安科网

如何使用 syslog-ng 从远程 Linux 机器上收集日志

charthyf

charthyf

2018-03-14

关注 关注

如果你的数据中心全是 Linux 服务器,而你就是系统管理员。那么你的其中一项工作内容就是查看服务器的日志文件。但是,如果你在大量的机器上去查看日志文件,那么意味着你需要挨个去登入到机器中来阅读日志文件。如果你管理的机器很多,仅这项工作就可以花费你一天的时间。

另外的选择是,你可以配置一台单独的 Linux 机器去收集这些日志。这将使你的每日工作更加高效。要实现这个目的,有很多的不同系统可供你选择,而 syslog-ng 就是其中之一。

syslog-ng 的不足是文档并不容易梳理。但是,我已经解决了这个问题,我可以通过这种方法马上进行安装和配置 syslog-ng。下面我将在 Ubuntu Server 16.04 上示范这两种方法:

  • UBUNTUSERVERVM 的 IP 地址是 192.168.1.118 ,将配置为日志收集器
  • UBUNTUSERVERVM2 将配置为一个客户端,发送日志文件到收集器

现在我们来开始安装和配置。

安装

安装很简单。为了尽可能容易,我将从标准仓库安装。打开一个终端窗口,运行如下命令:

  1. <span class="kwd">sudo</span><span class="pln"> apt install syslog</span><span class="pun">-</span><span class="pln">ng</span>

你必须在收集器和客户端的机器上都要运行上面的命令。安装完成之后,你将开始配置。

配置收集器

现在,我们开始日志收集器的配置。它的配置文件是 /etc/syslog-ng/syslog-ng.conf。syslog-ng 安装完成时就已经包含了一个配置文件。我们不使用这个默认的配置文件,可以使用 mv /etc/syslog-ng/syslog-ng.conf /etc/syslog-ng/syslog-ng.conf.BAK 将这个自带的默认配置文件重命名。现在使用 sudo nano /etc/syslog/syslog-ng.conf 命令创建一个新的配置文件。在这个文件中添加如下的行:

  1. <span class="lit">@version</span><span class="pun">:</span><span class="lit">3.5</span>
  2. <span class="lit">@include</span><span class="str">"scl.conf"</span>
  3. <span class="lit">@include</span><span class="str">"`scl-root`/system/tty10.conf"</span>
  4. <span class="pln">options </span><span class="pun">{</span>
  5. <span class="kwd">time</span><span class="pun">-</span><span class="pln">reap</span><span class="pun">(</span><span class="lit">30</span><span class="pun">);</span>
  6. <span class="pln">mark</span><span class="pun">-</span><span class="pln">freq</span><span class="pun">(</span><span class="lit">10</span><span class="pun">);</span>
  7. <span class="pln">keep</span><span class="pun">-</span><span class="kwd">hostname</span><span class="pun">(</span><span class="kwd">yes</span><span class="pun">);</span>
  8. <span class="pun">};</span>
  9. <span class="pln">source s_local </span><span class="pun">{</span><span class="pln"> system</span><span class="pun">();</span><span class="pln"> internal</span><span class="pun">();</span><span class="pun">};</span>
  10. <span class="pln">source s_network </span><span class="pun">{</span>
  11. <span class="pln">syslog</span><span class="pun">(</span><span class="pln">transport</span><span class="pun">(</span><span class="pln">tcp</span><span class="pun">)</span><span class="pln"> port</span><span class="pun">(</span><span class="lit">514</span><span class="pun">));</span>
  12. <span class="pun">};</span>
  13. <span class="pln">destination d_local </span><span class="pun">{</span>
  14. <span class="kwd">file</span><span class="pun">(</span><span class="str">"/var/log/syslog-ng/messages_${HOST}"</span><span class="pun">);</span><span class="pun">};</span>
  15. <span class="pln">destination d_logs </span><span class="pun">{</span>
  16. <span class="kwd">file</span><span class="pun">(</span>
  17. <span class="str">"/var/log/syslog-ng/logs.txt"</span>
  18. <span class="pln">owner</span><span class="pun">(</span><span class="str">"root"</span><span class="pun">)</span>
  19. <span class="pln">group</span><span class="pun">(</span><span class="str">"root"</span><span class="pun">)</span>
  20. <span class="pln">perm</span><span class="pun">(</span><span class="lit">0777</span><span class="pun">)</span>
  21. <span class="pun">);</span><span class="pun">};</span>
  22. <span class="pln">log </span><span class="pun">{</span><span class="pln"> source</span><span class="pun">(</span><span class="pln">s_local</span><span class="pun">);</span><span class="pln"> source</span><span class="pun">(</span><span class="pln">s_network</span><span class="pun">);</span><span class="pln"> destination</span><span class="pun">(</span><span class="pln">d_logs</span><span class="pun">);</span><span class="pun">};</span>

需要注意的是,syslog-ng 使用 514 端口,你需要确保在你的网络上它可以被访问。

保存并关闭这个文件。上面的配置将转存期望的日志文件(由 system()internal() 指出)到 /var/log/syslog-ng/logs.txt 中。因此,你需要使用如下的命令去创建所需的目录和文件:

  1. <span class="kwd">sudo</span><span class="kwd">mkdir</span><span class="pun">/</span><span class="kwd">var</span><span class="pun">/</span><span class="pln">log</span><span class="pun">/</span><span class="pln">syslog</span><span class="pun">-</span><span class="pln">ng</span>
  2. <span class="kwd">sudo</span><span class="kwd">touch</span><span class="pun">/</span><span class="kwd">var</span><span class="pun">/</span><span class="pln">log</span><span class="pun">/</span><span class="pln">syslog</span><span class="pun">-</span><span class="pln">ng</span><span class="pun">/</span><span class="pln">logs</span><span class="pun">.</span><span class="pln">txt</span>

