Я обыскивал форумы в течение нескольких часов и не могу найти конкретное объяснение о том, как использовать rsyslog
. Мне действительно просто нужны основы.
У меня есть файл журнала logFile.log
и я хочу передать журналы server2
на порте 514
. Как я установил бы rsyslog
сделать это? Я предоставлю любую дополнительную информацию по мере необходимости.
Хорошо я вижу, что несколько человек проверяют этот вопрос, и я выяснил, как сделать это. Таким образом, я сделаю руководство маленького новичка по rsyslog.
, Если Вы просто хотите передать данные системного журнала к удаленному серверу:
<час> Добавляют эту строку к нижней части /etc/rsyslog.d/50-default.conf
(на основе протокола):
UDP: *.* @remoteserverIP:PORT #usually port 514
TCP: *.* @@remoteserverIP:PORT #usually port 514
Добавляют эти строки к .conf
файл, который Вы создаете в /etc/rsyslog.d/
$ModLoad imfile
$InputFileName /var/log/test #change this to desired input
$InputFileTag test #change filetag
$InputFileStateFile stat-test
$InputFileSeverity info #log severity
InputRunFileMonitor
*.* @remoteserverIP:PORT #change to remote server
<час> Перезапуск <час> rsyslog
sudo service rsyslog restart
Тогда на удаленном (вход) сервер, который необходимо отредактировать /etc/rsyslog.conf
файл для прислушиваний к трафику. Вершина файла будет иметь эти разделы:
# provides UDP syslog reception
#$ModLoad imudp
#$UDPServerRun 514
# provides TCP syslog reception
#$ModLoad imtcp
#$InputTCPServerRun 514
Некомментарий раздел для соответствующего протокола.
В конце файла Вы, вероятно, захотите включать своего рода шаблон фильтрации, таким образом, журналы будут проанализированы в файлы на основе того, куда они произошли из. Вот пример:
$template FILENAME,"/var/log/%fromhost-ip%/access.log
*.* ?FILENAME
Сохранили файл и перезапускают сервис на эту машину.
, Надо надеяться, это работает на всех Вас!