syslog-ng和systemd-journal远程日志存储
注意:对于使用systemd-journal日志系统的服务器,需要首先激活systemd-journal日志转发syslog设置,将journal日志转发给第三方的syslog服务,如rsyslog或syslog-ng才能实现本文中类似通过
syslog-ng
集中采集日志的功能。本文采用
syslog-ng
+systemd-journald
实现日志集中存储。本文配置在KVM虚拟机环境,由于libvirtd采用的是NAT网络,所以KVM物理主机的默认IP地址
192.168.122.1
面向内部虚拟机网络,提供集中的日志采集服务。
配置syslog-ng
服务器
syslog-ng
服务器在很多早期发行版本都采用了syslog-ng
,例如SUSE,debian系列。
编辑
/etc/syslog-ng/syslog-ng.conf
添加
或者将上述配置独立成一个配置文件存放到 /etc/syslog-ng/conf.d/
,例如命名成 /etc/syslog-ng/conf.d/center_syslog.conf
过滤规则
syslog-ng
支持复杂的过滤规则,例如可以通过主机IP地址过滤
重启syslog-ng服务
iptables配置:
注意:syslog服务器需要允许通过防火墙访问,通常需要配置
/etc/sysconfig/iptalbes
添加:
然后重启iptables
配置syslog-ng
客户端
syslog-ng
客户端上述IP地址 192.168.122.1
是提供日志服务的服务器IP地址,也就集中管理日志服务器的监听IP地址。请替换成你实际网络服务器的IP地址。
编辑 /etc/syslog-ng/syslog-ng.conf
也可以独立配置一个 /etc/syslog-ng/conf.d/client_syslog.conf
添加上述内容。
非常悲剧,上述测试还没有成功。时间有限,暂时改成NFS共享方式。即请参考
Remote Logging with SSH and Syslog-NG 介绍了通过ssh加密通道实现syslog-ng的远程日志采集,是跨因特网的一个加密解决方案,我准备做一次实践。或许可以结合systemd+ssh+rsyslog来实现。
参考
Last updated