So konfigurieren Sie Syslog unter Linux, um die Protokollweiterleitung zu implementieren

1. Syslog-Protokoll

          Die meisten Protokolle im Linux-System werden über einen Syslog-Mechanismus generiert und verwaltet. Syslog ist ein Protokoll, das in Client und Server unterteilt ist. Der Client generiert Protokolle und der Server empfängt Protokolle. Und speichern Sie das empfangene Protokoll in einer Datei oder verarbeiten Sie es auf andere Weise.

Unter Linux ist das gängige serverseitige Syslog-Programm der Syslogd-Daemon. Dieses Programm empfängt Protokolle von drei Orten

[1]: Unix-Domain-Socket /dev/log

[2]: UDP-Port 514

#🎜 🎜# 【 3】: Spezielles Gerät /dev/klog

Dementsprechend muss das Programm, das Protokollnachrichten generiert, Nachrichten über die oben genannten drei Methoden schreiben. Bei den meisten Programmen werden Protokollmeldungen an den /dev/log-Socket gesendet.

Auf Unix-Betriebssystemen wird Syslog häufig für Systemprotokolle verwendet. Syslog-Protokollmeldungen können in lokalen Dateien aufgezeichnet oder über das Netzwerk an den Syslog-Server gesendet werden. Der Server, der Syslog empfängt, kann Syslog-Nachrichten von mehreren Geräten einheitlich speichern. Oder analysieren Sie den Inhalt und verarbeiten Sie ihn entsprechend. Häufige Anwendungsszenarien sind Netzwerkverwaltungstools, Sicherheitsverwaltungssysteme und Protokollverwaltungssysteme. Das vollständige Syslog-Protokoll enthält

                                                                                                                                                                                                                            ]: Prozess-ID#🎜🎜 ## 🎜🎜 #                                                                                                                                                                                                                                                              Da diese Spezifikation relativ spät veröffentlicht wurde, entsprechen viele Geräte dieser Spezifikation nicht oder nicht vollständig. Als nächstes stellen wir diese Spezifikation vor.

Es wird vereinbart, dass das Gerät, das Syslog sendet, Device ist, das Gerät, das Syslog weiterleitet, Relay ist und das Gerät, das Syslog empfängt, Collector ist. Das Relay selbst kann auch sein eigenes Syslog an den Collector senden und erscheint dann als Gerät. Relay kann auch nur einen Teil der empfangenen Syslog-Nachrichten weiterleiten. Zu diesem Zeitpunkt verhält es sich sowohl als Relay als auch als Collector.

Syslog-Nachrichten werden an den UDP 514-Port des Collectors gesendet, ohne dass eine Antwort vom Empfänger erforderlich ist. RFC3164 empfiehlt, dass das Gerät auch 514 als Quellport verwendet. Es ist festgelegt, dass das UDP-Paket der Syslog-Nachricht 1024 Bytes nicht überschreiten darf und vollständig aus druckbaren Zeichen bestehen muss. Die komplette Syslog-Nachricht besteht aus 3 Teilen, nämlich PRI, HEADER und MSG. Die meisten Syslogs enthalten PRI- und MSG-Abschnitte, HEADER jedoch möglicherweise nicht.

2. Konfigurieren Sie den Syslog-Server und -Client für die Implementierung der Protokollweiterleitung 🎜# 1. Server

            <1> Ändern Sie /etc/default/rsyslog

#🎜 🎜 #​ # 🎜🎜#​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​ -r gibt an, dass es erlaubt ist, externe Daten zu empfangen Nachrichten #🎜🎜 ## -#-x bedeutet, dass dNS nicht analysiert wird,#🎜🎜 ## 🎜🎜#-m 0 gibt das Zeitintervall für die -Stab-Beschriftung an,#🎜🎜 ## 🎜🎜#

Wenn angegeben, nur akzeptieren Protokolle von einer oder mehreren IPs, zum Beispiel „-s 168.1.1.1:168.1.1.2“

          > Ändern Sie /etc/rsyslog.conf

# 🎜🎜## 🎜🎜#                                                                                   unkommentiert sein:

$ModLoad imudp.so
                          $UDPServerRun 514

                            Fügen Sie diese beiden Sätze am Ende der Datei hinzu

syslog.info;syslog.!err;syslog.!crit;syslog.!alert       /var/log/mylog      #info信息记录到日志服务器的/var/log/mylog中
                         syslog.err                                           /var/log/testerror    #error信息记录到日志服务器的/var/log/testerror中  2 、客户端

                                                                                                                                                                                                                                                                                                                         syslog.info                                       

3. Dienstneustart

Führen Sie den folgenden Code auf dem Server aus /var/log/mylog, dass das Protokoll auf dem Server gespeichert wurde

$ModLoad imudp.so
                          $UDPServerRun 514

Das obige ist der detaillierte Inhalt vonSo konfigurieren Sie Syslog unter Linux, um die Protokollweiterleitung zu implementieren. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!