一、日志服务器简介
传输日志共有三种方法:
1.UDP传输协议:基于传统的UDP协议进行远程日志的传输,这也是传统的传输方式。正如UDP协议的传输特点,尽最大可能交付,可靠性较差,但是网络带宽消耗最少(因为不需要建立连接等等),在网络情况较差的情况下可能丢失日志信息。
2.TCP传输协议:基于传统的TCP协议进行传输,需要进行消息的确认,可靠性较高。但是如果服务器宕机或者网络出现故障的情况下也还是会丢失日志信息。
3.RELP传输协议:RELP(Reliable Event Logging Protocol)是基于TCP封装的可靠日志传输协议,RELP在传输过程中不会丢失日志信息,但是必须在rsyslogd版本为3.15.0以上才能使用。(注:使用rsyslogd -version来查看rsyslogd版本信息)
二、实验环境
两台Linux主机,一台作为Linux日志服务器服务端,另一台作为Linux日志服务器客户端。两台主机处于同一网段,必须可以ping通。在本次实验中,
Linux服务端的IP地址是192.168.100.1, Linux客户机的IP地址是192.168.100.2。
三、实验步骤
1.RELP传输协议(因为默认并没有安装RELP库,所以必须先安装RELP库)
Linux日志服务器端:
(1):配置本地yum源并安装rsyslog-relp
修改配置文件,文件内容如下
保存退出,然后挂载光盘镜像
我这显示已经挂载过光盘了。然后安装
若出现如下内容则安装成功
(2):配置Linux日志服务器(配置文件在/etc/rsyslog.conf)
修改配置文件内容如下(在后面添加两行红色方框内的内容)
这两行表示使用relp模式传输,传输端口为2514
(3):开启传输端口监听
修改内容如下:
-r指定监听端口,-c2表明是兼容模式
(4):重启日志服务
(5):关闭防火墙
Linux客户机端:
(1):修改日志文件
修改内容如下
(2):重启日志服务
(3):关闭防火墙
测试:
(1):在服务器端查看log下的messages
(2):在客户机输入测试语句
(3):在服务器上可以看见客户机上的日志信息(客户机的日志信息传输到了服务器上)
2.TCP传输协议
Linux日志服务器端
(1):修改服务器的配置文件
修改内容如下(去掉TCP前面两行注释,并且将之前RELP传输协议的内容注释起来)
(2):设置监听端口
修改内容如下(此时端口为514)
(3)重启日志服务
(4):关闭防火墙
Linux客户机端
(1):修改日志配置文件
修改内容如下(在配置文件中添加下图中内容,并且将之前RELP的内容注释掉)
(2):重启日志服务
(3):关闭防火墙
测试
(1):在服务器端查看log下的messages
(2):在客户机输入测试语句
(3):在服务器上可以看见客户机上的日志信息(客户机的日志信息传输到了服务器上)
3.UDP传输协议
Linux日志服务器端
(1): 修改服务器的配置文件
修改内容如下(去掉UDP前面两行注释,并且将之前TCP的内容注释掉)
(2):设置监听端口
修改内容如下
(3):重启服务
(4):关闭防火墙
Linux客户端
(1):修改日志配置文件
(2):修改内容如下(将之前的内容注释掉)
(3):重启服务
(4):关闭防火墙
测试
(1):在服务器端查看log下的messages
(2):在客户机输入测试语句
(3):在服务器上可以看见客户机上的日志信息(客户机的日志信息传输到了服务器上)
这样,三种传输方式配置日志的就完成了。建议最好使用RELP传输方式。