rsyslog搭建远程日志服务器

背景

在两台机器上，通过rsyslog提供的日志转发功能，将其中一台机器的日志转发到另一台，也就是需要一个日志服务器。

机器环境

服务端：CentOS 7.2系统
客户端：CentOS 6.5系统

服务搭建

1、服务端

服务端主要做的是配置监听端口，决定采用TCP还是UDP方式。本例子使用UDP方式，服务端配置/etc/rsyslog.conf如下，

[root@CentOS-7-2 /var/log]# egrep -v "^#|^$" /etc/rsyslog.conf
$ModLoad imuxsock # provides support for local system logging (e.g. via logger command)
$ModLoad imjournal # provides access to the systemd journal
$ModLoad imudp
$UDPServerRun 514
$WorkDirectory /var/lib/rsyslog
$ActionFileDefaultTemplate RSYSLOG_TraditionalFileFormat
$IncludeConfig /etc/rsyslog.d/*.conf
$OmitLocalLogging on
$IMJournalStateFile imjournal.state
*.info;mail.none;authpriv.none;cron.none                /var/log/messages
authpriv.*                                              /var/log/secure
mail.*                                                  -/var/log/maillog
cron.*                                                  /var/log/cron
*.emerg                                                 :omusrmsg:*
uucp,news.crit                                          /var/log/spooler
local7.*                                                /var/log/boot.log
local6.*     /var/log/remote.log

有两个注意点，
A、使用UDP接收方式，因此将原配置中UDP相关配置打开，

$ModLoad imudp
$UDPServerRun 514

如果想采用TCP方式，可将以下配置前的注释去掉即可，

#$ModLoad imtcp
#$InputTCPServerRun 514

B、日志存放位置

从远端传过来的日志位置默认按照客户端的标记存放到对应的文件中，比如在客户端/etc/rsyslog.conf中有以下配置，

local6.*    /var/log/commands.log

当该日志传输到服务器端时，仍然按照local6 的规则存放。如果没有配置对应的规则就无法存放到服务器端。

配置完重启rsyslog服务，查看监听端口是否正常，

[root@CentOS-7-2 /var/log]# systemctl restart rsyslog
[root@CentOS-7-2 /var/log]# netstat -anup | grep syslog
udp        0      0 0.0.0.0:514             0.0.0.0:*                           6512/rsyslogd
udp6       0      0 :::514                  :::*                                6512/rsyslogd

可见，服务端已经在监听UDP 514端口，这就意味着服务端配置OK。

2、客户端

客户端主要做的是配置需要转储的日志，还有转储方式(TCP、UDP)，客户端/etc/rsyslog.conf配置如下，

[root@CentOS-6-5 ~]# egrep -v "^#|^$" /etc/rsyslog.conf
$ModLoad imuxsock # provides support for local system logging (e.g. via logger command)
$ModLoad imklog   # provides kernel logging support (previously done by rklogd)
$ActionFileDefaultTemplate RSYSLOG_TraditionalFileFormat
$IncludeConfig /etc/rsyslog.d/*.conf
*.info;mail.none;authpriv.none;cron.none                /var/log/messages
authpriv.*                                              /var/log/secure
mail.*                                                  -/var/log/maillog
cron.*                                                  /var/log/cron
*.emerg                                                 *
uucp,news.crit                                          /var/log/spooler
local7.*                                                /var/log/boot.log
$template SpiceTmpl,"%TIMESTAMP%.%TIMESTAMP:::date-subseconds% %syslogtag% %syslogseverity-text%:%msg:::sp-if-no-1st-sp%%msg:::drop-last-lf%\n"
:programname, startswith, "spice-vdagent" /var/log/spice-vdagent.log;SpiceTmpl
local6.*    /var/log/commands.log
local6.*    @192.168.0.100

其中，local6是我新定义的日志类别，192.168.0.100是远端日志服务器地址，也就是我CentOS 7.2的地址。这里一个@符号表示是用UDP协议，如果使用TCP协议，则使用两个@，

local6.*    @@192.168.0.100

当前，使用TCP或者UDP需要客户端和服务端匹配，别一个定义的是UDP，另一个用的是TCP，那自然是会出问题的。

同样，配置完后重启rsyslog服务。

效果

客户端和服务端配置完成后，就能在服务端看到客户端发来的日志，我们上面的配置会将客户端日志保存到服务端/var/log/remote.log文件中，