用rsyslog架設log server收集個主機的記錄

rsyslog server

1。安裝: yum install rsyslog

2。設定編輯 rsyslog:

a。vi /etc/sysconfig/rsyslog

將
SYSLOGD_OPTIONS=”-m 0″
換成
SYSLOGD_OPTIONS=”-c3″

b。vi /etc/rsyslog.conf

將附件 rsyslog.conf.zip 直接覆監即可

新增 rsyslog_2.conf.zip

不過要把 $source == 的 hostname 換成log server的主機名稱，

比方說我執行了 hostname 出現 log.ssor.ctw，那這裡就換成 log 名稱即可

rsyslog.conf 裡的設定看久了就可以大概懂它的意思了

2。停用舊的syslog程序: /etc/init.d/syslog stop

3。使用 rsyslog : /etc/init.d/rsyslog start

4。開機啟動:

chkconfig syslog off
chkconfig rsyslog on

syslog client

只要編輯/etc/syslog.conf
client我就不用 rsyslog了

*.*            @log server ip or name

重新啟動syslog: /etc/init.d/syslog restart

rsyslog server

如此就可以在 /var/log/hosts/同步的主機/messages.2011-03-26.log
看到被收集過來的訊息了

再來設定排程，讓log檔縮壓，與設定保留週期

每天壓縮今日以前的log檔
vi /etc/cron.daily/rsyslog

#!/bin/bash
find /var/log/hosts -type f -mtime 1  -name “*.log” -exec gzip ‘{}’ ;

每月檢查刪除非366天以內的壓縮檔
vi /etc/cron.monthly/rsyslog

#!/bin/bash
find /var/log/hosts -type f -mtime +366  -name “*.gz” -exec rm -f ‘{}’ ;

chmod +x /etc/cron.daily/rsyslog /etc/cron.monthly/rsyslog