Linux Rsyslog日志集中管理

一、Rsyslog简介

ryslog 是一个快速处理收集系统日志的程序，提供了高性能、安全功能和模块化设计。rsyslog 是syslog 的升级版，它将多种来源输入输出转换结果到目的地。

Rsyslog的传输方式有三种:

UDP 传输协议
基于传统UDP协议进行远程日志传输，也是传统syslog使用的传输协议；
可靠性比较低，但性能损耗最少
在网络情况比较差，或者接收服务器压力比较高情况下，可能存在丢日志情况。
TCP 传输协议
基于传统TCP协议明文传输，需要回传进行确认，可靠性比较高；
但在接收服务器宕机或者两者之间网络出问题的情况下，会出现丢日志情况。
RELP 传输协议
RELP（Reliable Event Logging Protocol）是基于TCP封装的可靠日志消息传输协议；
是为了解决TCP 与 UDP 协议的缺点而在应用层实现的传输协议，也是三者之中最可靠的。
对于线上服务器，为了日志安全起见，建议使用还是使用 RELP 协议进行传输。

二、安装

系统一般会默认安装 ，yum install rsyslog  -y

如果启用RELP传输方式（yum install rsyslog-relp  -y）

查看服务状态service rsyslog status

启动服务service rsyslog start

版本查看rsyslogd -version

三、实验条件

 Rsyslog 服务器   Rsyslog 客户端

 实验需要关闭Rsyslog 服务器和Rsyslog 客户端的防火墙(service iptables stop setenforce ）

四、实验步骤 

一、UDP传输方式

1.首先在服务端设置启用哪种传输模式,这里采用UDP传输模式

Vim /etc/rsyslog.conf

2.然后在服务端开启传输端口监听

Vim /etc/sysconfig/rsyslog

-r指定监听端口

-c2 使用兼容模式

3.重启服务 service rsyslog restart

4.在客户端设置，指定日志传输方式,这里以UDP传输

Vim /etc/rsyslog.conf

5.重启syslog服务 service rsyslog restart

6.测试

在客户端生成一条日志，看服务器是否接受到这个日志

在客户端生成一条日志

7.在服务器端用tail -f /var/log/messages追踪日志

二、TCP传输方式

1.首先在服务端设置启用哪种传输模式,这里采用TCP传输模式

Vim /etc/rsyslog.conf

2.然后在服务端开启传输端口监听

Vim /etc/sysconfig/rsyslog

3.重启服务 service rsyslog restart

4.在客户端设置，指定日志传输方式,这里以TCP传输

Vim /etc/rsyslog.conf

5.重启syslog服务 service rsyslog restart

6.测试

在客户端生成一条日志，看服务器是否接受到这个日志

三、RELP传输

1.首先安装yum install rsyslog-relp  -y   #需要搭建本地yum仓库

2.在服务端设置启用哪种传输模式,这里采用RELP传输模式

Vim /etc/rsyslog.conf

添加下面两句,可以查看帮助文档要添加的内容  man rsyslog.conf

3.然后在服务器端开启传输端口监听

Vim /etc/sysconfig/rsyslog

4.重启rsyslog服务

5. 在客户端安装rsyslog-relp     yum install rsyslog-relp  -y

6.在客户端设置，指定日志传输方式,这里以RELP传输

添加如下两句

7.重启rsyslog服务

8.测试

在客户端生成一条日志，看服务器是否接受到这个日志