Red Hat Summit 红帽全球峰会支持控制台(Console)开发人员开始试用联系人

第 6 章 配置日志记录

Red Hat Enterprise Linux 中的大多数服务都会记录状态消息、警告和错误。您可以使用 rsyslogd 服务将这些条目记录到本地文件或远程日志记录服务器。

6.1. 配置远程日志记录解决方案
复制链接

要确保在日志记录服务器中集中记录来自环境中各种机器的日志,您可以将 Rsyslog 应用程序配置为将适合客户端系统中特定条件的日志记录到服务器。

6.1.1. Rsyslog 日志记录服务
复制链接

Rsyslog 应用程序与 systemd-journald 服务相结合,在 Red Hat Enterprise Linux 中提供了本地和远程记录支持。rsyslogd 守护进程会持续读取 systemd-journald 服务从 Journal 接收的 syslog 消息。然后 rsyslogd 会过滤并处理这些 syslog 事件,并将它们记录到 rsyslog 日志文件,或者根据自己的配置将它们转发到其他服务。

rsyslogd 守护进程还提供扩展的过滤、加密受保护的转发消息、输入和输出模块,并支持使用 TCP 和 UDP 协议进行传输。

/etc/rsyslog.conf 中,是 rsyslog 的主要配置文件,您可以根据 rsyslogd 处理消息来指定规则。通常,您可以通过其来源和主题(设施)和紧急情况(优先级)对消息进行分类,然后分配在消息适合这些条件时应执行的操作。

/etc/rsyslog.conf 中,您还可以看到 rsyslogd 维护的日志文件列表。大多数日志文件位于 /var/log/ 目录中。httpdsamba 等一些应用将其日志文件存储在 /var/log/ 中的子目录中。

6.1.2. 安装 Rsyslog 文档
复制链接

Rsyslog 应用程序在 https://www.rsyslog.com/doc/ 上提供了广泛的在线文档,但您也可以在本地安装 rsyslog-doc 文档软件包。

先决条件

  • 您已在系统中激活了 AppStream 软件仓库。
  • 您有权使用 sudo 安装新软件包。

流程

  • 安装 rsyslog-doc 软件包: 

    # yum install rsyslog-doc
    Copy to Clipboard Toggle word wrap

验证

  • 在您选择的浏览器中打开 /usr/share/doc/rsyslog/html/index.html 文件,例如: 

    $ firefox /usr/share/doc/rsyslog/html/index.html &
    Copy to Clipboard Toggle word wrap

6.1.3. 通过 TCP 配置服务器进行远程记录
复制链接

Rsyslog 应用程序可让您运行日志服务器并配置各个系统将其日志文件发送到日志记录服务器。要通过 TCP 使用远程日志,请同时配置服务器和客户端。服务器收集和分析由一个或多个客户端系统发送的日志。

使用 Rsyslog 应用程序,您可以维护一个集中的日志系统,该系统可通过网络将日志消息转发到服务器。为了避免服务器不可用时消息丢失,您可以为转发操作配置操作队列。这样,无法发送的消息将存储在本地,直到服务器再次可访问为止。请注意,此类队列无法针对使用 UDP 协议的连接配置。

omfwd 插件通过 UDP 或 TCP 提供转发。默认协议是 UDP。由于插件内置在内,因此不必加载它。

默认情况下,rsyslog 使用端口 514 上的 TCP。

先决条件

  • rsyslog 已安装在服务器系统上。
  • 您以 root 身份登录到服务器中。
  • 使用 semanage 命令,为可选步骤安装 policycoreutils-python-utils 软件包。
  • firewalld 服务在运行。

流程

  1. 可选: 要为 rsyslog 流量使用不同的端口,请将 syslogd_port_t SELinux 类型添加到端口。例如,启用端口 30514

    # semanage port -a -t syslogd_port_t -p tcp 30514
    Copy to Clipboard Toggle word wrap

  2. 可选: 要为 rsyslog 流量使用不同的端口,请将 firewalld 配置为允许该端口上传入的 rsyslog 流量。例如,允许端口 30514 上的 TCP 流量: 

    # firewall-cmd --zone=<zone-name> --permanent --add-port=30514/tcp
success
# firewall-cmd --reload
    Copy to Clipboard Toggle word wrap

  3. /etc/rsyslog.d/ 目录中创建一个新文件(例如,remotelog.conf),并插入以下内容: 

    # Define templates before the rules that use them
# Per-Host templates for remote systems
template(name="TmplAuthpriv" type="list") {
    constant(value="/var/log/remote/auth/")
    property(name="hostname")
    constant(value="/")
    property(name="programname" SecurePath="replace")
    constant(value=".log")
    }

template(name="TmplMsg" type="list") {
    constant(value="/var/log/remote/msg/")
    property(name="hostname")
    constant(value="/")
    property(name="programname" SecurePath="replace")
    constant(value=".log")
    }

