一、配置安裝環(huán)境

linux centOS 7.4

配置網(wǎng)絡(luò)，具體見http://www.itdecent.cn/p/cb8d0e6758ab

二、安裝配置rsyslog

1）安裝rsyslog

[root@localhost ~]#yum -y install rsyslog

2）更新下系統(tǒng)的其他包

[root@localhost ~]#yum update

（說明：

配置文件/etc/rsyslog.conf大概分為三個部分

####MODULES####

這個部分是針對接收配置的，主要是指定接收日志的協(xié)議和端口。若要配置日志服務(wù)器，則需要將相應的配置項去掉注釋。

####GLOBAL DIRECTIVES####

這個部分主要用來配置模板，模板的作用是指定你希望在日志文件中保存的日志格式。

#### RULES ####

這一部分是規(guī)則文件，每行配置分兩個字段，第一字段是說明要記錄哪類日志（包括消息類型和等級），第二字段是說明日志存放位置（action），可以是本地文件，也可以是遠程服務(wù)器。）

3）[root@localhost ~]#vi /etc/rsyslog.conf

4）:set nu顯示行號

5）允許rsyslog后臺進程在TCP/UDP協(xié)議的514端口上接收日志信息，rsyslog后臺進程是可以同時監(jiān)聽TCP/UDP連接的。

15，16，19，20前面的#去掉

6）在#### GLOBAL DIRECTIVES ####前添加下面的內(nèi)容：

#將所有從遠程客戶端接受到的消息寫入到一個以它們的IP地址命名的單個文件中

$template RemoteLogs,"/var/log/devicelog/%HOSTNAME%/%PROGRAMNAME%.log"

*.* ?RemoteLogs

& ~

#排除本地主機IP日志記錄，只記錄遠程主機日志

fromhost-ip, !isequal, "127.0.0.1"

?Remote

& ~

（說明：

第一行$template 定義模板名稱RemoteLogs（“RemoteLogs” 可以為其它名字），日志存入到/var/log/devicelog路徑下。而日志文件名則依據(jù)發(fā)送遠程日志的機器名及應用程序名來定義。

第二行*.*? ?RemoteLogs暗含運行用模板RemoteLogs于所有的接收日志。

第三行& ~則告訴rsyslog后臺進程停止進一步去處理日志信息,即不對它們進行本地化寫入，它是代表一個重定向規(guī)則。如果沒有這一行，則意味著接收到的日志會寫入兩次，一次如前兩行寫的方式寫，第二次則以本地日志記錄的方式寫入。運行這個規(guī)則的另一個結(jié)論則是日志服務(wù)器自己的日志信息只會寫入到依照機器主機名命名的文件中。）

7）重啟下服務(wù)，并加入開機啟動

[root@localhost ~]#systemctl restart rsyslog

[root@localhost ~]#systemctl enable rsyslog

8）驗證下端口

[root@localhost ~]#netstat -antup | grep 514

9）配置防火墻規(guī)則

[root@localhost ~]#firewall-cmd --permanent --zone=public --add-port=514/tcp

[root@localhost ~]#firewall-cmd --permanent --zone=public --add-port=514/udp

[root@localhost ~]#firewall-cmd --reload

10）將要連接syslog的設(shè)備設(shè)置好syslog環(huán)境的ip和端口，然后在本機查看日志

[root@localhost ~]#mkdir /var/log/devicelog/

[root@localhost ~]#cd /var/log/devicelog/