rsyslog日志服务器收集ensp设备日志

环境准备： vmware安装linux服务器并安装rsyslog服务，Linux桥接到windows环回口网卡； ensp也桥接windows环回口网卡，使linux可以ping通ensp上的设备即可。 修改配置文件/etc/sysconfig/rsyslog [root@rsyslog-server ~]# vim /etc/sysconfig/rsyslog SYSLOGD_OPTIONS="-r -m 0" -r 允许接受外来日志消息 -m 0表示给日志添加-- MARK --标记，0表示关闭标记 修改配置文件/etc/rsyslog.conf [root@rsyslog-server ~]# vim /etc/rsyslog.conf

$ModLoad imudp
$UDPServerRun 514
$template IpTemplate,"/var/log/remote/%FROMHOST-IP%/%$YEAR%-%$MONTH%-%$DAY%.log"
:fromhost-ip, !isequal, "127.0.0.1" ?IpTemplate
& ~

上面开启udp514端口，设置了日志的存放目录和格式，这个格式很好。 修改配置文件都需要重启服务 [root@rsyslog-server ~]# systemctl restart rsyslog 交换机日志中心配置： <SW1>dis cu | in info info-center loghost source GigabitEthernet0/0/1 info-center loghost 100.100.100.254 facility local0 默认的配置没有显示出来 info-center enable info-center loghost source GigabitEthernet0/0/1 info-center loghost 100.100.100.254 facility local0 info-center source default channel 2 log level informational 说明一下：华为设备上的local0-7对rsyslog服务好像并没有影响，若rsyslog服务器上配置了local6.* /var/log/huawei.log，那华为设备local0-7要对应起来。这样配置日志都输入到huawei.log里面，并没有分开。 参考： https://www.cnblogs.com/vennus/p/12273764.html https://blog.csdn.net/l_vip/article/details/78539551 https://support.huawei.com/enterprise/zh/doc/EDOC1100066214/4c95c15b https://support.huawei.com/enterprise/zh/doc/EDOC1100116600/97c006ec https://blog.csdn.net/sunny_na/article/details/65444326 https://wenku.baidu.com/view/3235bcd30408763231126edb6f1aff00bed570ce.html