Linux Rsyslog 配置

1、Linux Rsyslog客户端配置

1）安装rsyslog

yum install rsyslog

2）启用TCP或UDP传输 

vim /etc/rsyslog.conf# Provides UDP syslog reception			#若启用UDP进行传输，则取消下面两行的注释
#$ModLoad imudp
#$UDPServerRun 514# Provides TCP syslog reception     #若启用TCP进行传输，则取消下面两行的注释
$ModLoad imtcp
$InputTCPServerRun 514*.* @@192.168.44.130:514    ---@@代表TCP，@代表UDP

3）重启rsyslog服务 

systemctl restart rsyslog.service

2、配置文件部分内容

#### MODULES ####             #定义日志的模块，远程日志的配置也在这（我个人习惯，在配置服务器的时候用于接受日志的template，rulesets，input和allowsender都是写在这个模块下的，测试可用）$ModLoad imuxsock             #imuxsock模块，支持本地系统日志的模块
$ModLoad imjournal            #imjournal模块，支持对系统日志的访问（此模块与上一模块默认启用）
#$ModLoad imklog              #imklog模块，支持内核日志的模块
#$ModLoad immark              #immark模块，支持日志标记# Provides UDP syslog reception    #提供远程rsyslog日志的udp协议的接收支持
# $ModLoad imudp                   #imudp模块，用于支持udp协议
# $UDPServerRun 514                #允许通过514端口接收使用udp协议的远程日志
# Provides TCP syslog reception    #提供远程rsyslog日志的tcp协议的接收支持
# $ModLoad imtcp                   #imtcp模块，用于支持tcp协议
# $InputTCPServerRun 514           #允许通过514端口接收使用tcp协议的远程日志#### GLOBAL DIRECTIVES ####    #定义全局日志格式的指令# Where to place auxiliary files
$WorkDirectory /var/lib/rsyslog       #工作目录# Use default timestamp format
$ActionFileDefaultTemplate RSYSLOG_TraditionalFileFormat   #定义日志格式默认模板（可以自行设定，参看template部分）# $ActionFileEnableSync on                             #文件同步功能，很少用，默认禁止# Include all conifig files in /etc/rsyslog.d/
$IncludeConfig /etc/rsyslog.d/*.conf                   #需要引入的自定义配置文件的路径$OmitLocalLogging on                                      #关闭通过本地日志接口接收消息，现使用imjournal模块作为替代# File to store the position in the journal
$IMJournalStateFile imjournal.state                   #见英文注释，用的不多，暂时不管#### RULES ##### 内核消息，默认不启用
# kern.*                                  /dev/console# 记录所有日志类型的，信息等级大于等于info级别的信息到messages文件（mail邮件信息，authpriv验证信息和corn时间和任务信息除外）
*.info;mail.none;authpriv.none;cron.none      /var/log/messages# authpriv验证相关的所有信息存放在/var/log/secure
authpriv.*                                /var/log/secure# 邮件的所有信息存在/var/log/maillog；这里有一个“-”符号表示是使用异步的方式记录
mail.*                                   -/var/log/maillog# 任务计划有关的信息存放在/var/log/cron
cron.*                                   /var/log/cron# 记录所有的≥emerg级别信息，发送给每个登录到系统的日志
*.emerg                                 :omusrmsg:*# 记录uucp，news.crit等存放在/var/log/spooler
uucp,news.crit                            /var/log/spooler# 本地服务器的启动的所有日志存放在/var/log/boot.log
local7.*                                  /var/log/boot.log#### begin forwarding rule ####               #远程转发的配置，只要去除转发配置前面的注释就可使用。不用去除modules部分imtcp/imudp的注释，不必修改上面的任何配置。
#日志发送的配置，@表示传输协议（@表示udp，@@表示tcp），后面是ip和端口，格式可配置
#*.* @@remote-host:514
#### end of the forwarding rule ####