Rsyslog基础知识介绍
1、Rsyslog状态查看
Linux类服务器默认开启Rsyslog服务,可通过如下命令查看系统是否已开启Rsyslog服务
systemctl status rsyslog
#或者
ps -ef|grep syslog
2、Rsyslog配置文件路径
Linux类服务器Rsyslog服务默认配置文件路径为/etc/rsyslog.conf
Linux类服务器Rsyslog服务默认系统运行日志文件路径为/var/log/message,可通过该文件路径查看Rsyslog修改配置文件重启时是否有异常报错信息。
3、Rsyslog配置文件内置变量说明
%fromhost-ip% #发送syslog源服务器IP地址
%$YEAR% #服务器当前时间年
%$MONTH% #服务器当前时间月
%$DAY% #服务器当前时间天
%$HOUR% #服务器当前时间小时
%$MINUTE% #服务器当前时间分钟
4、Rsyslog接收upd发送过来的syslog并保存至目录文件配置
编辑/etc/rsyslog.conf配置文件,找到如下配置内容,将注释符号去除,最终配置内容如下:
$ModLoad imudp
$UDPServerRun 514
添加日志模板,并进行逻辑判断,将符合条件的保存至对应目录文件中,最终配置内容如下:
rsyslog V7
$template firewall_ip,"/tmp/firewall/%fromhost-ip%/%$YEAR%_%$MONTH%_%$DAY%_%$HOUR%_%$MINUTE%.log"
if $fromhost-ip == "170.100.110.61" or $fromhost-ip == "170.100.110.62" then ?firewall_ip
& stop
rsyslog V5
$template firewall_ip,"/tmp/firewall/%fromhost-ip%/%$YEAR%_%$MONTH%_%$DAY%_%$HOUR%_%$MINUTE%.log"
:fromhost-ip,isequal, "170.100.110.61" ?firewall_ip
& ~
重启Rsyslog服务让配置文件生效
systemctl restart rsyslog
