在Debian 9上，使用Rsyslog安装一台中央日志服务器

在Debian 9上使用Rsyslog安装一台中央日志服务器

在许多企业环境中，日志记录是监控系统性能和稳固性不可或缺的一部分。Rsyslog是一款功能有力的开源日志服务器，它能够接收来自各种系统的日志消息，并进行集中存储、过滤和分析。本文将指导您在Debian 9操作系统上安装并配置Rsyslog，以确立一个中央日志服务器。

### 1. 安装Rsyslog

首先，确保您的Debian 9系统已更新到最新状态：

bash

sudo apt-get update

sudo apt-get upgrade

然后，安装Rsyslog：

bash

sudo apt-get install rsyslog

### 2. 配置Rsyslog

安装完成后，您需要编辑Rsyslog的配置文件。Rsyslog的核心配置文件位于`/etc/rsyslog.conf`。

#### 2.1 开启远程日志功能

在`/etc/rsyslog.conf`文件中，找到以下行：

$ModLoad imtcp

$InputTCPServerRun 514

这两行分别加载了TCP输入模块并启动了TCP服务器，用于接收远程日志消息。确保这两行存在，如果不存在，则添加它们。

#### 2.2 配置远程日志接收

接下来，配置远程日志接收。在`/etc/rsyslog.conf`文件的末尾添加以下内容：

bash

$ModLoad imtcp

$InputTCPServerRun 514

$ModLoad imudp

$InputUDPServerRun 514

$InputUser @syslog

$InputStreamDriverState "StreamDriverName=pcre;PCREMatchString=\(.+\)\s\+\(.*\)\s\+\[.*\]\s\+\[(\d{4}-\d{2}-\d{2} \d{2}:\d{2}:\d{2}).*\]"

$InputUserLogFormat "%.8s %s %s %s %s %s %s %s %s %s"

这里配置了UDP和TCP两种接收方法，并设置了用户日志格式。`$InputUser`指令定义了输入用户，`$InputStreamDriverState`和`$InputUserLogFormat`定义了日志消息的解析规则。

#### 2.3 配置日志消息转发

为了将日志消息转发到远程服务器，您需要在`/etc/rsyslog.conf`中添加以下内容：

bash

$ModLoad omfwd

$RemoteLogFormat "%msg%"

$RemoteHost 192.168.1.100

$RemotePort 514

$RemoteUser root

$ActionQueueType Linked

$ActionQueueFileName queue

$ActionResumeRetryCount -1

这里设置了远程日志服务器的IP地址（`192.168.1.100`）和端口（`514`），以及远程用户（`root`）。`$RemoteLogFormat`定义了远程日志的格式。

#### 2.4 保存并重启Rsyslog

保存`/etc/rsyslog.conf`文件，并重启Rsyslog服务以应用新配置：

bash

sudo systemctl restart rsyslog

### 3. 验证配置

为了验证Rsyslog是否正常运行，您可以尝试在本地或远程系统上发送日志消息。在远程系统上，执行以下命令：

bash

logger -t test "This is a test message"

然后，在Rsyslog配置的远程日志服务器上查看日志文件，例如`/var/log/syslog`：

bash

sudo grep "test" /var/log/syslog

如果一切配置正确，您应该能看到测试消息。

### 4. 高级配置

Rsyslog提供了许多高级配置选项，例如日志分割、日志轮转、自定义过滤器等。以下是一些常见的配置示例：

#### 4.1 日志分割

在`/etc/rsyslog.conf`中，您可以添加以下配置来分割日志文件：

bash

$LogPath /var/log/syslog

$MaxLogSize 10M

$LogFileSize 5M

$CreateDir 1

$LoadModule imfile

$InputFileTag *.log

$InputFileFacility local0

$InputFilePriFilter 6..6

$InputFileSaveState 0

这里设置了日志文件的路径、最大大小、分割大小、创建目录等。

#### 4.2 自定义过滤器

Rsyslog赞成自定义过滤器，您可以使用`if`语句来过滤日志消息。以下是一个示例：

bash

if $msg contains "error" then

/var/log/error.log

else if $msg contains "warning" then

/var/log/warning.log

else

/var/log/other.log

本文由IT视界版权所有,禁止未经同意的情况下转发