CentOS6.5配置rsyslog

如何在RHEL 6.5安装和配置rsyslog现在7.6版本/ CentOS的6.5 .The情况是，安装和RHEL / CentOS的6.5安装rsyslog现在集中式日志服务器上。所有的客户端服务器的日志将被发送到集中式日志服务器即rsyslog现在服务器。

检查预装rsyslog现在包

第1步：首先检查rsyslog现在软件包安装在您的system.Generally通过默认我们得到rsyslog现在5.x版本，之后的CentOS 6.x中的最小安装 / RHEL 6.x的

我们将安装最新的rsyslog现在包。在写这篇文章的时候，rsyslog现在稳定的7.6版本可用。你可以找到最新的软件包信息rsyslog现在官方网站

注意：默认情况下，RHEL 6.x和CentOS的6.x的有rsyslog现在5.x版 所以在这里，我们将更新新版本的rsyslog现在。
你可以得到rsyslog现在的版本信息，通过给出两个命令如下

rpm -qa|grep rsyslog
和
rsyslogd -v

请参阅下面给出的截图

安装/ RHEL中6.x的更新版本rsyslog现在7.6 / CentOS的6.x的

对于安装rsyslog现在7.6版本。创建一个新的yum客户回购文件并粘贴如下内容。（具有相同的方法，可以安装rsyslog现在的其他版本[ 信息链接 ]）

创建新的文件/etc/yum.repos.d/rsyslog.repo（你可以用你喜欢的编辑器）

vi /etc/yum.repos.d/rsyslog.repo

粘贴文件/etc/yum.repos.d/rsyslog.repo下面给出的内容（vi编辑器，用于将内容按我键，然后粘贴内容的文件，保存按键ESC：WQ）

[rsyslog-v7-devel]
name=Adiscon Rsyslog v7-devel for CentOS-$releasever-$basearch
baseurl=http://rpms.adiscon.com/v7-devel/epel-$releasever/$basearch
enabled=
gpgcheck=
protect=

[rsyslog-v7-stable]
name=Adiscon Rsyslog v7-stable for CentOS-$releasever-$basearch
baseurl=http://rpms.adiscon.com/v7-stable/epel-$releasever/$basearch
enabled=
gpgcheck=
protect=

用于安装rsyslog现在，在情况下，包装不可用数（rpm -qa | grep的rsyslog现在）。定的命令之下运行

yum install rsyslog

对于更新至新版本的rsyslog现在，运行给定的命令如下

yum update rsyslog

在RHEL 6.x的/ CentOS的6.x的配置rsyslog现在

步骤1：使能module.We将通过除去取消对下面给出线#

以原始文件的备份

cp -pv /etc/rsyslog.conf /etc/rsyslog.conf.orig

编辑文件/etc/rsyslog.conf

vi /etc/rsyslog.conf

取消注释去除＃这些模块名称的前

module(load="imuxsock") # provides support for local system logging (e.g. via logger command)
module(load="imklog")   # provides kernel logging support (previously done by rklogd)

现在，在同一文件中，搜索线*.emerg *。修改动作（即*）用:omusrmsg:*。请参阅下面给出的参考

*.emerg                        :omusrmsg:*

启用UDP端口没有。514为通过去除符号＃rsyslog现在下面给出线.Uncomment

module(load="imudp") # needs to be done just once
input(type="imudp" port="514")

现在，在文件的结尾/etc/rsyslog.conf，粘贴如下代码（这是rsyslog现在模板）

$template TmplAuth, "/var/log/rsyslog_custom/%HOSTNAME%/%PROGRAMNAME%.log"
$template TmplMsg, "/var/log/rsyslog_custom/%HOSTNAME%/%PROGRAMNAME%.log"
authpriv.*   ?TmplAuth
*.info,mail.none,authpriv.none,cron.none   ?TmplMsg

现在，保存和文件出口VI /etc/rsyslog.conf

下面给出的是从我们的服务器的参考，编辑后/etc/rsyslog.conf，它看起来如下（验证您的文件，下面给出参考）
这里，egrep -v '^#|^$'命令将显示从文件只注释的行。

[root@localhost /]# egrep -v '^#|^$' /etc/rsyslog.conf -v
module(load="imuxsock") # provides support for local system logging (e.g. via logger command)
module(load="imklog")   # provides kernel logging support (previously done by rklogd)
module(load="imudp") # needs to be done just once
input(type="imudp" port="")
$ActionFileDefaultTemplate RSYSLOG_TraditionalFileFormat
$IncludeConfig /etc/rsyslog.d/*.conf
*.info;mail.none;authpriv.none;cron.none                /var/log/messages
authpriv.*                                              /var/log/secure
mail.*                                                  /var/log/maillog
cron.*                                                  /var/log/cron
*.emerg                                                 :omusrmsg:*
uucp,news.crit                                          /var/log/spooler
local7.*                                                /var/log/boot.log
$template TmplAuth, "/var/log/rsyslog_custom/%HOSTNAME%/%PROGRAMNAME%.log"
$template TmplMsg, "/var/log/rsyslog_custom/%HOSTNAME%/%PROGRAMNAME%.log"
authpriv.*   ?TmplAuth
*.info,mail.none,authpriv.none,cron.none   ?TmplMsg
[root@localhost /]# 

第4步：现在编辑文件/ etc / SYSCONFIG / rsyslog现在。而设定的SYSLOGD_OPTIONS不带参数

SYSLOGD_OPTIONS=""

