ELK 是elastic公司提供的一套完整的日志收集以及展示的解决方案，这是我在ELK学习和实践过程写下的笔记，整理成了一个ELK入门到实践的系列文章，分享出来与大家共勉。本文为该系列文章的第一篇，通过rsyslog搭建集中日志服务器，收集linux和window系统日志。

我们通常可以通过rsyslog来实现系统日志的集中管理，这种情况下通常会有一个日志服务器，然后每台服务器配置自己日志通过rsyslog来写到远程的日志服务器上，如下是rsyslog的配置过程：

0x01 rsyslog服务端配置

1、启用UDP/TCP进行传输

vim /etc/rsyslog.conf# Provides UDP syslog reception    #若启用UDP进行传输，则取消下面两行的注释$ModLoad imudp$UDPServerRun 514# Provides TCP syslog reception    #若启用TCP进行传输，则取消下面两行的注释#$ModLoad imtcp#$InputTCPServerRun 514

2、为避免修改主配置文件，我们在/etc/rsyslog.d/中新建default.conf，追加如下模板：

#### GLOBAL DIRECTIVES ##### Use default timestamp format  # 使用自定义的日志格式$ActionFileDefaultTemplate RSYSLOG_TraditionalFileFormat$template myFormat,"%timestamp% %fromhost-ip% %syslogtag% %msg%\n"$ActionFileDefaultTemplate myFormat# 根据客户端的IP单独存放主机日志在不同目录，rsyslog需要手动创建$template RemoteLogs,"/var/log/rsyslog/%fromhost-ip%/%fromhost-ip%_%$YEAR%-%$MONTH%-%$DAY%.log"# 排除本地主机IP日志记录，只记录远程主机日志:fromhost-ip, !isequal, "127.0.0.1" ?RemoteLogs# 忽略之前所有的日志，远程主机日志记录完之后不再继续往下记录& ~

3、重启rsyslog服务

systemctl restart rsyslog

0x02 rsyslog客户务端配置

1、启用UDP进行传输并设置远程日志服务器

vim /etc/rsyslog.conf# Provides UDP syslog reception    #若启用UDP进行传输，则取消下面两行的注释$ModLoad imudp$UDPServerRun 514# Provides TCP syslog reception    #若启用TCP进行传输，则取消下面两行的注释#$ModLoad imtcp#$InputTCPServerRun 514*.*    @192.168.91.18:514          #若启用TCP传输则使用@@，若是UDP则使用@

2、重启rsyslog服务

systemctl restart rsyslog

0x03 效果展示

通过使用自定义日志格式，将不同服务器IP的日志单独分别存放在不同目录。到这里，使用rsyslog服务端和linux系统日志收集已完成。

0x04 扩展部分：Rsyslog Windows Agent

一般情况下，我们会使用winlogbeat用于收集windows的系统事件日志，但其实rsyslog自身也提供了一个Rsyslog Windows代理，用来收集windows日志。

下载地址：https://www.rsyslog.com/windows-agent/windows-agent-download/

安装过程：

1、双击rsyslogwa安装包，开始进行安装

2、一路Next安装即可。PS：在这里可能需要等几分钟。

操作使用：

1、打开RSyslog Windows Agent Configuration，在Tools---> Stslog Test Message，配置Syslog  Server服务器地址，点击Send，进行测试。

在Rsyslog服务端，接收到一条测试日志，说明Rsyslog通讯正常。

Nov 1 13:23:18 192.168.165.193 RSyslog Windows Agent: This is a SyslogTest

2、依次展示RuleSets，进行Rsyslog转发配置，并启用服务。

在rsyslog服务端进行验证，如尝试远程连接window服务器，可接收到多条服务器日志。

最后，我创建了一个付费社群，用于分享高质量安全干货，有兴趣的童鞋都可以加入!