初学Linux rsyslog记录

rsyslog服务提供对分布式日志的集中化管理，将各分布主机上的日志收集到集中式日志服务器上。

一、首先需要在日志服务器Server端开启远程服务。修改配置文件：/var/log/rsyslog.conf

以下为开启UDP连接：

provides UDP syslog reception

$ModLoad imudp

$UDPServerRun 514

以下为开启TCP连接：

provides TCP syslog reception

$ModLoad imtcp

$InputTCPServerRun 514

修改完成后需要重启rsyslog服务。执行命令 # restart rsyslog

二、然后在存放日志的Local主机建立到Server的连接。同样，修改配置文件：/var/log/rsyslog.conf

$ModLoad imfile#use "imfile" module to monitor files

monitor file1

$InputFileName /home/yurunsheng/file1.log

$InputFileTag file1_tag:

$InputFileFacility local1

$InputFileStateFile file1_state

$InputRunFileMonitor

monitor file2

$InputFileName /home/yurunsheng/file2.log

$InputFileTag file2_tag:

$InputFileFacility local2

$InputFileStateFile file2_state

$InputRunFileMonitor

local1.;local2.@@172.16.93.133:514 # setup connection

to logging server

关于imfile及更多配置参数 点此

注意，因为服务器开启的是TCP连接，故此处两个“@”符。若建立UDP连接，则为一个。@后接服务器地址加端口

三、再回到服务器端，设置收集到的日志的存放位置。

local1.* /var/log/file1_on_server.log

local2.* /var/log/file2_on_server.log

以上两行分别设置两个文件在server上的存放目录。

每次修改rsyslog.conf后都需重启rsyslog服务以生效