Linux环境下搭建Rsyslog日志服务器

一、Rsyslog服务简介

        Rsyslog 可以简单地理解为 syslog 的超集，在老版的Linux系统中，Red Hat Enterprise Linux 3/4/5默认是使用 syslog 作为系统的日志工具，从 RHEL 6 开始系统默认使用了 Rsyslog 。Rsyslog 是一个快速处理收集系统日志的程序，支持 C/S 架构，可通过 UDP/TCP 协议提供日志集中管理服务。

二、使用Rsyslog的好处

• WEB 服务器多的时候检查日志是一件很痛苦的事情，准备弄一台统一的日志服务器，将登录认证、系统日志等全部发送到这台日志服务器上，可以做监控分析，也能随时获取最新日志，方便集中管理系统日志。
• rsyslog和syslog-ng都可以，系统一般默认安装前者。

三、Rsyslog的特性

• 多线程的服务，并发性能好
• 可以使用UDP、TCP、SSL、TLS、RELP等协议完成信息收集
• 将日志可存储在MySQL、pgsql、oracle等数据库管理系统中
• 强大的自定义过滤器，实现过滤日志信息中的任何部分内容
• 自定义输出格式
• 使用rsyslog进行日志集中管理
• C/S架构：客户端将其日志上传到服务器端，通过对服务器端日志的查询，来实现对其他客户端的日志进行集中管理。

四、实验环境

两台RHEL 6.5虚拟机

服务器：202.100.10.2

客户端：201.100.10.10

将客户端的日志传输到服务器上

五、日志传输方式

TCP：基于TCP明文的传输，只在特定情况下丢失信息，并被广泛使用

UDP：UDP传输，信息有损耗

RELP：RHLP传输，不会丢失信息，但只在Rsyslog 3.15.0及以上版本中可用。服务器和客户端都需安装 ' rsyslog-relp '。

六、实验步骤

1、关闭Rsyslog Server 的防火墙和Selinux服务，并配置网卡信息。

2、配置 Rsyslog Client

3、测试连通性

TCP传输方式

1、在服务器端配置

1.1 编辑配置文件，启用 Rsyslog Server 的 TCP 传输方式

1.2 开启传输端口监听

注：-r — 指定监听端口       -c2 — 使用兼容模式

1.3 重启服务

2、在客户端配置

2.1 指定日志传输方式

2.2 重启服务

3、测试

3.1 在客户端上执行

3.2 在服务端查看日志

UDP传输方式

1、在服务端配置

1.1 启用 Rsyslog Server 的 UDP 传输方式

1.2 开启传输端口监听

1.3 重启服务

2、在客户端配置

2.1 指定日志传输方式

3、测试

3.1 在客户端上执行

3.2 在服务端查看日志

RELP传输方式

1、分别在服务端、客户端安装 rsyslog -relp

2、在服务端配置

2.1 启用 Rsyslog Server 的 RELP 传输方式

2.2 开启传输端口 2514 监听

2.3 重启服务

3、在客户端配置

3.1 指定以 relp 方式进行日志传输

3.2 重启服务

4、测试

4.1 在客户端上执行

4.2 在服务端查看日志

4.3 查看运行端口