ubuntu 10.04下搭建rsyslog Server实现简单管理存储远程主机日志

1.服务器端
 #apt-get update
 #apt-get install rsyslog
 
 修改配置文件
 #vim /etc/rsyslog.conf        =====去掉下面三行前面的#号注释符
 $ModLoad immark  
 $ModLoad imudp
 $UDPServerRun 514
 保存退出
 
 #vim /etc/default/rsyslog
 #修改如下
 RSYSLOGD_OPTIONS=”-c5 -r -x”
 保存退出
 
 重启rsyslog
 #/etc/init.d/rsyslog restart
 
 查看其是否启动
 #netstat -nultp | grep 514
 好了,这样rsyslog就能够接收远程主机日志了。
 我们这里简单的试验一下,如下
 
 2.客服端(远程主机,系统是ubuntu 10.04,其他linux系统一样)
 #apt-get update
 #apt-get install rsyslog
 
 修改配置文件
 #vim /etc/rsyslog.conf
 *.* @ip  #ip为rsyslog server的ip
说明:第一个*号字段为什么服务如:mail、kernel、ftpd等,这里的*号代表所有服务
            第二个*号字段为记录相应服务的日志级别如info、warn、err等,这里*号代表说有级别
            即所有服务的说有日志都会发送到10.48.255.244这台主机上
注意:如果server端开启的是tcp的514端口,上面就应该这样写:*.*    @@rsyslog-server-ip
 
 重启rsyslog 即可
 #/etc/init.d/rsyslog restart
 
 3.根椐客服端的配置我们将接收的日志保存的rsyslog server本地硬盘上
 修改配置文件
 #vim /etc/rsyslog.d/50-default.conf
 #增加
 *.* /var/log/remotehost.log
 
 新建保存日志文件
 #touch /var/log/remotehost.log
 
 重启rsyslog server
 #/etc/init.d/rsyslog restart
 
 4.验证
 在 rsyslog server端,用tail动态查看
 #tail -f /var/log/remotehost.log
 
 在客服端(远程主机)新增加一个用户,你将会看到tail -f /var/log/remotehost.log 会有相关增加用户的日志输出