配置日志服务器收集日志文件

智者不为愚者谋，勇者不为怯者死。这篇文章主要讲述配置日志服务器收集日志文件相关的知识，希望能为你提供帮助。
@[toc]
1.配置rsyslog的c/s架构设置发送服务器为：192.168.19.10
设置接收服务器为：192.168.19.11
服务器-客户机，即Client-Server(C/S)结构。C/S结构通常采取两层结构。服务器负责数据的管理，客户机负责完成与用户的交互任务。
2.关闭服务端和客户端防火墙、selinuxsetenforce 0
systemctl stop firewalld
systemctl disable firewalld

文章图片

3.修改客户端配置文件，并启动服务vim /etc/ rsyslog. conf

文章图片

文章图片

($template myFormat, " %timestamp% %hostname% %syslogseverity-text% %syslogtag% %msg%\\n"
$ActionFileDefaultTemplate myFormat
*.info; mail.none; authpriv.none; cron.none@@192.168.19.11:514)
==#timestamp号:时间戳
#fromhost-ip8 :接收的信息来自于哪个节点的IP#Shostname号:主机名
#&syslogseverity-text号:日志等级
#&syslogtag号:服务进程
#号msg号:日志内容
#接收方IP前而一个@表示TCP传输，两个e表示UDP传输
br/>#Shostname号:主机名
#&syslogseverity-text号:日志等级
#&syslogtag号:服务进程
#号msg号:日志内容
#接收方IP前而一个@表示TCP传输，两个e表示UDP传输

文章图片

文章图片

客户端设置完毕后开始修改服务端配置文件，并启动服务
vim /etc/ rsyslog . conf

文章图片

在local7 自定义日志这一栏下把这串代码输入进去ip地址根据客户端具体地址来改变
$AllowedSender tcp, 192.168.19.0/24$template Remote," /data/log/%fromhost-ip%/%fromhost-ip%_%$YEAR%-%$MONTH%-%$DAY%.log"
:fromhost-ip, !isequal, " 127.0.0.1" ?Remote

文章图片

文章图片

mkdir -p /data/1og

文章图片

logger " hello world"

文章图片

文章图片

4.journaldtl 日志管理工具1.日志管理工具journalct1是centos7上专有的日志管理工具，该工具是从message这个文件里读取信息。
Systemd统一- 管理所有Unit的启动日志。带来的好处就是，可以只用journalctl-一个命令，查看所有日志(内核日志和应用日志)。
==日志的配置文件是/etc/ systemd/journald. conf==
#查看所有日志(默认情况下，只保存本次启动的日志)
journalctl
journalctl -r
#-r表示倒序，从尾部看(推荐)

文章图片

#查看内核日志(不显示应用日志)
journalctl -k

文章图片

【配置日志服务器收集日志文件】#查看系统本次启动的日志
==journalctl -b [-0]==
#查看.上一次启动的日志(需更改设置,如上次系统崩溃，需要查看日志时，就要看上一次的启动日志)
==journalctl -b -1==
#显示尾部指定行数的日志
查看的是/var/1og/messages的日志，但是格式上有所调整，如主机名格式不一样而已
==journalctl -n 20 [-f]==
#查看某个服务的日志(推荐）
==journalctl -u nginx.service [-f]==
#查看指定进程的日志
==journalctl _PID-1 ==
#查看指定用户的日志
==journalctl _UID=0 --since today==
==journalctl -xe==
# -x是目录(catalog)的意思，在报错的信息下会，附加解决问题的网址
#-e pager-end 从末尾开始看