1.第一步先确定版本,不同版本配置方法会有区别,5.X版本的 7.X版本 及以上有区别
系统日志就不多解释,主要是通过引入imfile模块来定义本地中间件日志 到远程日志系统(rsyslog服务器端 logmanager elk等)
[root@12 ~]# rsyslogd -v rsyslogd 5.8.10, compiled with: FEATURE_REGEXP: Yes FEATURE_LARGEFILE: No GSSAPI Kerberos 5 support: Yes FEATURE_DEBUG (debug build, slow code): No 32bit Atomic operations supported: Yes 64bit Atomic operations supported: Yes Runtime Instrumentation (slow code): No
See http://www.rsyslog.com for more information. [root@12 ~]# 2.上边确定了版本,这就开始配置客户端日志系统
XCENTOS6的系统默认是5.7版本 7的是7.X版本
vim /etc/rsyslog.conf 编辑配置文件
》》》》
cron.* /var/log/cron
# Everybody gets emergency messages *.emerg *
# Save news errors of level crit and higher in a special file. uucp,news.crit /var/log/spooler
# Save boot messages also to boot.log local5.* /var/log/boot.log
注意:可以把下边两个文件定义分别放在/etc/rsyslog.d/目录下,这样 方便以后进行 日志管理
#在此处添加以下字段来开启imfile文本日志导入功能(经试验rsyslog5 ~7的版本都支持下边的配置方法) $ModLoad imfile
$InputFileName /var/log/secure $InputFilePollInterval 5 $InputFileTag 192.1zhu68.12.110_4A_ssh $InputFileStateFile stat-file1 $InputFileSeverity info $InputFileFacility local2 $InputRunFileMonitor
$ModLoad imfile # needs to be done just once 引入模板 $InputFileName /opt/tomcat/logs/localhost_access_log.txt #(定义日志文件路径) $InputFilePollInterval 5 #(轮训5秒一次检查日志文件) $InputFileTag 192.168.12.110_4A_tomcat #( 给日志文件打标签识别哪台客户端) $InputFileStateFile stat-file2 #(状态文件名称 多项日志导入时候状态文件名字必须区分) $InputFileSeverity info #日志级别 $InputFileFacility local2 #local2 自定义日志的保留项目 0~7 $InputRunFileMonitor
local2.* @192.168.12.120:514 #确定把自定义local2的日志 传送到远程服务器的514端口
以上就是需要添加的全部中间件的日志包括tomcat和ssh的日志
3.centos7的系统默认是rsyslog7版本配置方法跟5有区别但是也可以用5版本的配置方法定义
定义imfile模块:
module(load="imfile" PollingInterval="5") #7开始支持元数据metadata格式 input(type="imfile" File="修改此处" Tag="192.168.10.110_tomcat_tomcat" StateFile="statefile1" Severity="info" Facility="local2")
然后重启客户端rsyslog
/etc/init.d/rsyslog restart
4.远程服务器端配置
只需要打开配置文件的这两个模块即可
$ModLoad imudp $UDPServerRun 514 #开启接收日志,打开UDP协议的514端口,然后重启rsyslog
5.至于tomcat 或者nginx apache 的日志格式需要自己更改配置文件
至此简单的rsyslog就配置完成
