ubuntu 10.04下搭建rsyslog Server实现简单管理存储远程主机日志


1.服务器端


#apt-get update


#apt-get install rsyslog



修改配置文件


#vim /etc/rsyslog.conf        =====去掉下面三行前面的#号注释符


$ModLoad immark 


$ModLoad imudp


$UDPServerRun 514


保存退出



#vim /etc/default/rsyslog


#修改如下


RSYSLOGD_OPTIONS=”-c5 -r -x”


保存退出



重启rsyslog


#/etc/init.d/rsyslog restart



查看其是否启动


#netstat -nultp | grep 514


好了,这样rsyslog就能够接收远程主机日志了。


我们这里简单的试验一下,如下



客服端(远程主机,系统是ubuntu 10.04,其他linux系统一样)


#apt-get update


#apt-get install rsyslog



修改配置文件


#vim /etc/rsyslog.conf


*.* @ip  #ip为rsyslog server的ip


说明:第一个*号字段为什么服务如:mail、kernel、ftpd等,这里的*号代表所有服务


            第二个*号字段为记录相应服务的日志级别如info、warn、err等,这里*号代表说有级别


            即所有服务的说有日志都会发送到10.48.255.244这台主机上


注意:如果server端开启的是tcp的514端口,上面就应该这样写:*.*    @@rsyslog-server-ip



重启rsyslog 即可


#/etc/init.d/rsyslog restart



3.根椐客服端的配置我们将接收的日志保存的rsyslog server本地硬盘上


修改配置文件


#vim /etc/rsyslog.d/50-default.conf


#增加


*.* /var/log/remotehost.log



新建保存日志文件


#touch /var/log/remotehost.log



重启rsyslog server


#/etc/init.d/rsyslog restart



4.验证


在 rsyslog server端,用tail动态查看


#tail -f /var/log/remotehost.log



在客服端(远程主机)新增加一个用户,你将会看到tail -f /var/log/remotehost.log 会有相关增加用户的日志输出