Linux日志服務器設置過程

我們知道，使用“@IP：端口”或“@@IP：端口”的格式可以把日志發送到遠程主機上，那么這么做有什么意義嗎？

假設我需要管理幾十臺服務器，那么我每天的重要工作就是查看這些服務器的日志，可是每臺服務器單獨登錄，并且查看日志非常煩瑣，我可以把幾十臺服務器的日志集中到一臺日志服務器上嗎？這樣我每天只要登錄這臺日志服務器，就可以查看所有服務器的日志，要方便得多。

如何實現日志服務器的功能呢？其實并不難，不過我們首先需要分清服務器端和客戶端。假設服務器端的服務器 IP 地址是 192.168.0.210，主機名是 localhost.localdomain；客戶端的服務器 IP 地址是 192.168.0.211，主機名是 www1。我們現在要做的是把 192.168.0.211 的日志保存在 192.168.0.210 這臺服務器上。實驗過程如下：

#服務器端設定（192.168.0.210）：
[root@localhost ~]# vi /etc/rsyslog.conf
…省略部分輸出…
# Provides TCP syslog reception
$ModLoad imtcp
$InputTCPServerRun 514
#取消這兩句話的注釋，允許服務器使用TCP 514端口接收日志
…省略部分輸出…
[root@localhost ~]# service rsyslog restart
#重啟rsyslog日志服務
[root@localhost ~]# netstat -tlun | grep 514
tcp 0 0 0.0.0.0：514 0.0.0.0：* LISTEN
#查看514端口已經打開
#客戶端設置（192.168.0.211）：
[root@www1 ~]# vi /etc/rsyslog.conf
#修改日志服務配置文件
*.* @@192.168.0.210：514
#把所有日志采用TCP協議發送到192.168.0.210的514端口上
[root@www1 ~]# service rsyslog restart
#重啟日志服務

這樣日志服務器和客戶端就搭建完成了，以后 192.168.0.211 這臺客戶機上所產生的所有日志都會記錄到 192.168.0.210 上。比如：

#在客戶機上(192.168.0.211)
[root@wwwl ~]# useradd zhangsan
#添加zhansan用戶提示符的主機名是www1)
#在限務器(192.168.0.210)上
[root@localhost ~]# vi /var/log/secure
#査看服務器的secure日志(注意:主機名是localhost)
Aug 8 23:00:57 wwwl sshd【1408]: Server listening on 0.0.0.0 port 22.
Aug 8 23:00:57 wwwl sshd[1408]: Server listening on :: port 22.
Aug 8 23:01:58 wwwl sshd[1630]: Accepted password for root from 192.168.0.101 port 7036 ssh2
Aug 8 23:01:58 wwwl sshd[1630]: pam_unix(sshd:session): session opened for user root by (uid=0)
Aug 8 23:03:03 wwwl useradd[1654]: new group: name=zhangsan, GID-505
Aug 8 23:03:03 wwwl useradd[1654]: new user: name=zhangsan, UXD=505, GID=505,
home=/home/zhangsan, shell=/bin/bash
Aug 8 23:03:09 wwwl passwd: pam_unix(passwd:chauthtok): password changed for zhangsan
#注意：查看到的日志內容的主機名是www1，說明我們雖然查看的是服務器的日志文件，但是在其中可以看到客戶機的日志內容

需要注意的是，日志服務是通過主機名來區別不同的服務器的。所以，如果我們配置了日志服務，則需要給所有的服務器分配不同的主機名。