一、Rsyslog服务简介
Rsyslog 可以简单地理解为 syslog 的超集,在老版的Linux系统中,Red Hat Enterprise Linux 3/4/5默认是使用 syslog 作为系统的日志工具,从 RHEL 6 开始系统默认使用了 Rsyslog 。Rsyslog 是一个快速处理收集系统日志的程序,支持 C/S 架构,可通过 UDP/TCP 协议提供日志集中管理服务。
二、使用Rsyslog的好处
- WEB 服务器多的时候检查日志是一件很痛苦的事情,准备弄一台统一的日志服务器,将登录认证、系统日志等全部发送到这台日志服务器上,可以做监控分析,也能随时获取最新日志,方便集中管理系统日志。
- rsyslog和syslog-ng都可以,系统一般默认安装前者。
三、Rsyslog的特性
- 多线程的服务,并发性能好
- 可以使用UDP、TCP、SSL、TLS、RELP等协议完成信息收集
- 将日志可存储在MySQL、pgsql、oracle等数据库管理系统中
- 强大的自定义过滤器,实现过滤日志信息中的任何部分内容
- 自定义输出格式
- 使用rsyslog进行日志集中管理
- C/S架构:客户端将其日志上传到服务器端,通过对服务器端日志的查询,来实现对其他客户端的日志进行集中管理。
四、实验环境
两台RHEL 6.5虚拟机
服务器:202.100.10.2
客户端:201.100.10.10
将客户端的日志传输到服务器上
五、日志传输方式
TCP:基于TCP明文的传输,只在特定情况下丢失信息,并被广泛使用
UDP:UDP传输,信息有损耗
RELP:RHLP传输,不会丢失信息,但只在Rsyslog 3.15.0及以上版本中可用。服务器和客户端都需安装 ' rsyslog-relp '。
六、实验步骤
1、关闭Rsyslog Server 的防火墙和Selinux服务,并配置网卡信息。
2、配置 Rsyslog Client
3、测试连通性
TCP传输方式
1、在服务器端配置
1.1 编辑配置文件,启用 Rsyslog Server 的 TCP 传输方式
1.2 开启传输端口监听
注:-r — 指定监听端口 -c2 — 使用兼容模式
1.3 重启服务
2、在客户端配置
2.1 指定日志传输方式
2.2 重启服务
3、测试
3.1 在客户端上执行
3.2 在服务端查看日志
UDP传输方式
1、在服务端配置
1.1 启用 Rsyslog Server 的 UDP 传输方式
1.2 开启传输端口监听
1.3 重启服务
2、在客户端配置
2.1 指定日志传输方式
3、测试
3.1 在客户端上执行
3.2 在服务端查看日志
RELP传输方式
1、分别在服务端、客户端安装 rsyslog -relp
2、在服务端配置
2.1 启用 Rsyslog Server 的 RELP 传输方式
2.2 开启传输端口 2514 监听
2.3 重启服务
3、在客户端配置
3.1 指定以 relp 方式进行日志传输
3.2 重启服务
4、测试
4.1 在客户端上执行
4.2 在服务端查看日志
4.3 查看运行端口