配置远程Syslog采集

admin

如何对Windows的系统日志进行采集，并通过Syslog协议，自动实时的发送到远程的集中日志分析中心，便于集中式的日志存储和管理。

第一步：安装日志采集工具Nxlog

从Sourceforge下载最新的?Nxlog，并安装。

第二步：获取NXlog配置文件

下载 Windows日志转Syslog发送的配置文件：http://www.biglog.cn/install/windows-biglog.conf，并替换掉该路径下的配置文件：C:\Program Files (x86)\nxlog\conf\nxlog.conf

第三步：注意Windows系列的区别

定位到22行和25行，针对Windows 2003和Windows 2008采用不同的方式进行日志采集。
( X) E2 v! ^' u& v3 b8 Q/ S* ~* nim_msvistalog针对Windows 2008系列，im_mseventlog针对Windows 2003系列。
默认采用支持Windows 2003系列。

第四步、重启Nxlog服务，日志采集开始工作

到Windows服务器管理器里面找到Nxlog服务，并重启。

此时可以通过观察nxlog自身日志记录（C:\Program Files (x86)\nxlog\data\nxlog.log），确定是否正常工作。

. g7 l" d) n1 l# B% Q' Q; o

admin

如何对任意文本内的日志进行采集，并通过Syslog协议，自动实时的发送到远程的集中日志分析中心，便于集中式的日志存储和管理。

• Linux环境
• Windows环境
  ' h, x2 A! U. Y* z

Linux环境下的配置

以下内容适用于在Linux环境下，对任意的文本日志内容进行读取，并实时发送到远程的Syslog服务器。

第一步：初始化日志采集环境

先确保系统中的/var/spool/rsyslog 目录已存在：

mkdir -v /var/spool/rsyslog
! w. G8 ?: n/ P3 C( }4 \if [ "$(grep Ubuntu /etc/issue)" != "" ]; then
9 }+ i6 Z  t" ]" |0 f; i chown -R syslog:adm /var/spool/rsyslog
& P( W" B4 C* i1 Qfi
. _; o' k4 V+ {+ q
* l+ l% C/ A" L1 @  W0 M/ S1 T第二步：创建Apahce日志文件采集配置

新建Rsyslog的子配置文件，他通常在/etc/rsyslog.d下，需要/etc/rsyslog.conf去包含这个目录下的子配置文件：

vim /etc/rsyslog.d/file-biglog.conf
4 t' T$ w) V# ]
. k8 _& M2 H* @- _- d2 {

复制以下内容到apache-biglog.conf，注意注释部分的修改：

$ModLoad imfile
$InputFilePollInterval 10
$PrivDropToGroup adm
$WorkDirectory /var/spool/rsyslog

## 文本日志文件路径，根据实际情况修改:
/ z- m. {8 c) }$InputFileName /var/log/message.txt
$InputFileTag APPNAME1
8 \: l1 i/ f- c' _3 i9 @1 I( p$InputFileStateFile stat-APPNAME1 ##当有多个input时，该名称必需唯一
, G6 [0 e2 r4 Q- R1 I$InputFileSeverity info
$InputFilePersistStateInterval 25000
  Y/ q  i/ X, _- H$InputRunFileMonitor
; j- r- W7 F9 K& _/ w  P: W) |
## 定义日志格式模板：
# w2 V. U$ }) w: I' k  R  w$template BiglogFormatFile,”%msg%\n”
! s) v. d7 M: f9 b! y3 }, N
## 注意syslog日志服务器接收地址，根据实际情况修改：
if $programname == ‘APPNAME1′ then @10.x.x.x:514;BiglogFormatFile
if $programname == ‘APPNAME1′ then ~
$ ?) {* G0 t  w
% m" i7 u, r, U/ |4 t' l* m

注：通过Rsyslog配置日志接收端的时候，如上示例@10.x.x.x:514，用于指定接收日志的服务器的协议、IP地址和端口号。使用@代表走UDP协议，使用@@代表走TCP协议，冒号后面的514代表接收端口。

第三步：重启Rsyslog服务，日志采集开始工作service rsyslog restart
, T6 ^; k: o: H; P& q
  X* G9 t: Q% p+ h

此时可以通过观察系统中的Rsyslog日志，确定是否正常工作。

cat /var/log/messages |grep rsyslog

1 h8 \5 K7 B' N0 \


' R& E+ h  K& p& K% Q% K8 Z( A( N