CentOS6.5配置rsyslog

大湖之子

　　如何在RHEL 6.5安装和配置rsyslog现在7.6版本/ CentOS的6.5 .The情况是，安装和RHEL / CentOS的6.5安装rsyslog现在集中式日志服务器上。所有的客户端服务器的日志将被发送到集中式日志服务器即rsyslog现在服务器。

检查预装rsyslog现在包
　　第1步：首先检查rsyslog现在软件包安装在您的system.Generally通过默认我们得到rsyslog现在5.x版本，之后的CentOS 6.x中的最小安装 / RHEL 6.x的
　　我们将安装最新的rsyslog现在包。在写这篇文章的时候，rsyslog现在稳定的7.6版本可用。你可以找到最新的软件包信息rsyslog现在官方网站
　　注意：默认情况下，RHEL 6.x和CentOS的6.x的有rsyslog现在5.x版 所以在这里，我们将更新新版本的rsyslog现在。
你可以得到rsyslog现在的版本信息，通过给出两个命令如下
　　rpm -qa|grep rsyslog
和
rsyslogd -v
　　请参阅下面给出的截图

安装/ RHEL中6.x的更新版本rsyslog现在7.6 / CentOS的6.x的
　　对于安装rsyslog现在7.6版本。创建一个新的yum客户回购文件并粘贴如下内容。（具有相同的方法，可以安装rsyslog现在的其他版本[ 信息链接 ]）
　　创建新的文件/etc/yum.repos.d/rsyslog.repo（你可以用你喜欢的编辑器）

vi /etc/yum.repos.d/rsyslog.repo
　　粘贴文件/etc/yum.repos.d/rsyslog.repo下面给出的内容（vi编辑器，用于将内容按我键，然后粘贴内容的文件，保存按键ESC：WQ）



[rsyslog-v7-devel]
name=Adiscon Rsyslog v7-devel for CentOS-$releasever-$basearch
baseurl=http://rpms.adiscon.com/v7-devel/epel-$releasever/$basearch
enabled=0
gpgcheck=0
protect=1
[rsyslog-v7-stable]
name=Adiscon Rsyslog v7-stable for CentOS-$releasever-$basearch
baseurl=http://rpms.adiscon.com/v7-stable/epel-$releasever/$basearch
enabled=1
gpgcheck=0
protect=1

　　用于安装rsyslog现在，在情况下，包装不可用数（rpm -qa | grep的rsyslog现在）。定的命令之下运行

yum install rsyslog
　　对于更新至新版本的rsyslog现在，运行给定的命令如下

yum update rsyslog
在RHEL 6.x的/ CentOS的6.x的配置rsyslog现在
　　步骤1：使能module.We将通过除去取消对下面给出线#
　　以原始文件的备份

cp -pv /etc/rsyslog.conf /etc/rsyslog.conf.orig
　　编辑文件/etc/rsyslog.conf

vi /etc/rsyslog.conf
　　取消注释去除＃这些模块名称的前

module(load="imuxsock") # provides support for local system logging (e.g. via logger command)
module(load="imklog")   # provides kernel logging support (previously done by rklogd)
　　现在，在同一文件中，搜索线*.emerg *。修改动作（即*）用:omusrmsg:*。请参阅下面给出的参考

*.emerg                        :omusrmsg:*
　　启用UDP端口没有。514为通过去除符号＃rsyslog现在下面给出线.Uncomment

module(load="imudp") # needs to be done just once
input(type="imudp" port="514")
　　现在，在文件的结尾/etc/rsyslog.conf，粘贴如下代码（这是rsyslog现在模板）

$template TmplAuth, "/var/log/rsyslog_custom/%HOSTNAME%/%PROGRAMNAME%.log"
$template TmplMsg, "/var/log/rsyslog_custom/%HOSTNAME%/%PROGRAMNAME%.log"
authpriv.*   ?TmplAuth
*.info,mail.none,authpriv.none,cron.none   ?TmplMsg
　　现在，保存和文件出口VI /etc/rsyslog.conf
　　下面给出的是从我们的服务器的参考，编辑后/etc/rsyslog.conf，它看起来如下（验证您的文件，下面给出参考）
这里，egrep -v '^#|^$'命令将显示从文件只注释的行。



