Windows 下日志保存至Linux rsyslog日志服务器

  • A+
所属分类:linux技术
摘要

通过https://www.rsyslog.com/windows-agent/windows-agent-download/下载客户端后,按照默认安装完成后即进行配置。


一、 下载安装

通过https://www.rsyslog.com/windows-agent/windows-agent-download/下载客户端后,按照默认安装完成后即进行配置。

二、 服务器测试

点击Tools>Syslog Test Message,填写Syslog Server 服务器地址,Syslog Port端口(一般默认为UDP协议),然后点击Send往日志服务器发送一条验证消息,如果服务器能收到表示通信正常可以收发日志。

 Windows 下日志保存至Linux rsyslog日志服务器

Windows 下日志保存至Linux rsyslog日志服务器

三、 客户端配置

3.1 转发服务设置

进入Rule>Default RuleSet>ForwardRsyslog>Actions>Rsyslog。其中Syslog Target Options 中配置好日志服务器地址

 Windows 下日志保存至Linux rsyslog日志服务器

 Syslog Message Options 中配置好日志格式和编码

 Windows 下日志保存至Linux rsyslog日志服务器

3.2 系统日志类型选择

进入Services>Event Log Monitor V2 >Event Channel选择需要发送到日志服务器的事件日志类型。一般登录信息之类的包含在Security中。

 Windows 下日志保存至Linux rsyslog日志服务器

3.3 日志过滤

默认的日志包含了较多我们不需要的信息,会导致日志服务器的日志记录增长非常快,也干扰日志查找。通过Rule>Default RuleSet>ForwardRsyslog>Filters可以很好的进行过滤。

这一部分需要自行进行测试,一般通过message进行关键字过滤就可以达到很好的效果。完成这一步骤基本就完成全部配置了。

 Windows 下日志保存至Linux rsyslog日志服务器 

四、 日志服务器配置

这是我自己日志服务器的配置

[root@zht-app003 etc]# sed 's/^#.*//;/^$/d' rsyslog.conf $ModLoad imuxsock # provides support for local system logging (e.g. via logger command) $ModLoad imjournal # provides access to the systemd journal $ModLoad imudp $UDPServerRun 514 $template myFormat,"%timestamp% %fromhost-ip% %syslogtag% %msg%n" $ActionFileDefaultTemplate myFormat  $WorkDirectory /var/lib/rsyslog $template RemoteLogs,"/rsyslog/%fromhost-ip%/%fromhost-ip%_%$YEAR%-%$MONTH%-%$DAY%/%PROGRAMNAME%.log" :fromhost-ip, !isequal, "127.0.0.1"  *.* ?RemoteLogs & ~ $IncludeConfig /etc/rsyslog.d/*.conf $OmitLocalLogging on $IMJournalStateFile imjournal.state *.info;mail.none;authpriv.none;cron.none                /var/log/messages authpriv.*                                              /var/log/secure mail.*                                                  -/var/log/maillog cron.*                                                  /var/log/cron *.emerg                                                 :omusrmsg:* uucp,news.crit                                          /var/log/spooler local7.*                                                /var/log/boot.log *.* @172.19.100.214:514 kern.warning;*.err;*.info;kern.debug;daemon.notice;mail.none;authpriv.none;cron.none /var/log/kern.log

Windows 下日志保存至Linux rsyslog日志服务器

 

 

root  [ruːt]  详细X

基本翻译
n. 根;根源;词根;祖先
vi. 生根;根除
vt. 生根,固定;根源在于
n. (Root)人名;(英)鲁特;(德、瑞典)罗特

网络释义
root:
square root: 平方根
cube root: 立方