# Provides TCP syslog reception
module(load="imtcp")

# Adding this ruleset to process remote messages
ruleset(name="remote1"){
     authpriv.*   action(type="omfile" DynaFile="TmplAuthpriv")
      *.info;mail.none;authpriv.none;cron.none
action(type="omfile" DynaFile="TmplMsg")
}

input(type="imtcp" port="30514" ruleset="remote1")
    Copy to Clipboard Toggle word wrap
  4. 将更改保存到 /etc/rsyslog.d/remotelog.conf 文件。

  5. 测试 /etc/rsyslog.conf 文件的语法: 

    # rsyslogd -N 1
rsyslogd: version 8.1911.0-2.el8, config validation run...
rsyslogd: End of config validation run. Bye.
    Copy to Clipboard Toggle word wrap

  6. 确保 rsyslog 服务在日志记录服务器中运行并启用: 

    # systemctl status rsyslog
    Copy to Clipboard Toggle word wrap

  7. 重新启动 rsyslog 服务。 

    # systemctl restart rsyslog
    Copy to Clipboard Toggle word wrap

  8. 可选: 如果没有启用 rsyslog,请确保 rsyslog 服务在重启后自动启动: 

    # systemctl enable rsyslog
    Copy to Clipboard Toggle word wrap

您的日志服务器现在已配置为从您环境中的其他系统接收和存储日志文件。

6.1.4. 通过 TCP 配置远程日志记录到服务器
复制链接

您可以配置系统,以通过 TCP 协议将日志消息转发到服务器。omfwd 插件通过 UDP 或 TCP 提供转发。默认协议是 UDP。因为插件内置在内,所以不必加载它。

先决条件

  • rsyslog 软件包安装在应该向服务器报告的客户端系统上。
  • 您已为远程日志记录配置了服务器。
  • 在 SELinux 中允许指定的端口并在防火墙中打开。
  • 系统包含 policycoreutils-python-utils 软件包,它为 SELinux 配置中添加非标准端口提供 semanage 命令。

流程

  1. /etc/rsyslog.d/ 目录中创建一个名为 的新文件,如 10-remotelog.conf,并插入以下内容: 

    *.* action(type="omfwd"
      queue.type="linkedlist"
      queue.filename="example_fwd"
      action.resumeRetryCount="-1"
      queue.saveOnShutdown="on"
      target="example.com" port="30514" protocol="tcp"
     )
    Copy to Clipboard Toggle word wrap

    其中:

    • queue.type="linkedlist" 设置启用 LinkedList 内存中队列,
    • queue.filename 设置定义磁盘存储。备份文件是使用 example_fwd 前缀,在之前全局 workDirectory 指令指定的工作目录中创建的。
    • action.resumeRetryCount -1 设置防止 rsyslog 在服务器没有响应而重试连接时丢弃消息,
    • 如果 rsyslog 关闭,queue.saveOnShutdown="on" 设置会保存内存中的数据。

    • 最后一行将所有收到的消息转发到日志记录服务器。端口规格是可选的。

      使用这个配置,rsyslog 会向服务器发送消息,但如果远程服务器无法访问,则会将消息保留在内存中。只有 rsyslog 耗尽配置的内存队列空间或需要关闭时,才能创建磁盘上的文件,从而让系统性能受益。

    注意

    rsyslog 按照一般顺序处理配置文件 /etc/rsyslog.d/

  2. 重新启动 rsyslog 服务。 

    # systemctl restart rsyslog
    Copy to Clipboard Toggle word wrap

验证

要验证客户端系统向服务器发送信息,请按照以下步骤执行:

  1. 在客户端系统中发送测试信息: 

    # logger test
    Copy to Clipboard Toggle word wrap

  2. 在服务器系统上,查看 /var/log/messages 日志,例如: 

    # cat /var/log/remote/msg/hostname/root.log
Feb 25 03:53:17 hostname root[6064]: test
    Copy to Clipboard Toggle word wrap

    其中 hostname 是客户端系统的主机名。请注意,日志包含输入 logger 命令的用户的用户名,本例中为 root

6.1.5. 配置 TLS 加密的远程日志记录
复制链接

默认情况下,Rsyslog 以纯文本格式发送 remote-logging 通信。如果您的场景需要保护这个通信频道,您可以使用 TLS 加密它。

要通过 TLS 使用加密传输,请同时配置服务器和客户端。服务器收集和分析由一个或多个客户端系统发送的日志。

您可以使用 ossl 网络流驱动程序(OpenSSL)或 gtls 流驱动程序(GnuTLS)。

注意

如果您的系统具有更高的安全性,例如,没有连接到任何网络或有严格授权的系统,请使用独立的系统作为认证授权(CA)。

您可以使用 全局模块输入 级别在服务器端使用流驱动程序在 全局 和操作级别上自定义连接设置。更为具体的配置会覆盖更常规的配置。例如,您可以对大多数连接和 gtls 在全局设置中使用 ossl,而只为特定连接使用 gtls。