[iyunv@localhost /]# egrep -v '^#|^$' /etc/rsyslog.conf -v
module(load="imuxsock") # provides support for local system logging (e.g. via logger command)
module(load="imklog")   # provides kernel logging support (previously done by rklogd)
module(load="imudp") # needs to be done just once
input(type="imudp" port="514")
$ActionFileDefaultTemplate RSYSLOG_TraditionalFileFormat
$IncludeConfig /etc/rsyslog.d/*.conf
*.info;mail.none;authpriv.none;cron.none                /var/log/messages
authpriv.*                                              /var/log/secure
mail.*                                                  /var/log/maillog
cron.*                                                  /var/log/cron
*.emerg                                                 :omusrmsg:*
uucp,news.crit                                          /var/log/spooler
local7.*                                                /var/log/boot.log
$template TmplAuth, "/var/log/rsyslog_custom/%HOSTNAME%/%PROGRAMNAME%.log"
$template TmplMsg, "/var/log/rsyslog_custom/%HOSTNAME%/%PROGRAMNAME%.log"
authpriv.*   ?TmplAuth
*.info,mail.none,authpriv.none,cron.none   ?TmplMsg
[iyunv@localhost /]#

　　第4步：现在编辑文件/ etc / SYSCONFIG / rsyslog现在。而设定的SYSLOGD_OPTIONS不带参数

SYSLOGD_OPTIONS=""
　　见我们的服务器下面给出的参考



[iyunv@localhost ~]# cat /etc/sysconfig/rsyslog
# Options for rsyslogd
# Syslogd options are deprecated since rsyslog v3.
# If you want to use them, switch to compatibility mode 2 by "-c 2"
# See rsyslogd(8) for more details
SYSLOGD_OPTIONS=""
[iyunv@localhost ~]#
　　第5步：启动/重新启动rsyslog现在服务
　　对于启动rsyslog现在

/etc/init.d/rsyslog start
　　对于重新启动rsyslog现在

/etc/init.d/rsyslog restart
　　[for stoping rsyslog, /etc/init.d/rsyslog stop]

创建在/ var / log中新目录
　　在创建新目录的/ var /日志称为rsyslog_custom。所以，我们将保留所有的服务器会记录这个目录中。

mkdir -p /var/log/rsyslog_custom
设置rsyslog现在SELINUX规则
　　有些系统管理员，禁用SELinux的。
如果你想保持SELINUX启用。使用如下命令
（阅读此篇，如果semanage的命令没有发现）



semanage fcontext -a -t syslogd_exec_t /sbin/rsyslogd
restorecon /sbin/rsyslogd
/usr/sbin/semanage fcontext -a -t var_log_t "/var/log/rsyslog_custom(/.*)?"
/sbin/restorecon -R -v /var/log/rsyslog_custom
对于rsyslog现在设置IPTABLES
　　rsyslog现在服务使用UDP端口号514 .Hence我们将设置的iptable仅此端口
　　编辑的/ etc / SYSCONFIG / iptables的

vi /etc/sysconfig/iptables
　　下面放规则给出始终高于任何拒绝 INPUT规则

-A INPUT -m state --state NEW -m udp -p udp --dport 514 -j ACCEPT
　　现在，保存并退出。重新启动iptables服务

