1.配置rsyslog的c/s架构

设置发送服务器为:192.168.19.10 设置接收服务器为:192.168.19.11 服务器-客户机,即Client-Server(C/S)结构。C/S结构通常采取两层结构。服务器负责数据的管理,客户机负责完成与用户的交互任务。

2.关闭服务端和客户端防火墙、selinux

setenforce 0 systemctl stop firewalld systemctl disable firewalld 2.png

3.修改客户端配置文件,并启动服务

vim /etc/ rsyslog. conf 1.png 1.png

($template myFormat, "%timestamp% %hostname% %syslogseverity-text% %syslogtag% %msg%\n" $ActionFileDefaultTemplate myFormat *.info;mail.none;authpriv.none;cron.none @@192.168.19.11:514)

==#timestamp号:时间戳 #fromhost-ip8 :接收的信息来自于哪个节点的IP #Shostname号:主机名 #&syslogseverity-text号:日志等级 #&syslogtag号:服务进程 #号msg号:日志内容 #接收方IP前而一个@表示TCP传输,两个e表示UDP传输 systemctl restart rsyslog==

3.png 1.png 1.png 客户端设置完毕后 开始修改服务端配置文件,并启动服务 vim /etc/ rsyslog . conf 1.png 在local7 自定义日志这一栏下把这串代码输入进去 ip地址根据客户端具体地址来改变 $AllowedSender tcp, 192.168.19.0/24 $template Remote,"/data/log/%fromhost-ip%/%fromhost-ip%_%$YEAR%-%$MONTH%-%$DAY%.log"
:fromhost-ip, !isequal, "127.0.0.1" ?Remote 1.png 3.png 4.png 2.png mkdir -p /data/1og 1.png logger "hello world" 4.png 1.png 5.png

4.journaldtl 日志管理工具

1.日志管理工具journalct1是centos7上专有的日志管理工具,该工具是从message这个文件里读取信息。 Systemd统一- 管理所有Unit的启动日志。带来的好处就是,可以只用journalctl-一个命令,查看所有日志(内核日志和应用日志)。 ==日志的配置文件是/etc/ systemd/journald. conf== #查看所有日志(默认情况下,只保存本次启动的日志) journalctl journalctl -r #-r表示倒序,从尾部看(推荐) 1.png #查看内核日志(不显示应用日志) journalctl -k 1.png

#查看系统本次启动的日志 ==journalctl -b [-0]==

#查看.上一次启动的日志(需更改设置,如上次系统崩溃,需要查看日志时,就要看上一次的启动日志) ==journalctl -b -1==

#显示尾部指定行数的日志 查看的是/var/1og/messages的日志,但是格式上有所调整,如主机名格式不一样而已 ==journalctl -n 20 [-f]== #查看某个服务的日志(推荐) ==journalctl -u nginx.service [-f]== #查看指定进程的日志 ==journalctl _PID-1 ==

#查看指定用户的日志 ==journalctl _UID=0 --since today== ==journalctl -xe== # -x是目录(catalog)的意思,在报错的信息下会,附加解决问题的网址 #-e pager-end 从末尾开始看