Syslog日志集中管理

一、rsyslog服务端配置：安装rsyslog，修改/etc/rsyslog.conf启用UDP/TCP接收，module(load=imudp) input(type=imudp port=514)，module(load=imtcp) input(type=imtcp port=514)，配置日志模板按主机和时间分割，template定义日志存储路径格式，重启systemctl restart rsyslog。二、客户端配置：修改/etc/rsyslog.conf，添加远端服务器配置，. @log-server:514使用UDP发送，. @@log-server:514使用TCP发送更可靠，重启rsyslog服务。三、日志过滤：基于设施和级别过滤如kern.* authpriv.*，使用rsyslog条件表达式if $msg contains error then，基于程序名过滤如programname。四、日志存储：按日期和主机自动分割日志文件，配置日志压缩节省空间，设置日志保留策略自动清理过期日志。