/etc/init.d/iptables restart
　　使用iptables -nL命令检查的iptables规则

重新启动rsyslog现在，验证监听端口514的状态

/etc/init.rsyslog restart
　　检查端口514的监听状态

netstat -uanp|grep rsyslog
　　请参阅下面从我的服务器提供参考



[iyunv@localhost ~]# netstat -uanp|grep rsyslog
udp        0      0 0.0.0.0:514                 0.0.0.0:*                               3266/rsyslogd      
udp        0      0 :::514                      :::*                                    3266/rsyslogd      
[iyunv@localhost ~]#
在客户端服务器配置rsyslog现在
　　要提取远程客户端servers.We日志将编辑在客户机上rsyslog.conf文件。该方法适用于基于红帽和Debian基于操作系统（例如RHEL，CentOS的，Debian的，Ubuntu的）
　　句法：
*.* @ip-address-of-rsyslog-server:514
　　例如：
编辑文件

vi /etc/rsyslog.conf
　　粘贴下面的线（与你的rsyslog现在服务器的IP地址替换192.168.56.102，这里514是UDP端口号）

*.* @192.168.56.102:514
　　保存并从文件/etc/rsyslog.conf退出并重新启动rsyslog现在服务

/etc/init.d/rsyslog restart
　　现在，在客户端系统重新登录，以便我们将捕获log.And相同的日志信息，我们将在rsyslog现在看到服务器

验证日志中rsyslog现在服务器
　　切换到目录/ var /日志/ rsyslog_custom。你必须看到，目录与客户机的主机名。而在那个目录中，你会看到一些日志。

cd /var/log/rsyslog_custom
　　从我的系统参考（输出将是你的情况不同）



[iyunv@localhost ~]# ls -l /var/log/rsyslog_custom/
total 8
drwx------. 2 root root 4096 Mar  1 07:52 localhost
drwx------. 2 root root 4096 Mar  1 07:47 tuxworld
[iyunv@localhost ~]#
[iyunv@localhost ~]# ls -l /var/log/rsyslog_custom/tuxworld/
total 32
-rw-------. 1 root root 193 Mar  1 07:46 CRON.log
-rw-------. 1 root root 619 Mar  1 07:47 dbus.log
-rw-------. 1 root root 255 Mar  1 07:47 dhclient.log
-rw-------. 1 root root   0 Mar  1 07:46 kernel.log
-rw-------. 1 root root 659 Mar  1 07:47 NetworkManager.log
-rw-------. 1 root root 120 Mar  1 07:46 rsyslogd-2039.log
-rw-------. 1 root root 149 Mar  1 07:46 rsyslogd.log
-rw-------. 1 root root 296 Mar  1 07:44 sudo.log
-rw-------. 1 root root 316 Mar  1 07:44 su.log
[iyunv@localhost ~]#
　　重要提示：设置所有的东西后，它是很好的做法，以检查在/ var / log / messages中。在任何rsyslog现在相关的错误/警告的情况下被发现
　　注：此rsyslog现在服务器的设置，建议在安全的内部网络中使用。该rsyslog现在服务器不应该被公开曝光。
　　如果你想确保rsyslog现在server.Use的iptable的只接受来自您所需的特定IP地址/网络日志。
　　例如只允许特定的IP地址与连接的日志rsyslog现在服务器。客户机的IP地址为192.168.56.1（与你的客户机的IP地址替换192.168.56.1 [ ifconfig]）



vi /etc/sysconfig/iptables
-A INPUT -m state --state NEW -m udp -p udp -s 192.168.56.1 --dport 514 -j ACCEPT
　　重新启动后，这个iptable的 /etc/init.d/iptables restart
　　例如。只允许特定的网络与连接的日志rsyslog现在服务器。网络子网10.0.0.0/255.255.255.0（从您的网络信息取代10.0.0.0/255.255.255.0）



vi /etc/sysconfig/iptables
-A INPUT -m state --state NEW -m udp -p udp -s 10.0.0.0/24 --dport 514 -j ACCEPT
　　重新启动的iptable /etc/init.d/iptables restart

照搬链接
　　http://sharadchhetri.com/2014/03/01/install-and-configure-rsyslog-on-rhel-6-centos-6/
　　https://www.mtyun.com/library/5/how-to-config-rsyslog/