使用如下的命令启动和启用 syslog-ng:

  1. <span class="kwd">sudo</span><span class="kwd">systemctl</span><span class="pln"> start syslog</span><span class="pun">-</span><span class="pln">ng</span>
  2. <span class="kwd">sudo</span><span class="kwd">systemctl</span><span class="pln"> enable syslog</span><span class="pun">-</span><span class="pln">ng</span>

配置客户端

我们将在客户端上做同样的事情(移动默认配置文件并创建新配置文件)。拷贝下列文本到新的客户端配置文件中:

  1. <span class="lit">@version</span><span class="pun">:</span><span class="lit">3.5</span>
  2. <span class="lit">@include</span><span class="str">"scl.conf"</span>
  3. <span class="lit">@include</span><span class="str">"`scl-root`/system/tty10.conf"</span>
  4. <span class="pln">source s_local </span><span class="pun">{</span><span class="pln"> system</span><span class="pun">();</span><span class="pln"> internal</span><span class="pun">();</span><span class="pun">};</span>
  5. <span class="pln">destination d_syslog_tcp </span><span class="pun">{</span>
  6. <span class="pln">syslog</span><span class="pun">(</span><span class="str">"192.168.1.118"</span><span class="pln"> transport</span><span class="pun">(</span><span class="str">"tcp"</span><span class="pun">)</span><span class="pln"> port</span><span class="pun">(</span><span class="lit">514</span><span class="pun">));</span><span class="pun">};</span>
  7. <span class="pln">log </span><span class="pun">{</span><span class="pln"> source</span><span class="pun">(</span><span class="pln">s_local</span><span class="pun">);</span><span class="pln">destination</span><span class="pun">(</span><span class="pln">d_syslog_tcp</span><span class="pun">);</span><span class="pun">};</span>

请注意:请将 IP 地址修改为收集器的 IP 地址。

保存和关闭这个文件。与在配置为收集器的机器上一样的方法启动和启用 syslog-ng。

 

查看日志文件

回到你的配置为收集器的服务器上,运行这个命令 sudo tail -f /var/log/syslog-ng/logs.txt。你将看到包含了收集器和客户端的日志条目的输出(图 A)。

如何使用 syslog-ng 从远程 Linux 机器上收集日志

图 A

恭喜你!syslog-ng 已经正常工作了。你现在可以登入到你的收集器上查看本地机器和远程客户端的日志了。如果你的数据中心有很多 Linux 服务器,在每台服务器上都安装上 syslog-ng 并配置它们作为客户端发送日志到收集器,这样你就不需要登入到每个机器去查看它们的日志了。

via: https://www.techrepublic.com/article/how-to-use-syslog-ng-to-collect-logs-from-remote-linux-machines/

作者:Jack Wallen 译者:qhwdw 校对:wxy

本文由 LCTT 原创编译,Linux中国 荣誉推出

syslog-ng linux系统 linux服务器

charthyf

charthyf

0 关注 0 粉丝 0 动态

关注 关注

相关推荐

如何使用 syslog-ng 从远程 Linux 机器上收集日志

如果你的数据中心全是 Linux 服务器,而你就是系统管理员。那么你的其中一项工作内容就是查看服务器的日志文件。但是,如果你在大量的机器上去查看日志文件,那么意味着你需要挨个去登入到机器中来阅读日志文件。如果你管理的机器很多,仅这项工作就可以花费你一天的时

Dongxiem 2018-03-09

基于CentOS yum的syslog-ng安装

[root@logsys0 data]# lsb_release -aLSB Version: :core-4.0-amd64:core-4.0-noarch:graphics-4.0-amd64:graphics-4.0-noarch:printing

lunhuishizhe 2013-11-12

Linux下syslog-ng日志集中管理服务部署记录

syslog是Linux系统默认的日志守护进程,默认的syslog配置文件是/etc/syslog.conf文件。syslog守护进程是可配置的,它允许人们为每一种类型的系统信息精确地指定一个存放地点。比较 syslog ,syslog-ng 具有众多高级

Congpanpan 2018-07-27

如何使用syslog-ng从远程Linux机器上收集日志

如果你的数据中心全是 Linux 服务器,而你就是系统管理员。那么你的其中一项工作内容就是查看服务器的日志文件。但是,如果你在大量的机器上去查看日志文件,那么意味着你需要挨个去登入到机器中来阅读日志文件。如果你管理的机器很多,仅这项工作就可以花费你一天的

zhangbingb 2018-03-09

RHEL5 下使用syslog-ng构建集中型日志服务器

在生产环境中,存在一台日志服务器,专门用来记录其他服务器的日志信息是个很好的主意,不过用红帽自带的syslog,配置虽然简单,但是日志却没有办法分离,默认都堆在/var/log/message文件里面,用来超不爽,下面来介绍下用syslog-ng来构建日志

Avril 2010-03-29
charthyf

charthyf

W3CSchool教程
HTML 教程
CSS 教程
Bootstrap 教程
Javascript 教程
jQuery 教程
后端教程
C 教程
Java 教程
PHP 教程
Python 教程
Go 教程
移动开发
Android 教程
Swift 教程
Kotlin 教程
jQuery Mobile 教程
ionic 教程
关于我们
新闻动态
联系方式
招聘英才
安科实验室
帮助与反馈

安科网(Ancii),中国第一极客网

Copyright © 2013 - 2019 Ancii.com

京ICP备18063983号 京公网安备11010802014868号