配置远程Syslog采集

admin · 发表于 2017-9-25 21:18:41

购买主题本主题需向作者支付 5 金钱 才能浏览

admin · 发表于 2017-9-25 21:30:31

如何对Windows的系统日志进行采集，并通过Syslog协议，自动实时的发送到远程的集中日志分析中心，便于集中式的日志存储和管理。

第一步：安装日志采集工具Nxlog

从Sourceforge下载最新的?Nxlog，并安装。

第二步：获取NXlog配置文件

下载 Windows日志转Syslog发送的配置文件：http://www.biglog.cn/install/windows-biglog.conf，并替换掉该路径下的配置文件：C:\Program Files (x86)\nxlog\conf\nxlog.conf

第三步：注意Windows系列的区别

定位到22行和25行，针对Windows 2003和Windows 2008采用不同的方式进行日志采集。# c& z b8 d& p+ f1 u9 A$ D
im_msvistalog针对Windows 2008系列，im_mseventlog针对Windows 2003系列。
' E- J: [2 O/ }. |+ Q默认采用支持Windows 2003系列。

第四步、重启Nxlog服务，日志采集开始工作

到Windows服务器管理器里面找到Nxlog服务，并重启。

此时可以通过观察nxlog自身日志记录（C:\Program Files (x86)\nxlog\data\nxlog.log），确定是否正常工作。

admin · 发表于 2017-9-25 21:31:40

如何对任意文本内的日志进行采集，并通过Syslog协议，自动实时的发送到远程的集中日志分析中心，便于集中式的日志存储和管理。

Linux环境
Windows环境* S: `3 f4 v) m/ _6 p/ E8 g

Linux环境下的配置

以下内容适用于在Linux环境下，对任意的文本日志内容进行读取，并实时发送到远程的Syslog服务器。

第一步：初始化日志采集环境

先确保系统中的/var/spool/rsyslog 目录已存在：

mkdir -v /var/spool/rsyslog
if [ "$(grep Ubuntu /etc/issue)" != "" ]; then
chown -R syslog:adm /var/spool/rsyslog
fi

第二步：创建Apahce日志文件采集配置

新建Rsyslog的子配置文件，他通常在/etc/rsyslog.d下，需要/etc/rsyslog.conf去包含这个目录下的子配置文件：

vim /etc/rsyslog.d/file-biglog.conf

复制以下内容到apache-biglog.conf，注意注释部分的修改：

$ModLoad imfile
$InputFilePollInterval 10
$PrivDropToGroup adm
$WorkDirectory /var/spool/rsyslog

## 文本日志文件路径，根据实际情况修改:
$InputFileName /var/log/message.txt
$InputFileTag APPNAME1
$InputFileStateFile stat-APPNAME1 ##当有多个input时，该名称必需唯一
$InputFileSeverity info
$InputFilePersistStateInterval 25000
$InputRunFileMonitor

## 定义日志格式模板：
$template BiglogFormatFile,”%msg%\n”

## 注意syslog日志服务器接收地址，根据实际情况修改：
if $programname == ‘APPNAME1′ then @10.x.x.x:514;BiglogFormatFile
if $programname == ‘APPNAME1′ then ~

注：通过Rsyslog配置日志接收端的时候，如上示例@10.x.x.x:514，用于指定接收日志的服务器的协议、IP地址和端口号。使用@代表走UDP协议，使用@@代表走TCP协议，冒号后面的514代表接收端口。

第三步：重启Rsyslog服务，日志采集开始工作service rsyslog restart

此时可以通过观察系统中的Rsyslog日志，确定是否正常工作。

cat /var/log/messages |grep rsyslog

		自动登录	找回密码
密码			注册

配置远程Syslog采集

浏览过的版块