一、实验环境
客户端主机:(ip地址),主机名是以FF结尾(自己的)
服务器端主机:(IP地址),主机名是以67结尾(自己的)
- 实验目的
掌握日志服务器的搭建方法,为海量日志存储打下坚实基础。
三、实验内容:
(1)将客户端所有产生信息记录到日志服务器/var/log/messages中。
四、实验步骤
1.客户端: 192.168.1.128.
(1) 修改/etc/rsyslog.conf添加 *.* @@server IP
*.*是指各种类型的信息和不同程度发信息
其中@@代表TCP协议,通过514端口。
- 关闭Selinux和防火墙,禁止防火墙自启动
setenforce 0是临时关闭,也可以修改配置文件将enabled改成disabled
- 重新启动rsyslog
2.日志服务器: 192.168.1.125
(1)修改/etc/sysconfig/rsyslog 修改 SYSLOGD_OPTIONS 为 "-r -x -m 0" #-r 表示允许接收外来的消息,-x 表示不解析 DNS,#-m 0 表示时间戳标记间隔,如果指定只接受某个或多个ip 过来的日志。
(2)将/etc/rsyslog.conf文件中的以下字符串的注释删除
#$ModLoad imudp
#$UDPServerRun 514
(3)关闭防火墙和Selinux,重新启动rsyslog,查看514端口
- 实验结果
从以上截图可以看出有两个不同的主机名的日志记录,对比可知分别为客户端和服务器主机名,则客户端产生的日志文件已经同步到服务器中。
- 注意事项
- 分清楚客户端和服务器,可以对主机名进行修改为Client和Sever,防止实验时出现混乱。
- Setenforce 0命令在关机后需要重新执行
- 注意检查关闭防火墙和查看514端口
- 配置文件中@@为TCP协议,@为UDP协议,注意区分