服务端&＃xff08;接收日志&＃xff09;

1、修改日志服务配置文件

vim /etc/rsyslog.conf

14# Provides UDP syslog reception&＃xff08;想接收UDP协议&＃xff0c;就把下面两行注释删除&＃xff09;

15 #$ModLoad imudp

16 #$UDPServerRun 514

17

18 # Provides TCP syslog reception&＃xff08;想接收TCP协议&＃xff0c;就把下面两行注释删除&＃xff09;

19 #$ModLoad imtcp

       20 #$InputTCPServerRun 514

保存退出&＃xff0c;并重置服务

systemctl restart rsyslog.conf

2、查看514端口状态

                netstat -lntup | grep 514

客户端&＃xff08;发送日志&＃xff09;

1、修改日志配置文件

                vim /etc/rsyslog.conf

把90行的命令复制两次

*.* &＃64;&＃64;remote-host:514&＃xff08;TCP&＃xff09;

*.* &＃64;remote-host:514&＃xff08;UDP&＃xff09;

第一个*表示的是发送的日志类别&＃xff08;*表示发送所有日志&＃xff09;

第二个*表示的是发送日志的级别&＃xff08;*表示全级别&＃xff09;

&＃64;表示发送UDP协议

&＃64;&＃64;表示发送TCP协议

Remote-host就是服务端的地址

保存退出后&＃xff0c;同样重启服务

二、测试

            1、服务端首先把防火墙关闭

              systemctl stop firewalld.service

             2、监听日志

tail -f /var/log/messages

tail默认显示十行文件的末尾内容

                -f 显示文件最新追加的内容

3、客户端输入logger test1

4、服务端就可以看到client的日志已经同步过来了

三、同步过来的日志实现分类存放

        1、修改服务端的配置文件

        vim /etc/rsyslog.conf

        在# ### begin forwarding rule ###模块中添加一条命令

        :fromhost-ip,isequal,"192.168.91.134" /var/log/client/client.log

         &＃xff08;如果是root用户配置的&＃xff0c;那么client文件夹就会自动建立&＃xff09;

192.168.91.134是客户端的IP地址

 /var/log/client/client.log是服务端建立的接收客户端日志的文件夹

保存退出&＃xff0c;重启服务

Systemctl restart rsyslog.service

        2、客户端输入logger test2

        3、服务端查看

        

来自客户端的日志文件被单独存放到一个文件夹里了&＃xff0c;这样更方便管理。