使用日志/ logs导出日志

Question

我正在尝试将内核日志(/var/log/messages)导出到远程Syslog服务器。到目前为止，大多数系统日志都存储在当前的日志中，并且禁用了rsyslogd。

因此，我计划使用rsyAdd.1-d来导出日志(通过配置rsyslog.conf文件)。首先，我将把这些内核日志从日志传递到rsyAdd.1-d，然后导出它们。

有人能建议，如果这是正确的道路进行，或我可以直接使用日志实现同样的？

Answer 1

Systemd可以收集和存储日志，但是它没有内置的方法记录到远程位置，例如日志管理系统。相反，它依赖于设备的syslog服务在日志和远程syslog服务器之间中继消息。

但是，syslog是基于文本的，日志使用二进制格式，因此在传输日志之前需要对日志进行转换。您可以通过使用systemd的ForwardToSyslog配置设置或使用rsyslog的imjournal模块来实现这一点。

/etc/systemd/journald.conf有一个ForwardToSyslog=yes选项，允许您将日志转发到syslog，对我来说这似乎是一种非常不雅观的方式。

在rsyslog中，您可以添加模块imjournal，以获取日志日志。要使用它，请将以下内容添加到/etc/rsyAdd.1-.conf文件中。ryslog解析模块允许ryslog解析日志消息：

module(load="imjournal")
module(load="mmjsonparse")

可以使用标准的imklog模块记录内核消息。只需将：module(load="imklog")添加到配置文件/etc/rsyAdd.1-.conf中即可。对于标准的rsyslog配置，这应该将内核消息记录到/var/ log /messages和/var/log/syslog。

转发可以在UDP或TCP上完成。

转发：

*.* action(type="omfwd" target="10.0.2.1" port="514" protocol="udp")         # UDP
*.* action(type="omfwd" target="10.0.2.1" port="10514" protocol="tcp")       # TCP

Obsolote遗产格式

*.* @10.0.1.1:514        # UDP
*.* @@10.0.1.1:514       # TCP

添加此内容后(请不要使用遗留格式)，您的rsyslog客户端应该开始将消息转发到远程syslog服务器。我只是在答案中添加了遗留格式，因为如果您会发现很多类似这样的配置。