linux安装配置Syslog客户端以及服务端

一、安装syslog

yum install -y rsyslog.x86_64

二、配置linux的日志服务器，（服务端 192.168.126.154，接收）： 服务端主要做的是配置监听端口，决定采用TCP还是UDP方式。本例采用UDP

修改配置文件中SYSLOGD_OPTIONS=“-c 5” 添加“ -r选项”即可，目的可以让服务器能够接受客户端传来的数据

-r表示允许接收外来的消息，-x表示不解析DNS,

#-m 0表示时间戳标记间隔,如果指定只接受某个或多个ip过来的日志，例"-s 192.168.1.1:192.168.1.2"

vi  /etc/sysconfig/rsyslog

[root@SyslogVM etc]# vi  /etc/sysconfig/rsyslog
# Options for rsyslogd
# Syslogd options are deprecated since rsyslog v3.
# If you want to use them, switch to compatibility mode 2 by "-c 2"
# See rsyslogd(8) for more details
SYSLOGD_OPTIONS="-r -c 5"

修改/etc/rsyslog.conf文件，指定传输方式、端口、日志存放位置

[root@SyslogVM etc]# vim /etc/rsyslog.conf
 
使用UDP接收方式:
$ModLoad imudp
$UDPServerRun 514
 
日志存放位置：客户端传来的日志记录在remote.log中
*.* /var/log/syslog/remote.log

重启syslog服务

[root@SyslogVM etc]# systemctl restart rsyslog

三、linux配置syslog的日志客户端，（客户端 192.168.126.159，发送）： 客户端主要做的是配置需要转储的日志，还有转储方式(TCP、UDP)，客户端/etc/rsyslog.conf配置如下：

在syslog配置文件中修改/etc/rsyslog.conf：

vi /etc/rsyslog.conf

# Provides UDP syslog reception
$ModLoad imudp
$UDPServerRun 514

*.*   @10.21.144.111  #第一个*表示所有的日志类别，10.21.144.111远端日志服务器地址,一个@表示UDP协议，TCP协议使用两个@
*.* /var/log/syslog/client.log  #客户端日志存储位置
路径1：/var/log/messages：记录 Linux 内核消息及各种应用程序的公共日志信息
路径2：/var/log/cron：记录 crond 计划任务产生的事件信息
路径3：/var/log/dmesg：记录 Linux 操作系统在引导过程中的各种事件信息
路径4：/var/log/maillog：记录进入或发出系统的电子邮件活动
路径5：/var/log/lastlog：记录每个用户最近的登录事件
路径6：/var/log/secure：记录用户认证相关的安全事件信息
路径7：/var/log/wtmp：记录每个用户登录、注销及系统启动和停机事件
路径8：/var/log/btmp：记录失败的、错误的登录尝试及验证事件

#### RULES ####
# Log all kernel messages to the console.
# Logging much else clutters up the screen.
kern.*                                                 /dev/console

重启syslog服务,添加开机启动，查看监听端口

 systemctl restart rsyslog
systemctl enable rsyslog
netstat -anup | grep syslog

配置防火墙

firewall-cmd --permanent --zone=public --add-port=514/tcp
firewall-cmd --permanent --zone=public --add-port=514/udp
firewall-cmd --reload

四、windows配置syslog的日志客户端

下载Evtsys_4.5.1_64-Bit-LP，cmd运行，
a.默认的把该机器上所有的日志传送到日志服务器
b.如果只指定日志类型 -l 1,2,3 0=All/Verbose, 1=Critical, 2=Error, 3=Warning, 4=Info 是全部 如果有多个 中间用逗号隔开
c.用下面指令 evtsys.exe -i -h 172.31.32.3 -p 514 -l 1,2,3

evtsys.exe ?
evtsys.exe -i -h 192.168.126.157 -p 514 -l 1,2,3
启动evtsys服务
net start evtsys

运行–输入services.msc --检测Eventlog to Syslog是否自动启动

卸载evtsys服务
c:\ELK\64-Bit-LP>evtsys.exe -u -h x.x.x.x -p 514 -l 1,2,3

五、测试syslog日志服务器是否可用：

在客户端192.168.126.159上可以使用logger命令来写入一条系统日志，比如：
[root@zhang syslog]# logger 'hello world'


然后在日志服务器上192.168.126.154查看log master机器上的/var/log/syslog/remote.log文件，可以看到类似下面的内容：
[root@SyslogVM syslog]# cat /var/log/syslog/remote.log | grep 'hello world'| head -n 5
Feb 18 14:05:32 zhang root: hello world
Feb 18 14:09:28 zhang root: hello world
其中包括了日期，日志来源（机器名称），进程名和日志内容。