将设为首页浏览此站
收藏本站联系我们相册切换到窄版

易陆发现互联网技术论坛

 找回密码
 开始注册
易陆发现互联网技术论坛»首页 操作系统区 非桌面系统 Redhat/Centos Linux系统 配置远程Syslog采集
查看: 4152|回复: 2
收起左侧

配置远程Syslog采集

[复制链接]
admin
发表于 2017-9-25 21:18:41 | 显示全部楼层 |阅读模式
购买主题 本主题需向作者支付 5 金钱 才能浏览
回复

使用道具 举报

admin
 楼主| 发表于 2017-9-25 21:30:31 | 显示全部楼层

如何对Windows的系统日志进行采集,并通过Syslog协议,自动实时的发送到远程的集中日志分析中心,便于集中式的日志存储和管理。

第一步:安装日志采集工具Nxlog

从Sourceforge下载最新的?Nxlog,并安装。

第二步:获取NXlog配置文件

下载 Windows日志转Syslog发送的配置文件:http://www.biglog.cn/install/windows-biglog.conf,并替换掉该路径下的配置文件:C:\Program Files (x86)\nxlog\conf\nxlog.conf

第三步:注意Windows系列的区别

定位到22行和25行,针对Windows 2003和Windows 2008采用不同的方式进行日志采集。
( o0 A' j# M& \4 `# w, w! Zim_msvistalog针对Windows 2008系列,im_mseventlog针对Windows 2003系列。
7 p+ a$ A0 P% M- `默认采用支持Windows 2003系列。

第四步、重启Nxlog服务,日志采集开始工作

到Windows服务器管理器里面找到Nxlog服务,并重启。


6 {5 G1 D( f+ [; P# v9 C                               
登录/注册后可看大图

此时可以通过观察nxlog自身日志记录(C:\Program Files (x86)\nxlog\data\nxlog.log),确定是否正常工作。


& L* M( r# j# f2 d+ |
回复 支持 反对

使用道具 举报

admin
 楼主| 发表于 2017-9-25 21:31:40 | 显示全部楼层

如何对任意文本内的日志进行采集,并通过Syslog协议,自动实时的发送到远程的集中日志分析中心,便于集中式的日志存储和管理。

Linux环境下的配置
以下内容适用于在Linux环境下,对任意的文本日志内容进行读取,并实时发送到远程的Syslog服务器。
第一步:初始化日志采集环境
先确保系统中的/var/spool/rsyslog 目录已存在:
mkdir -v /var/spool/rsyslog
4 J8 U: {, a* H0 \if [ "$(grep Ubuntu /etc/issue)" != "" ]; then
- z0 r$ y( h/ m0 G! q/ n) n1 p4 @ chown -R syslog:adm /var/spool/rsyslog
& U4 C# t. U0 O# kfi9 A/ S( g4 z1 m( [# R, `8 ~
& B& }0 y0 `' `; i, H
第二步:创建Apahce日志文件采集配置
新建Rsyslog的子配置文件,他通常在/etc/rsyslog.d下,需要/etc/rsyslog.conf去包含这个目录下的子配置文件:
vim /etc/rsyslog.d/file-biglog.conf; d( ]6 ?  H. p- T" k7 Y6 }. |
" J1 H2 a& F% K6 X( W+ m3 w
复制以下内容到apache-biglog.conf,注意注释部分的修改:
$ModLoad imfile
; w" A" q) [( }1 o$InputFilePollInterval 10
# A$ }. Y) g* [( F$PrivDropToGroup adm
- f3 S. z9 z' }9 e6 E0 B5 t% H$WorkDirectory /var/spool/rsyslog6 {- D* D* b& h) t5 p, S% o3 {
" u1 D' B' A9 ?& l  e" V, O# y
## 文本日志文件路径,根据实际情况修改:
  z6 g; N  A; s& u5 h$InputFileName /var/log/message.txt+ b0 S$ x0 c: k% C" P6 _$ v* ^' ^
$InputFileTag APPNAME1, [8 p# ~) V5 [) U% ]
$InputFileStateFile stat-APPNAME1 ##当有多个input时,该名称必需唯一3 A# @. R0 M4 n9 K/ O) S
$InputFileSeverity info
0 @3 J, o- g* v( `1 P. P4 h, @$InputFilePersistStateInterval 25000; i6 _8 u% V3 h. @8 B9 D* c" g* E5 n
$InputRunFileMonitor2 [$ F0 i8 n4 q4 x% S; K
% a9 C& T) N  |) d: H8 y
## 定义日志格式模板:
( ]1 ]5 j  E8 }9 J  ?& S0 F, G$template BiglogFormatFile,”%msg%\n”7 l8 C$ Z& ]6 x2 P" j0 ?3 Y' q

3 y* j6 q  y) B" s## 注意syslog日志服务器接收地址,根据实际情况修改:
# y& A3 K5 i( [6 t$ P2 F9 iif $programname == ‘APPNAME1′ then @10.x.x.x:514;BiglogFormatFile: o1 _- ]% g, C, G" _& c: ^
if $programname == ‘APPNAME1′ then ~
5 [; Z8 h" A/ n: j9 S! s* {, [" {$ F5 X8 f
注:通过Rsyslog配置日志接收端的时候,如上示例@10.x.x.x:514,用于指定接收日志的服务器的协议、IP地址和端口号。使用@代表走UDP协议,使用@@代表走TCP协议,冒号后面的514代表接收端口。
第三步:重启Rsyslog服务,日志采集开始工作service rsyslog restart
1 \$ H/ l5 @7 E% _7 H3 l4 L0 n$ T, `4 K7 p( {8 e
此时可以通过观察系统中的Rsyslog日志,确定是否正常工作。
cat /var/log/messages |grep rsyslog
3 ^  r6 y4 `3 n
1 O5 p: h6 E9 E; \  r# [- U  T
) A. a$ }  w! k  N% K3 n
0 i0 x' Y0 D! q7 m+ J7 K: |2 R1 y$ ^' I: [
回复 支持 反对

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 开始注册

本版积分规则

关闭

站长推荐上一条 /4 下一条

北京云银创陇科技有限公司以云计算运维,代码开发

QQ|返回首页|Archiver|小黑屋|易陆发现技术论坛 ( 蜀ICP备2026014127号-1 )点击这里给我发消息

GMT+8, 2026-4-8 23:51 , Processed in 0.124569 second(s), 27 queries .

Powered by Discuz! X3.4 Licensed

© 2012-2025 Discuz! Team.

快速回复 返回顶部 返回列表