建设服装网站目的和作用,互联网公司有哪几家,流量查询中国移动官方网站,软文营销模板ELK 是elastic公司提供的一套完整的日志收集以及展示的解决方案#xff0c;这是我在ELK学习和实践过程写下的笔记#xff0c;整理成了一个ELK入门到实践的系列文章#xff0c;分享出来与大家共勉。本文为该系列文章的第一篇#xff0c;通过rsyslog搭建集中日志服务器#… ELK 是elastic公司提供的一套完整的日志收集以及展示的解决方案这是我在ELK学习和实践过程写下的笔记整理成了一个ELK入门到实践的系列文章分享出来与大家共勉。本文为该系列文章的第一篇通过rsyslog搭建集中日志服务器收集linux和window系统日志。我们通常可以通过rsyslog来实现系统日志的集中管理这种情况下通常会有一个日志服务器然后每台服务器配置自己日志通过rsyslog来写到远程的日志服务器上如下是rsyslog的配置过程0x01 rsyslog服务端配置1、启用UDP/TCP进行传输vim /etc/rsyslog.conf# Provides UDP syslog reception #若启用UDP进行传输则取消下面两行的注释$ModLoad imudp$UDPServerRun 514# Provides TCP syslog reception #若启用TCP进行传输则取消下面两行的注释#$ModLoad imtcp#$InputTCPServerRun 5142、为避免修改主配置文件我们在/etc/rsyslog.d/中新建default.conf追加如下模板#### GLOBAL DIRECTIVES ##### Use default timestamp format # 使用自定义的日志格式$ActionFileDefaultTemplate RSYSLOG_TraditionalFileFormat$template myFormat,%timestamp% %fromhost-ip% %syslogtag% %msg%\n$ActionFileDefaultTemplate myFormat# 根据客户端的IP单独存放主机日志在不同目录rsyslog需要手动创建$template RemoteLogs,/var/log/rsyslog/%fromhost-ip%/%fromhost-ip%_%$YEAR%-%$MONTH%-%$DAY%.log# 排除本地主机IP日志记录只记录远程主机日志:fromhost-ip, !isequal, 127.0.0.1 ?RemoteLogs# 忽略之前所有的日志远程主机日志记录完之后不再继续往下记录 ~3、重启rsyslog服务systemctl restart rsyslog0x02 rsyslog客户务端配置1、启用UDP进行传输并设置远程日志服务器vim /etc/rsyslog.conf# Provides UDP syslog reception #若启用UDP进行传输则取消下面两行的注释$ModLoad imudp$UDPServerRun 514# Provides TCP syslog reception #若启用TCP进行传输则取消下面两行的注释#$ModLoad imtcp#$InputTCPServerRun 514*.* 192.168.91.18:514 #若启用TCP传输则使用若是UDP则使用2、重启rsyslog服务systemctl restart rsyslog0x03 效果展示通过使用自定义日志格式将不同服务器IP的日志单独分别存放在不同目录。到这里使用rsyslog服务端和linux系统日志收集已完成。0x04 扩展部分Rsyslog Windows Agent一般情况下我们会使用winlogbeat用于收集windows的系统事件日志但其实rsyslog自身也提供了一个Rsyslog Windows代理用来收集windows日志。下载地址https://www.rsyslog.com/windows-agent/windows-agent-download/安装过程1、双击rsyslogwa安装包开始进行安装2、一路Next安装即可。PS在这里可能需要等几分钟。操作使用1、打开RSyslog Windows Agent Configuration在Tools--- Stslog Test Message配置Syslog Server服务器地址点击Send进行测试。在Rsyslog服务端接收到一条测试日志说明Rsyslog通讯正常。Nov 1 13:23:18 192.168.165.193 RSyslog Windows Agent: This is a SyslogTest 2、依次展示RuleSets进行Rsyslog转发配置并启用服务。在rsyslog服务端进行验证如尝试远程连接window服务器可接收到多条服务器日志。最后我创建了一个付费社群用于分享高质量安全干货有兴趣的童鞋都可以加入!
