需配置rsyslog实现日志远程转发:一、启动并启用rsyslog服务;二、修改/etc/rsyslog.conf启用udp/tcp模块并配置监听;三、添加转发规则至远程服务器;四、防火墙放行514端口;五、重启服务并用logger测试验证。
如果您希望将本地系统的日志统一收集到远程服务器进行集中分析与审计,则需配置 rsyslog 服务以实现日志的远程转发。以下是完成该配置的具体步骤:
一、确认rsyslog服务状态并启用开机自启
rsyslog 是 Linux 系统默认的日志服务,必须确保其正在运行且设置为开机自动启动,否则日志无法被正常捕获和转发。
1、执行 systemctl status rsyslog 检查当前服务运行状态。
2、若服务未运行,执行 systemctl start rsyslog 启动服务。
3、执行 systemctl enable rsyslog 设置开机自启。
二、修改rsyslog主配置文件启用UDP或TCP传输
rsyslog 支持通过 UDP 或 TCP 协议向远程服务器发送日志;UDP 无连接、开销低但不可靠,TCP 有连接、支持重传但资源占用略高。需根据网络环境选择其一并取消对应模块加载行的注释。
1、使用文本编辑器打开 /etc/rsyslog.conf 文件。
2、查找包含 module(load="imudp") 的行,删除其前的 # 符号以启用 UDP 输入模块(如使用 UDP)。
3、查找包含 module(load="imtcp") 的行,删除其前的 # 符号以启用 TCP 输入模块(如使用 TCP)。
4、在文件末尾添加对应协议监听配置:UDP 使用 $UDPServerRun 514,TCP 使用 $InputTCPServerRun 514。
三、配置日志转发规则至指定远程服务器
需在 rsyslog 配置中定义日志转发目标地址与端口,支持按日志类型、设施(facility)或优先级(priority)进行精细化路由。
1、在 /etc/rsyslog.conf 文件末尾新增转发规则行。
此版本和闪睿企业网站管理系统 2009 SP1 Build 090828 得区别是:这个可以在本地计算机一键安装所有所需组件,并安装完成后自动打开闪睿网站前台。我们的口号:简单,不思考!这个版本要的就是简单!不再需要安装IIS,配置IIS,繁琐的各种设置,下载等,就下载一个包,运行一个程序,一步到位!2.0版本更新日志:1.自主研发迷你web服务器,全自动配置参数。简单无极限!2.迷你服务器和迷你
2、若使用 UDP 协议,添加:*.* @192.168.10.100:514(其中 @ 表示 UDP)。
3、若使用 TCP 协议,添加:*.* @@192.168.10.100:514(其中 @@ 表示 TCP)。
4、如需仅转发 auth、cron 类日志,可写为:auth,authpriv,cron.* @@192.168.10.100:514。
四、配置防火墙放行日志传输端口
系统防火墙可能阻止 rsyslog 使用的 514 端口通信,需显式允许入站或出站流量,具体取决于本机是日志发送端还是接收端。
1、若本机作为日志发送端,执行:firewall-cmd --permanent --add-port=514/udp(UDP 场景)。
2、若使用 TCP,执行:firewall-cmd --permanent --add-port=514/tcp。
3、执行 firewall-cmd --reload 使规则生效。
五、重启rsyslog服务并验证日志转发效果
配置更改后必须重启 rsyslog 才能加载新规则,随后可通过本地生成测试日志并检查远程服务器是否收到,确认链路连通性与规则有效性。
1、执行 systemctl restart rsyslog 重新加载配置。
2、在本地执行:logger "Test message from rsyslog client" 生成一条测试日志。
3、登录远程服务器,在 /var/log/messages 或指定接收路径中搜索该测试字符串。
