Cent OS 配置日志服务器和配置详解.docx

配置日志服务器实验环境：Linux 系统（Redhat5.X、Cent OS 6、Fedora 6）Unix 系统（FreeBSD 5.0以后）Windows 系统（Window XP/server）IMP系统（172.18.4.75）主要介绍Linux、Unix、Windows系统下如何搭建中央日志服务器系统和客户端日志发送配置。Linux---Cent OS 6.3-Release 版本---适用于（Redhat5.X、Cent OS 6、Fedora 6）Unix采用Freebsd 8.1版本---适用于（FreeBSD 5.0以后）Windows 采用windows 7/server版本---适用于windows XP/server系列Syslog（系统日志）日志系统是最主流的系统日志记录。由于与Linux平台之间的渊源，Syslog是在实际应用环境中最容易获得的日志系统。同时，还有很多的基于Syslog的扩展产品存在，这其中也包括大量基于UNIX平台构建内核的网络硬件设备，这些设备往往都内置了Syslog功能支持，例如Cisco路由器就是如此。Linux系统日志服务器服务端/客户端设置版本：Cent OS 6.3-ReleaseIP：172.18.4.65配置rsyslog主配置文件rsyslog是Linux系统默认的日志守护进程。默认的syslog配置文件是/etc/rsyslog.conf文件。Rsyslog的规则定义格式如下：FacilityFacility（设备）是指定日志的类型，可以是一个或者多个设备均可。多个设备间分开符‘；’。下表是大部分linux系统支持的设备类型和相应的序列号* 通配符代表除了 mark 以外的所有功能，除mark为内部使用外，还有security为一个旧的key定义，等同于auth，已经不再建议使用LevelLevel（优先级）是选择条件的第二个字段，它代表消息的紧急程度。* 代表所有级别定义level级别的时候，需要注意两点：1）优先级是由应用程序在编程的时候已经决定的，除非修改源码再编译，否则不能改变消息的优先级；2）低的优先级包含高优先级，例如，为某个应用程序定义info的日志导向，则涵盖notice、warning、err、crit、alert、emerg等消息。（除非使用=号定义）Selector选择条件Selector指的是facility与level之间的小数点符号“.”。可以使用分号“;”同时定义多个选择条件。Rsyslog允许人们使用三种限定符对优先级进行修饰：星号（*）、等号（=）和叹号（!）。星号（*）的含义是“把本项服务生成的所有日志消息都发送到操作动作指定的地点”。就像它在规则表达式里的作用一样，星号代表“任何东西”。在前面给出的例子里，“mail.*”将把所有优先级的消息都发送到操作动作指定的/var/log/mail文件里。使用“*” 限定符与使用“debug”优先级的效果完全一样，后者也将把所有类型的消息发送到指定地点。　　等号（=）的含义是“只把本项服务生成的本优先级的日志消息都发送到操作动作指定的地点”。比如说，可以用“=”限定符只发送调试消息而不发送其他更紧急的消息（这将为应用程序减轻很多负担）。当你只需要发送特定优先级别的消息时，就要使用等号限定符。叹号（!）的含义是“把本项服务生成的所有日志消息都发送到操作动作指定的地点，但本优先级的消息不包括在内”。比如说，这条syslog配置行将把除info优先级以外的所有消息发送到/var/log/mail文件里：　　mail.*;mail.!info/var/log/mail在这个例子里，“mail.*”将发送所有的消息，但“mail.!info”却把info优先级的消息排除在外。就像它在编程时的用法一样，叹号意味着“非”。action动作由前面选择条件定义的日志信息，可执行下面的动作：File－指定日志文件的绝对路径terminal 或 print －发送到串行或并行设备标志符，例如/dev/ttyS2@host－远程的日志服务器username －发送信息本机的指定用户信息窗口中，但该用户必须已经登陆到系统中named pipe －发送到预先使用 mkfifo 命令来创建的 FIFO 文件的绝对路径!!※注意，不能通过“|/var/xxx.sh”方式导向日志到其他脚本中处理Linux服务器端设置安装日志服务器组件[root ~]yum install syslog修改配置文件[root ~]vi /etc/sysconfig/rsyslog把SYSLOGD_OPTIONS改为?SYSLOGD_OPTIONS=-r?-x?-m?0?详解:-r ： 开启接收远程主机日志信息功能，其监控514 UDP