CentOS7，配置rsyslog客户端地址

在CentOS 7系统，将所有日志转发到 192.168.168.168 日志服务器，你可以按照以下步骤进行配置：

确保rsyslog已经被安装

rpm -qa|grep rsyslog

1、打开 rsyslog 配置文件 /etc/rsyslog.conf

vim /etc/rsyslog.conf

2、在文件末尾添加以下行，将所有日志发送到指定的日志服务器 IP 地址和端口号（假设为 UDP 端口 514）：

*.* @192.168.168.168:514

3、保存并关闭 rsyslog 配置文件。

4、重新启动 rsyslog 服务以使更改生效：

systemctl restart rsyslog

现在，CentOS 7 上的 rsyslog 服务将会将所有日志转发到指定的日志服务器的 IP 地址和端口号。确保目标日志服务器正确配置，并可以接收和处理来自客户端的日志信息。

---

以下是 /etc/rsyslog.conf 文件的一般结构和常见配置选项的解释：

1. 注释：/etc/rsyslog.conf 文件中以 # 开头的行是注释，用于提供配置说明和注解。

2. 模块加载：配置文件通常以模块加载指令开始，如：

   module(load="imuxsock") # 加载系统套接字输入模块
   module(load="imjournal" StateFile="imjournal.state") # 加载日志日记输入模块
   module(load="omusrmsg") # 加载用户消息输出模块

3. 全局配置：配置文件可以包含全局配置选项，如：

   $ModLoad imudp  # 加载 UDP 输入模块
   $UDPServerRun 514  # 运行 UDP 服务器监听端口 514
   $WorkDirectory /var/lib/rsyslog  # 指定工作目录

4. 规则定义：配置文件中定义了用于处理和转发日志的规则，如：

   if $programname == 'sshd' then /var/log/sshd.log  # 将 SSH 日志记录到指定文件
   if $msg contains 'error' then @syslog-server:514  # 将包含关键字 'error' 的日志发送到远程 Syslog 服务器

5. 日志文件路径：定义了将日志写入的文件路径，如：

   /var/log/messages  # 默认的系统日志文件
   /var/log/secure  # 安全日志文件

6. 日志模板：可以定义自定义的日志模板，如：

   template(name="myTemplate" type="string" string="%msg%")  # 定义名为 myTemplate 的日志模板

7. 过滤条件：可以使用过滤条件限制特定类型的日志事件，如：

   if $syslogfacility-text == 'mail' then /var/log/maillog  # 将邮件日志写入指定文件
   if $msg contains 'critical' then stop  # 如果日志包含关键字 'critical'，则停止处理

8. 远程日志：可以配置 rsyslog 将日志发送到远程 Syslog 服务器，如：

   *.* @syslog-server:514  # 将所有日志发送到远程 Syslog 服务器的 UDP 端口 514

这里面有很多可选的日志配置，找到你需要上传的日志文件部分，在相关日志提示的下面新增一行，按格式写出日志名和要传递到的服务器。例如

kern可以写成kern.* @10.10.10.192:514

mail可以写成是mail.* @10.10.10.192:514

如果你需要把所有的日志都传递到对方系统中则写成：*.* @10.10.10.192:514

这只是 /etc/rsyslog.conf 文件的一些常见配置选项和示例。通过编辑此文件，可以自定义 rsyslog 服务的行为，例如定义日志路径、过滤规则、日志转发和输出格式等。确保在进行任何更改之前备份原始配置文件，并重启 rsyslog 服务以使更改生效。