rsyslog部署
因系统自带rsyslog所以不需要安装,如果没有则直接yum install rsyslog -y安装。
server端rsyslog.conf配置
vim /etc/rsyslog.conf
去掉以下项注释
$ModLoad imuxsock # provides support for local system logging (e.g. via logger command)
$ModLoad imklog # provides kernel logging support (previously done by rklogd)
$ModLoad imudp #开启支持upd的模块
$UDPServerRun 514 #允许接收udp 514的端口传来的日志
ModLoad imtcp #开启支持tcp的模块
$InputTCPServerRun 514 #允许接收tcp 514的端口传来的日志
在最后添加以下行
local5.* /var/log/history.log #将local类型5的日志存放到/var/log/history.log下
或在最后添加以下行
$template HistoryiLogFile, "/var/log/history/%HOSTNAME%.log" #以主机名为日志模板,模板名称为HistoryiLogFile
if $syslogfacility-text == 'local5' then -?HistoryiLogFile #接收local类型5的日志
重启rsyslog
service rsyslog restart
client端配置
vim /etc/rsyslog.conf
#####用于备份log到服务器上
##在最后添加以下行
###local5.* @10.1.4.180 #local类型5的日志通过UDP传输给10.1.4.180
vim /etc/bashrc
在最后添加
用来实时输出history日志
HISTFILESIZE=2000
HISTSIZE=2000
HISTTIMEFORMAT="%Y%m%d-%H%M%S: "
export HISTTIMEFORMAT
export PROMPT_COMMAND='{ command=$(history 1 | { read x y; echo $y; }); logger -p local5.notice -t bash -i "user=$USER,ppid=$PPID,from=$SSH_CLIENT,pwd=$PWD,command:$command"; }'
然后使其生效
source /etc/bashrc
重启rsyslog
service rsyslog restart
在server端tail -f var/log/history.log然后在客户端随便执行一条命令,观察server端是否有history日志生成。
日志转发需要添加
vi /etc/rsyslog.d/greylog.conf
. @192.168.0.99:1515;RSYSLOG_SyslogProtocol23Format
参考文档:
https://www.cnblogs.com/jjzd/p/6229127.html
http://docs.graylog.org/en/2.1/pages/sending_data.html
https://blog.51cto.com/11555417/2353375?source=dra
来源:oschina
链接:https://my.oschina.net/u/4382844/blog/3229304