rsyslog 是一个 syslogd 的多线程增强版。
rsyslog日志服务器的优势:
1、日志统一,集中式管理
2、日志实时传送到一个更加安全的远端服务器上,真正记录用户行为,使日志的2次更改可能性大大降低,从而能够对日志进行真实回放,便于问题追踪。
客户端机器(发送用户操作记录)
/etc/profile.d 增加cmd.sh脚本,内容如下
export PROMPT_COMMAND='{ msg=$(history 1 | { read x y; echo $y; });logger -p local3.debug "{euid=$(whoami)]":$(who am i):[`pwd`]"$msg"; }'
注:logger 命令用于产生日志,-p指定日志级别
/etc/rsyslog.conf 增加如下配置
local3.* @@10.160.65.91
authpriv.* @@10.160.65.91
@@表示tcp @表示udp
service rsyslog restart
服务端机器(接收)
$ModLoad imudp
$UDPServerRun 514
$ModLoad imtcp.so # needs to be done just once #使用tcp方式
$InputTCPServerRun 514 # tcp接收信息的端口
authpriv.* @@serverip
local3.* /var/log/all.log
service rsyslog restart
采用logrotate做日志轮转
rsyslog日志服务器的优势:
1、日志统一,集中式管理
2、日志实时传送到一个更加安全的远端服务器上,真正记录用户行为,使日志的2次更改可能性大大降低,从而能够对日志进行真实回放,便于问题追踪。
客户端机器(发送用户操作记录)
/etc/profile.d 增加cmd.sh脚本,内容如下
export PROMPT_COMMAND='{ msg=$(history 1 | { read x y; echo $y; });logger -p local3.debug "{euid=$(whoami)]":$(who am i):[`pwd`]"$msg"; }'
注:logger 命令用于产生日志,-p指定日志级别
/etc/rsyslog.conf 增加如下配置
local3.* @@10.160.65.91
authpriv.* @@10.160.65.91
@@表示tcp @表示udp
service rsyslog restart
服务端机器(接收)
$ModLoad imudp
$UDPServerRun 514
$ModLoad imtcp.so # needs to be done just once #使用tcp方式
$InputTCPServerRun 514 # tcp接收信息的端口
authpriv.* @@serverip
local3.* /var/log/all.log
service rsyslog restart
采用logrotate做日志轮转
/etc/logrotate.d/syslog 增加
/var/log/all.log
查看轮转过程
logrotate -vf /etc/logrotate.conf