浏览此站
联系我们相册切换到窄版 Language

 找回密码
 注册
易陆发现论坛»论坛 操作系统区 非桌面系统 Redhat/Centos Linux系统 配置远程Syslog采集
返回列表 发新帖
查看: 4158|回复: 2

配置远程Syslog采集

[复制链接]
admin

1

主题

0

回帖

12

积分

管理员

积分
12
QQ
发表于 2017-9-25 21:18:41 | 显示全部楼层 |阅读模式
购买主题 本主题需向作者支付 5 金钱 才能浏览
回复

举报

admin

1

主题

0

回帖

12

积分

管理员

积分
12
QQ
 楼主| 发表于 2017-9-25 21:30:31 | 显示全部楼层

如何对Windows的系统日志进行采集,并通过Syslog协议,自动实时的发送到远程的集中日志分析中心,便于集中式的日志存储和管理。

第一步:安装日志采集工具Nxlog

从Sourceforge下载最新的?Nxlog,并安装。

第二步:获取NXlog配置文件

下载 Windows日志转Syslog发送的配置文件:http://www.biglog.cn/install/windows-biglog.conf,并替换掉该路径下的配置文件:C:\Program Files (x86)\nxlog\conf\nxlog.conf

第三步:注意Windows系列的区别

定位到22行和25行,针对Windows 2003和Windows 2008采用不同的方式进行日志采集。* w4 K1 |% P" |1 [& N2 H; _
im_msvistalog针对Windows 2008系列,im_mseventlog针对Windows 2003系列。
* C5 V: y# r  u6 T默认采用支持Windows 2003系列。

第四步、重启Nxlog服务,日志采集开始工作

到Windows服务器管理器里面找到Nxlog服务,并重启。

此时可以通过观察nxlog自身日志记录(C:\Program Files (x86)\nxlog\data\nxlog.log),确定是否正常工作。

* }) ]$ B9 @; r* Q* F
回复

举报

admin

1

主题

0

回帖

12

积分

管理员

积分
12
QQ
 楼主| 发表于 2017-9-25 21:31:40 | 显示全部楼层

如何对任意文本内的日志进行采集,并通过Syslog协议,自动实时的发送到远程的集中日志分析中心,便于集中式的日志存储和管理。

Linux环境下的配置
以下内容适用于在Linux环境下,对任意的文本日志内容进行读取,并实时发送到远程的Syslog服务器。
第一步:初始化日志采集环境
先确保系统中的/var/spool/rsyslog 目录已存在:
mkdir -v /var/spool/rsyslog* [" l8 U. M+ W6 |5 r1 r9 }
if [ "$(grep Ubuntu /etc/issue)" != "" ]; then4 `; Q! m4 g( N  |
chown -R syslog:adm /var/spool/rsyslog
1 S' ^! K) _# F9 H  n; U3 S, }fi0 Q8 y- ]- v$ n. m$ y
( a! `9 ~! _2 C$ }& N- ]% x3 z. Z
第二步:创建Apahce日志文件采集配置
新建Rsyslog的子配置文件,他通常在/etc/rsyslog.d下,需要/etc/rsyslog.conf去包含这个目录下的子配置文件:
vim /etc/rsyslog.d/file-biglog.conf
- l; O: I& M8 F' e! S( S1 Q! @9 X% e8 ?
复制以下内容到apache-biglog.conf,注意注释部分的修改:
$ModLoad imfile. l  h/ ^3 |& S! J
$InputFilePollInterval 10( Z+ A3 q* V; B
$PrivDropToGroup adm* b! f( m+ u  `
$WorkDirectory /var/spool/rsyslog% u* E, {9 v6 m; d+ ~
, R6 H" B# |8 d. p+ C% L$ i
## 文本日志文件路径,根据实际情况修改:
, k2 E! ~* r4 }3 i$InputFileName /var/log/message.txt
- `2 v! E5 p% m. M) \$InputFileTag APPNAME19 V0 l5 O' K# `5 @, r5 ^: k: P9 r$ e
$InputFileStateFile stat-APPNAME1 ##当有多个input时,该名称必需唯一
" h5 t) t+ C. i$ g' B+ N$InputFileSeverity info: d+ R, v9 s* A9 i
$InputFilePersistStateInterval 25000; i* s0 h: E6 S+ w) z
$InputRunFileMonitor7 o4 A/ G; ^  L% c
' V  L' b6 _, J5 _
## 定义日志格式模板:
! W5 P$ `. D$ a) x/ c0 z$template BiglogFormatFile,”%msg%\n”& L  [# l- p: e" e" }; |) ^2 a) k
4 m/ U) p9 w) }
## 注意syslog日志服务器接收地址,根据实际情况修改:/ W0 X$ D6 M# S2 G7 ~+ f3 n2 f% z
if $programname == ‘APPNAME1′ then @10.x.x.x:514;BiglogFormatFile
" f! ^, |/ Y9 wif $programname == ‘APPNAME1′ then ~" a0 ]$ h8 ?2 M* k

! E+ S- b. G" M& u1 F& N
注:通过Rsyslog配置日志接收端的时候,如上示例@10.x.x.x:514,用于指定接收日志的服务器的协议、IP地址和端口号。使用@代表走UDP协议,使用@@代表走TCP协议,冒号后面的514代表接收端口。
第三步:重启Rsyslog服务,日志采集开始工作service rsyslog restart$ F/ X! J) G3 C
! Z$ @$ k  g5 p
此时可以通过观察系统中的Rsyslog日志,确定是否正常工作。
cat /var/log/messages |grep rsyslog
) Z' m2 [  s: W- `" @9 v6 |) c% X
! e# i# ]) }8 V6 a8 P4 n* E3 _, }

; k4 \, a5 `. Z2 [3 l, z
" W$ q2 e4 ]7 [7 k6 G# ~
回复

举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 注册

本版积分规则

返回首页|Archiver|手机版|小黑屋|易陆发现技术论坛 ( 蜀ICP备2026014127号-1 )

GMT+8, 2026-6-12 03:22 , Processed in 0.026892 second(s), 25 queries .

Powered by Discuz! X5.0

© 2001-2026 Discuz! Team.

快速回复 返回顶部 返回列表