1 前言

一个问题，一篇文章，一出故事。
最近想记录路由器或交换机的日志，于是整理此文。

2 最佳实践

2.1 修改配置

vim /etc/rsyslog.conf

修改如下配置，

module(load="imudp")
input(type="imudp" port="514")
module(load="imtcp")
input(type="imtcp" port="514")
#...
$template RouterAuditLogs, "/var/log/router/%fromhost-ip%.log"
:fromhost-ip, !isequal, "127.0.0.1" ?RouterAuditLogs
& stop

需要注意的是，
– 参数加载imudp和imtcp模块在默认端口514做tcp和udp倾听，即提供日志服务器。
– 通过if语句，如果IP地址来源不是是“127.0.0.1”则输出日志到文件“/var/log/router/ipxxxxxx.log”
根据上面的配置，我们需要为日志创建存储的文件夹，

mkdir -p /var/log/router
chown syslog:syslog /var/log/router
chmod 755 /var/log/router

另外，根据配置需求，你可能还需要开放相应的防火墙端口，

sudo ufw allow 514/tcp
sudo ufw allow 514/udp

2.2 重启服务使用配置生效

systemctl restart rsyslog

2.3 客户端配置

如何将H3C系统日志保存到日志服务器？