一、 下載安裝
通過https://www.rsyslog.com/windows-agent/windows-agent-download/下載客戶端后,按照默認安裝完成后即進行配置,
二、 服務器測驗
點擊Tools>Syslog Test Message,填寫Syslog Server 服務器地址,Syslog Port埠(一般默認為UDP協議),然后點擊Send往日志服務器發送一條驗證訊息,如果服務器能收到表示通信正常可以收發日志,
三、 客戶端配置
3.1 轉發服務設定
進入Rule>Default RuleSet>ForwardRsyslog>Actions>Rsyslog,其中Syslog Target Options 中配置好日志服務器地址
Syslog Message Options 中配置好日志格式和編碼
3.2 系統日志型別選擇
進入Services>Event Log Monitor V2 >Event Channel選擇需要發送到日志服務器的事件日志型別,一般登錄資訊之類的包含在Security中,
3.3 日志過濾
默認的日志包含了較多我們不需要的資訊,會導致日志服務器的日志記錄增長非常快,也干擾日志查找,通過Rule>Default RuleSet>ForwardRsyslog>Filters可以很好的進行過濾,
這一部分需要自行進行測驗,一般通過message進行關鍵字過濾就可以達到很好的效果,完成這一步驟基本就完成全部配置了,
四、 日志服務器配置
這是我自己日志服務器的配置
[root@zht-app003 etc]# sed 's/^#.*//;/^$/d' rsyslog.conf $ModLoad imuxsock # provides support for local system logging (e.g. via logger command) $ModLoad imjournal # provides access to the systemd journal $ModLoad imudp $UDPServerRun 514 $template myFormat,"%timestamp% %fromhost-ip% %syslogtag% %msg%\n" $ActionFileDefaultTemplate myFormat $WorkDirectory /var/lib/rsyslog $template RemoteLogs,"/rsyslog/%fromhost-ip%/%fromhost-ip%_%$YEAR%-%$MONTH%-%$DAY%/%PROGRAMNAME%.log" :fromhost-ip, !isequal, "127.0.0.1" *.* ?RemoteLogs & ~ $IncludeConfig /etc/rsyslog.d/*.conf $OmitLocalLogging on $IMJournalStateFile imjournal.state *.info;mail.none;authpriv.none;cron.none /var/log/messages authpriv.* /var/log/secure mail.* -/var/log/maillog cron.* /var/log/cron *.emerg :omusrmsg:* uucp,news.crit /var/log/spooler local7.* /var/log/boot.log *.* @172.19.100.214:514 kern.warning;*.err;*.info;kern.debug;daemon.notice;mail.none;authpriv.none;cron.none /var/log/kern.log
root [ru?t] 詳細X 基本翻譯 n. 根;根源;詞根;祖先 vi. 生根;根除 vt. 生根,固定;根源在于 n. (Root)人名;(英)魯特;(德、瑞典)羅特 網路釋義 root: 根 square root: 平方根 cube root: 立方 每篇隨筆都來自作業經驗并親自試驗,確保每位讀者能夠接觸到正確的知識,部分隨筆多平臺發布,謝絕轉載!!!
轉載請註明出處,本文鏈接:https://www.uj5u.com/caozuo/295851.html
標籤:Linux