如何配置Ubuntu RSyslog接收网络设备日志?

Debian-Like

1 前言

一个问题,一篇文章,一出故事。
最近想记录路由器或交换机的日志,于是整理此文。

2 最佳实践

2.1 修改配置

vim /etc/rsyslog.conf

修改如下配置,

module(load="imudp")
input(type="imudp" port="514")
module(load="imtcp")
input(type="imtcp" port="514")
#...
$template RouterAuditLogs, "/var/log/router/%fromhost-ip%.log"
:fromhost-ip, !isequal, "127.0.0.1" ?RouterAuditLogs
& stop

需要注意的是,
– 参数加载imudp和imtcp模块在默认端口514做tcp和udp倾听,即提供日志服务器。
– 通过if语句,如果IP地址来源不是是“127.0.0.1”则输出日志到文件“/var/log/router/ipxxxxxx.log”
根据上面的配置,我们需要为日志创建存储的文件夹,

mkdir -p /var/log/router
chown syslog:syslog /var/log/router
chmod 755 /var/log/router

2.2 重启服务使用配置生效

systemctl restart rsyslog

2.3 客户端配置

如何实现h3c日志保存到服务器?

没有评论

发表回复

Debian-Like
如何修改Ubuntu SSSD加域用户的头像?

1 前言 一个问题,一篇文章,一出故事。 笔者的工作电脑是一部使用SSSD加域的电脑,加域的大致过程 …

Debian-Like
如何将远程主机端口经加密隧道映射到本地主机?

1 前言 一个问题,一篇文章,一出故事。 笔者最近需要将远程的一台主机“127.0.0.1:3128 …

Debian-Like
如何安装fcitx5解决Google Chrome输入法兼容问题?

1 前言 一个问题,一篇文章,一出故事。 笔者最近发现Google Chrome与当前系统的拼音输入 …