先决条件

  • 有对客户端和服务器系统的 root 访问权限。

  • 以下软件包安装在服务器和客户端系统中:

    • rsyslog 软件包。
    • 对于 ossl 网络流驱动程序,rsyslog-openssl 软件包。
    • 对于 gtls 网络流驱动程序,rsyslog-gnutls 软件包。
    • 要使用 certtool 命令( gnutls-utils 软件包)生成证书。

  • 在您的日志服务器中,以下证书位于 /etc/pki/ca-trust/source/anchors/ 目录中,并使用 update-ca-trust 命令更新您的系统配置:

    • ca-cert.pem - 一个 CA 证书,它可以在日志记录服务器和客户端上验证密钥和证书。
    • server-cert.pem - 日志记录服务器的公钥。
    • server-key.pem - 日志记录服务器的私钥。

  • 在您的日志记录客户端中,以下证书位于 /etc/pki/ca-trust/source/anchors/ 目录中,并使用 update-ca-trust 来更新您的系统配置:

    • ca-cert.pem - 一个 CA 证书,它可以在日志记录服务器和客户端上验证密钥和证书。
    • client-cert.pem - 客户端的公钥。
    • client-key.pem - 客户端的私钥。

流程

  1. 配置服务器以从您的客户端系统接收加密日志:

    1. /etc/rsyslog.d/ 目录中创建一个新文件,例如 securelogser.conf

    2. 要加密通信,配置文件必须包含指向服务器的证书文件的路径、所选身份验证方法,以及支持 TLS 加密的流驱动程序。在 /etc/rsyslog.d/securelogser.conf 文件中添加以下行: 

      # Set certificate files
global(
  DefaultNetstreamDriverCAFile="/etc/pki/ca-trust/source/anchors/ca-cert.pem"
  DefaultNetstreamDriverCertFile="/etc/pki/ca-trust/source/anchors/server-cert.pem"
  DefaultNetstreamDriverKeyFile="/etc/pki/ca-trust/source/anchors/server-key.pem"
)

# TCP listener
module(
  load="imtcp"
  PermittedPeer=["client1.example.com", "client2.example.com"]
  StreamDriver.AuthMode="x509/name"
  StreamDriver.Mode="1"
  StreamDriver.Name="ossl"
)

# Start up listener at port 514
input(
  type="imtcp"
  port="514"
)
      Copy to Clipboard Toggle word wrap
      注意

      如果您更喜欢 GnuTLS 驱动程序,请使用 StreamDriver.Name="gtls" 配置选项。有关比 x509/name 严格性低的验证模式的更多信息,请参阅使用 rsyslog-doc 软件包安装的文档。

    3. 将更改保存到 /etc/rsyslog.d/securelogser.conf 文件。

    4. 验证 /etc/rsyslog.conf 文件的语法以及 /etc/rsyslog.d/ 目录中的任何文件: 

      # rsyslogd -N 1
rsyslogd: version 8.1911.0-2.el8, config validation run (level 1)...
rsyslogd: End of config validation run. Bye.
      Copy to Clipboard Toggle word wrap

    5. 确保 rsyslog 服务在日志记录服务器中运行并启用: 

      # systemctl status rsyslog
      Copy to Clipboard Toggle word wrap

    6. 重启 rsyslog 服务: 

      # systemctl restart rsyslog
      Copy to Clipboard Toggle word wrap

    7. 可选: 如果没有启用 Rsyslog,请确保 rsyslog 服务在重启后自动启动: 

      # systemctl enable rsyslog
      Copy to Clipboard Toggle word wrap

  2. 配置客户端以将加密日志发送到服务器:

    1. 在客户端系统上,在 /etc/rsyslog.d/ 目录中创建一个名为 的新文件,如 securelogcli.conf

    2. /etc/rsyslog.d/securelogcli.conf 文件中添加以下行: 

      # Set certificate files
global(
  DefaultNetstreamDriverCAFile="/etc/pki/ca-trust/source/anchors/ca-cert.pem"
  DefaultNetstreamDriverCertFile="/etc/pki/ca-trust/source/anchors/client-cert.pem"
  DefaultNetstreamDriverKeyFile="/etc/pki/ca-trust/source/anchors/client-key.pem"
)


