远程日志记录

标准系统日志管理配置每周轮换日志文件，并保留四次轮换。通常希望维护日志的时间长于默认的四周，尤其是在建立与任务相关的系统性能趋势时，通过将日志消息发送到具有专用大容量存储的远程日志主机，管理员可以维护其系统的大型系统日志归档，而无需更改默认的日志轮换配置，该配置旨在防止日志过度消耗磁盘存储。

集中收集系统日志消息对于监控系统状态和快速识别问题也非常有用。它还为日志消息提供了一个备份位置，以防系统发生灾难性硬盘故障或其他问题，导致本地日志不再可用。在这些情况下，位于中央日志主机上的日志消息副本可用于帮助诊断导致问题的原因。

标准化的系统日志记录在Red Hat Enterprise Linux 7中由rsyslog服务实现。系统程序可以向本地rsyslogd服务发送syslog消息，然后该服务会根据其配置文件/etc/rsyslog.conf中的设置，将这些消息重定向到/var/log、远程日志服务器或其他数据库中的文件。

日志消息有两个用于分类的特征。日志消息的功能表明了它是什么类型的消息。另一方面，优先级表示消息中记录的事件的重要性。

系统日志的优先级：

配置中央日志主机：

中央日志主机的实现需要在两台系统上配置rsyslog服务:发出日志消息的远程系统和接收消息的中央日志主机。

在中央日志主机上，需要配置rsyslog服务，以便接受来自远程主机的日志消息。

要在中央日志主机上配置rsyslog服务以接受远程日志，需要在/etc/rsyslog.conf文件的modules部分取消对TCP或UDP接收行的注释。

就像这样：

TCP为远程日志消息提供了更可靠的传递，但是UDP受到更多的操作系统和网络设备的支持。

默认情况下,/etc/rsyslog.conf中包含的规则配置为支持在单个主机上记录消息。因此，它按功能对消息进行分类和打包。例如，邮件消息被集中到/var/log/maillog中，而crond守护进程生成的消息被合并到/var/log/cron中，以便于定位每种类型的消息。

实战：配置远程日志记录

本实验我们的目的：

能够将远程系统日志记录集中到一个中央日志主机。

1. 首先需要我们以root用户身份登录上servera，serverab；

在servera上配置rsyslog服务，以便它可以充当中央日志主机。为了获得更可靠的syslog消息传递，还需要将中央日志主机配置为使用TCP接受来自远程主机的消息传递。

为了更好地组织消息，创建一个新规则，将每个主机生成的syslog消息写入/var/log/loghost目录下的单独子目录中。子目录将以每个主机的主机名命名。在每个主机的子目录中，将为每个系统日志工具的消息维护一个单独的日志文件。为了获得更好的性能，需要配置日志记录，以便在记录每个消息后不执行同步。为新日志文件配置日志循环。

将serverb配置为提供远程记录到中央日志主机。通过生成一条测试消息并验证它是否存在于servera的相应日志中来测试配置。

2. 验证rsyslog服务正在运行，并且能够在引导时启动

3. 在servera上配置rsyslog服务，以便使用TCP接受来自远程主机的syslog消息，并将消息写入每个主机的单独文件。

​ 通过取消对以下行的注释，在/etc/rsyslog.conf中启用TCP 的syslog的接收

​ 在“#### RULES ####”部分下，为动态日志文件名添加以下规则，然后创建一个规则来使用动态文件名按主机名和工具分隔日志消息。

​ 重新启动rsyslog服务以使配置更改生效。

4. 将以下条目添加到 /etc/logrotate.d/syslog配置文件，以便将新的日志文件放入日志轮换计划中。

5. 修改servera上的防火墙，以允许使用TCP传递来自远程主机的传入系统日志消息。

​ 允许TCP在514端口上的传入流量。

​ 重新加载firewalld以使防火墙更改生效。

6. 将serverb配置为使用TCP协议将syslog消息远程发送到servera。

​ 在serverb上，将以下规则添加到/etc/rsyslog.conf中，以便使用TCP在514端口上将所有syslog消息远程传递到servera。

​ 重新启动serverb上的rsyslog服务，以使配置更改生效。

7. 验证从serverb到运行在servera上的中央日志主机的远程日志记录是否正常工作。

在serverb上，使用不同的工具生成几条syslog消息。

​ 在servera上，验证syslog消息是否出现在/var/log/loghost/serverb目录。

我们可以看道有这个日志文件，那么配置远程日志记录就成功了。