@[toc]

1.配置rsyslog的c/s架构

设置发送服务器为:192.168.19.10
设置接收服务器为:192.168.19.11
服务器-客户机,即Client-Server(C/S)结构。C/S结构通常采取两层结构。服务器负责数据的管理,客户机负责完成与用户的交互任务。

2.关闭服务端和客户端防火墙、selinux

setenforce 0
systemctl stop firewalld
systemctl disable firewalld
2.png

3.修改客户端配置文件,并启动服务

vim /etc/ rsyslog. conf
1.png
1.png

($template myFormat, "%timestamp% %hostname% %syslogseverity-text% %syslogtag% %msg%\n"
$ActionFileDefaultTemplate myFormat
*.info;mail.none;authpriv.none;cron.none @@192.168.19.11:514)

==#timestamp号:时间戳
#fromhost-ip8 :接收的信息来自于哪个节点的IPbr/>#Shostname号:主机名
#&syslogseverity-text号:日志等级
#&syslogtag号:服务进程
#号msg号:日志内容
#接收方IP前而一个@表示TCP传输,两个e表示UDP传输
systemctl restart rsyslog==

3.png
1.png
1.png
客户端设置完毕后 开始修改服务端配置文件,并启动服务
vim /etc/ rsyslog . conf
1.png
在local7 自定义日志这一栏下把这串代码输入进去 ip地址根据客户端具体地址来改变
$AllowedSender tcp, 192.168.19.0/24 $template Remote,"/data/log/%fromhost-ip%/%fromhost-ip%_%$YEAR%-%$MONTH%-%$DAY%.log"
:fromhost-ip, !isequal, "127.0.0.1" ?Remote
1.png
3.png
4.png
2.png
mkdir -p /data/1og
1.png
logger "hello world"
4.png
1.png
5.png

4.journaldtl 日志管理工具

1.日志管理工具journalct1是centos7上专有的日志管理工具,该工具是从message这个文件里读取信息。
Systemd统一- 管理所有Unit的启动日志。带来的好处就是,可以只用journalctl-一个命令,查看所有日志(内核日志和应用日志)。

==日志的配置文件是/etc/ systemd/journald. conf==
#查看所有日志(默认情况下,只保存本次启动的日志)
journalctl
journalctl -r
#-r表示倒序,从尾部看(推荐)
1.png
#查看内核日志(不显示应用日志)
journalctl -k
1.png

#查看系统本次启动的日志
==journalctl -b [-0]==

#查看.上一次启动的日志(需更改设置,如上次系统崩溃,需要查看日志时,就要看上一次的启动日志)
==journalctl -b -1==

#显示尾部指定行数的日志
查看的是/var/1og/messages的日志,但是格式上有所调整,如主机名格式不一样而已
==journalctl -n 20 [-f]==
#查看某个服务的日志(推荐)
==journalctl -u nginx.service [-f]==
#查看指定进程的日志
==journalctl _PID-1 ==

#查看指定用户的日志
==journalctl _UID=0 --since today==
==journalctl -xe==
# -x是目录(catalog)的意思,在报错的信息下会,附加解决问题的网址
#-e pager-end 从末尾开始看