见我们的服务器下面给出的参考

[root@localhost ~]# cat /etc/sysconfig/rsyslog
# Options for rsyslogd
# Syslogd options are deprecated since rsyslog v3.
# If you want to use them, switch to compatibility mode  by "-c 2"
# See rsyslogd() for more details
SYSLOGD_OPTIONS=""
[root@localhost ~]# 

第5步：启动/重新启动rsyslog现在服务

对于启动rsyslog现在

/etc/init.d/rsyslog start 

对于重新启动rsyslog现在

/etc/init.d/rsyslog restart 

[for stoping rsyslog, /etc/init.d/rsyslog stop]

创建在/ var / log中新目录

在创建新目录的/ var /日志称为rsyslog_custom。所以，我们将保留所有的服务器会记录这个目录中。

mkdir -p /var/log/rsyslog_custom

设置rsyslog现在SELINUX规则

有些系统管理员，禁用SELinux的。
如果你想保持SELINUX启用。使用如下命令
（阅读此篇，如果semanage的命令没有发现）

semanage fcontext -a -t syslogd_exec_t /sbin/rsyslogd
restorecon /sbin/rsyslogd

/usr/sbin/semanage fcontext -a -t var_log_t "/var/log/rsyslog_custom(/.*)?"
/sbin/restorecon -R -v /var/log/rsyslog_custom

对于rsyslog现在设置IPTABLES

rsyslog现在服务使用UDP端口号514 .Hence我们将设置的iptable仅此端口

编辑的/ etc / SYSCONFIG / iptables的

vi /etc/sysconfig/iptables

下面放规则给出始终高于任何拒绝 INPUT规则

-A INPUT -m state --state NEW -m udp -p udp --dport 514 -j ACCEPT

现在，保存并退出。重新启动iptables服务

/etc/init.d/iptables restart

使用iptables -nL命令检查的iptables规则

重新启动rsyslog现在，验证监听端口514的状态

/etc/init.rsyslog restart

检查端口514的监听状态

netstat -uanp|grep rsyslog

请参阅下面从我的服务器提供参考

[root@localhost ~]# netstat -uanp|grep rsyslog
udp               0.0.0.0:                 0.0.0.0:*                               /rsyslogd
udp               :::                      :::*                                    /rsyslogd
[root@localhost ~]# 

在客户端服务器配置rsyslog现在

要提取远程客户端servers.We日志将编辑在客户机上rsyslog.conf文件。该方法适用于基于红帽和Debian基于操作系统（例如RHEL，CentOS的，Debian的，Ubuntu的）

句法：
*.* @ip-address-of-rsyslog-server:514

例如：
编辑文件

vi /etc/rsyslog.conf

粘贴下面的线（与你的rsyslog现在服务器的IP地址替换192.168.56.102，这里514是UDP端口号）

*.* @192.168.56.102:514

保存并从文件/etc/rsyslog.conf退出并重新启动rsyslog现在服务

/etc/init.d/rsyslog restart

现在，在客户端系统重新登录，以便我们将捕获log.And相同的日志信息，我们将在rsyslog现在看到服务器

验证日志中rsyslog现在服务器

切换到目录/ var /日志/ rsyslog_custom。你必须看到，目录与客户机的主机名。而在那个目录中，你会看到一些日志。

cd /var/log/rsyslog_custom

从我的系统参考（输出将是你的情况不同）

[root@localhost ~]# ls -l /var/log/rsyslog_custom/
total
drwx------.  root root  Mar   : localhost
drwx------.  root root  Mar   : tuxworld
[root@localhost ~]#
[root@localhost ~]# ls -l /var/log/rsyslog_custom/tuxworld/
total
-rw-------.  root root  Mar   : CRON.log
-rw-------.  root root  Mar   : dbus.log
-rw-------.  root root  Mar   : dhclient.log
-rw-------.  root root    Mar   : kernel.log
-rw-------.  root root  Mar   : NetworkManager.log
-rw-------.  root root  Mar   : rsyslogd-.log
-rw-------.  root root  Mar   : rsyslogd.log
-rw-------.  root root  Mar   : sudo.log
-rw-------.  root root  Mar   : su.log
[root@localhost ~]# 

重要提示：设置所有的东西后，它是很好的做法，以检查在/ var / log / messages中。在任何rsyslog现在相关的错误/警告的情况下被发现

注：此rsyslog现在服务器的设置，建议在安全的内部网络中使用。该rsyslog现在服务器不应该被公开曝光。

如果你想确保rsyslog现在server.Use的iptable的只接受来自您所需的特定IP地址/网络日志。

例如只允许特定的IP地址与连接的日志rsyslog现在服务器。客户机的IP地址为192.168.56.1（与你的客户机的IP地址替换192.168.56.1 [ ifconfig]）

vi /etc/sysconfig/iptables

-A INPUT -m state --state NEW -m udp -p udp -s 192.168.56.1 --dport  -j ACCEPT

重新启动后，这个iptable的 /etc/init.d/iptables restart

例如。只允许特定的网络与连接的日志rsyslog现在服务器。网络子网10.0.0.0/255.255.255.0（从您的网络信息取代10.0.0.0/255.255.255.0）

vi /etc/sysconfig/iptables

-A INPUT -m state --state NEW -m udp -p udp -s 10.0.0.0/ --dport  -j ACCEPT

重新启动的iptable /etc/init.d/iptables restart

照搬链接

http://sharadchhetri.com/2014/03/01/install-and-configure-rsyslog-on-rhel-6-centos-6/

https://www.mtyun.com/library/5/how-to-config-rsyslog/