Как использовать rsyslog?
Я обыскивал форумы в течение нескольких часов и не могу найти конкретное объяснение о том, как использовать rsyslog. Мне действительно просто нужны основы.
У меня есть файл журнала logFile.log и я хочу передать журналы server2 на порте 514. Как я установил бы rsyslog сделать это? Я предоставлю любую дополнительную информацию по мере необходимости.
1 ответ
Хорошо я вижу, что несколько человек проверяют этот вопрос, и я выяснил, как сделать это. Таким образом, я сделаю руководство маленького новичка по rsyslog.
, Если Вы просто хотите передать данные системного журнала к удаленному серверу:
<час> Добавляют эту строку к нижней части /etc/rsyslog.d/50-default.conf (на основе протокола):
UDP: *.* @remoteserverIP:PORT #usually port 514
TCP: *.* @@remoteserverIP:PORT #usually port 514
Добавляют эти строки к .conf файл, который Вы создаете в /etc/rsyslog.d/
$ModLoad imfile
$InputFileName /var/log/test #change this to desired input
$InputFileTag test #change filetag
$InputFileStateFile stat-test
$InputFileSeverity info #log severity
InputRunFileMonitor
*.* @remoteserverIP:PORT #change to remote server
Перезапуск <час> rsyslog
sudo service rsyslog restart
Тогда на удаленном (вход) сервер, который необходимо отредактировать /etc/rsyslog.conf файл для прислушиваний к трафику. Вершина файла будет иметь эти разделы:
# provides UDP syslog reception
#$ModLoad imudp
#$UDPServerRun 514
# provides TCP syslog reception
#$ModLoad imtcp
#$InputTCPServerRun 514
Некомментарий раздел для соответствующего протокола.
В конце файла Вы, вероятно, захотите включать своего рода шаблон фильтрации, таким образом, журналы будут проанализированы в файлы на основе того, куда они произошли из. Вот пример:
$template FILENAME,"/var/log/%fromhost-ip%/access.log
*.* ?FILENAME
Сохранили файл и перезапускают сервис на эту машину.
, Надо надеяться, это работает на всех Вас!