /etc/sysconfig/rsyslog
3.重啟服務 service rsyslog restart
4.在客戶端設置,指定日誌傳輸方式,這裏以TCP傳輸
Vim /etc/rsyslog.conf
5.重啟syslog服務 service rsyslog restart
6.測試
在客戶端生成一條日誌,看服務器是否接受到這個日誌
三、RELP傳輸
1.首先安裝yum install rsyslog-relp -y #需要搭建本地yum倉庫
2.在服務端設置啟用哪種傳輸模式,這裏采用RELP傳輸模式
Vim /etc/rsyslog.conf
添加下面兩句,可以查看幫助文檔要添加的內容 man rsyslog.conf
3.然後在服務器端開啟傳輸端口監聽
Vim /etc/sysconfig/rsyslog
4.重啟rsyslog服務
5. 在客戶端安裝rsyslog-relp yum install rsyslog-relp -y
6.在客戶端設置,指定日誌傳輸方式,這裏以RELP傳輸
添加如下兩句
7.重啟rsyslog服務
8.測試
在客戶端生成一條日誌,看服務器是否接受到這個日誌
Linux Rsyslog日誌集中管理