如何配置Ubuntu RSyslog接收网络设备日志?
- By : Will
- Category : Debian-Like
Debian-Like
1 前言
一个问题,一篇文章,一出故事。
最近想记录路由器或交换机的日志,于是整理此文。
2 最佳实践
2.1 修改配置
vim /etc/rsyslog.conf
修改如下配置,
module(load="imudp") input(type="imudp" port="514") module(load="imtcp") input(type="imtcp" port="514") #... $template RouterAuditLogs, "/var/log/router/%fromhost-ip%.log" :fromhost-ip, !isequal, "127.0.0.1" ?RouterAuditLogs & stop
需要注意的是,
– 参数加载imudp和imtcp模块在默认端口514做tcp和udp倾听,即提供日志服务器。
– 通过if语句,如果IP地址来源不是是“127.0.0.1”则输出日志到文件“/var/log/router/ipxxxxxx.log”
根据上面的配置,我们需要为日志创建存储的文件夹,
mkdir -p /var/log/router chown syslog:syslog /var/log/router chmod 755 /var/log/router
另外,根据配置需求,你可能还需要开放相应的防火墙端口,
sudo ufw allow 514/tcp sudo ufw allow 514/udp
2.2 重启服务使用配置生效
systemctl restart rsyslog
没有评论