服务器配置

备份 rsyslog 文件配置

[jack@onitroad ~]# cp /etc/rsyslog.conf /etc/rsyslog.conf.orig

打开rsyslog文件配置

[jack@onitroad ~]# vi /etc/rsyslog.conf

查找并取消注释以下行，使服务器侦听 udp 和 tcp 端口。

[...]
$ModLoad imudp
$UDPServerRun 514
[...]
$ModLoad imtcp
$InputTCPServerRun 514
[...]

添加以下几行以创建一个模板来存储客户端转发的日志

$template TmplAuth, "/var/log/client_logs/%HOSTNAME%/%PROGRAMNAME%.log"
$template TmplMsg, "/var/log/client_logs/%HOSTNAME%/%PROGRAMNAME%.log"
authpriv.* ?TmplAuth
*.info;mail.none;authpriv.none;cron.none ?TmplMsg

保存并关闭文件。

创建 Rsyslog 客户端目录“client_logs”

[jack@onitroad ~]# mkdir /var/log/client_logs

在防火墙上允许 Rsyslog 默认端口 514.
以下命令将通过 firewalld 打开此端口。

[jack@onitroad ~]# firewall-cmd --permanent --add-port=514/udp
[jack@onitroad ~]# firewall-cmd --permanent --add-port=514/tcp

重启 firewalld 服务使更改生效。

[jack@onitroad ~]# firewall-cmd --reload

最后使用以下命令重新加载 Rsyslog 服务

[jack@onitroad ~]# systemctl restart rsyslog

环境：

为了测试，我们将使用 2 个 Centos 7 服务器，一个充当 rsyslog 服务器，另一个充当客户端。

Rsyslog 服务器：

操作系统：CentOS 7
IP 地址：192.168.1.200
主机名：logserver.onitroad.com

客户端服务器：

操作系统：CentOS 7
IP 地址：192.168.1.201
主机名：server01.onitroad.com

如何在 CentOS 7/RHEL7 上使用 Rsyslog 设置一个集中式日志服务器，以从一个公共位置管理客户端系统的日志。
当我们要检查客户端系统的日志文件时，我们不必访问客户端系统。
如果网络上有大量系统并希望从集中式专用日志服务器进行日志管理，这将非常有用。

客户端配置

备份 rsyslog 文件配置

[jack@onitroad ~]# cp /etc/rsyslog.conf /etc/rsyslog.conf.orig

打开rsyslog文件配置

[jack@onitroad ~]# vi /etc/rsyslog.conf

在 ##RULES## 指令部分下，添加以下行：

[...]
        ##RULES## 
*.* @192.168.1.200:514
[...]

最后使用以下命令重新加载 Rsyslog 服务

[jack@onitroad ~]# systemctl restart rsyslog