# Set up the action for all messages
*.* action(
  type="omfwd"
  StreamDriver="ossl"
  StreamDriverMode="1"
  StreamDriverPermittedPeers="server.example.com"
  StreamDriverAuthMode="x509/name"
  target="server.example.com" port="514" protocol="tcp"
)
      Copy to Clipboard Toggle word wrap
      注意

      如果您更喜欢 GnuTLS 驱动程序,请使用 StreamDriver.Name="gtls" 配置选项。

    3. 将更改保存到 /etc/rsyslog.d/securelogcli.conf 文件。

    4. 验证 /etc/rsyslog.conf 文件的语法以及 /etc/rsyslog.d/ 目录中的其他文件: 

      # rsyslogd -N 1
rsyslogd: version 8.1911.0-2.el8, config validation run (level 1)...
rsyslogd: End of config validation run. Bye.
      Copy to Clipboard Toggle word wrap

    5. 确保 rsyslog 服务在日志记录服务器中运行并启用: 

      # systemctl status rsyslog
      Copy to Clipboard Toggle word wrap

    6. 重启 rsyslog 服务: 

      # systemctl restart rsyslog
      Copy to Clipboard Toggle word wrap

    7. 可选: 如果没有启用 Rsyslog,请确保 rsyslog 服务在重启后自动启动: 

      # systemctl enable rsyslog
      Copy to Clipboard Toggle word wrap

验证

要验证客户端系统向服务器发送信息,请按照以下步骤执行:

  1. 在客户端系统中发送测试信息: 

    # logger test
    Copy to Clipboard Toggle word wrap

  2. 在服务器系统上,查看 /var/log/messages 日志,例如: 

    # cat /var/log/remote/msg/<hostname>/root.log
Feb 25 03:53:17 <hostname> root[6064]: test
    Copy to Clipboard Toggle word wrap

    其中 < hostname> 是客户端系统的主机名。请注意,该日志包含输入 logger 命令的用户的用户名,本例中为 root

Rsyslog 应用程序可让您将系统配置为从远程系统接收日志信息。要通过 UDP 使用远程日志记录,请同时配置服务器和客户端。接收服务器收集并分析一个或多个客户端系统发送的日志。默认情况下,rsyslog 使用端口 514 上的 UDP 从远程系统接收日志信息。

按照以下步骤配置服务器,以通过 UDP 协议收集和分析一个或多个客户端系统发送的日志。

先决条件

  • rsyslog 已安装在服务器系统上。
  • 您以 root 身份登录到服务器中。
  • 使用 semanage 命令,为可选步骤安装 policycoreutils-python-utils 软件包。
  • firewalld 服务在运行。

流程

  1. 可选:要将不同的端口用于 rsyslog 流量,而不是默认端口 514

    1. syslogd_port_t SELinux 类型添加到 SELinux 策略配置中,使用您要 rsyslog 的端口号替换 portno

      # semanage port -a -t syslogd_port_t -p udp portno
      Copy to Clipboard Toggle word wrap

    2. 配置 firewalld 以允许传入的 rsyslog 流量,使用您要 rsyslog 使用的端口替换 portno,区替换 zone

      # firewall-cmd --zone=zone --permanent --add-port=portno/udp
success
# firewall-cmd --reload
      Copy to Clipboard Toggle word wrap

    3. 重新载入防火墙规则: 

      # firewall-cmd --reload
      Copy to Clipboard Toggle word wrap

  2. /etc/rsyslog.d/ 目录中创建一个新的 .conf 文件,如 remotelogserv.conf,并插入以下内容: 

    # Define templates before the rules that use them
# Per-Host templates for remote systems
template(name="TmplAuthpriv" type="list") {
    constant(value="/var/log/remote/auth/")
    property(name="hostname")
    constant(value="/")
    property(name="programname" SecurePath="replace")
    constant(value=".log")
    }

template(name="TmplMsg" type="list") {
    constant(value="/var/log/remote/msg/")
    property(name="hostname")
    constant(value="/")
    property(name="programname" SecurePath="replace")
    constant(value=".log")
    }

# Provides UDP syslog reception
module(load="imudp")

# This ruleset processes remote messages
ruleset(name="remote1"){
     authpriv.*   action(type="omfile" DynaFile="TmplAuthpriv")
      *.info;mail.none;authpriv.none;cron.none
action(type="omfile" DynaFile="TmplMsg")
}

input(type="imudp" port="514" ruleset="remote1")
    Copy to Clipboard Toggle word wrap

    其中 514rsyslog 默认使用的端口号。您可以指定不同的端口。

  3. 验证 /etc/rsyslog.conf 文件以及 /etc/rsyslog.d/ 目录中的所有 .conf 文件的语法: 

    # rsyslogd -N 1
rsyslogd: version 8.1911.0-2.el8, config validation run...
    Copy to Clipboard Toggle word wrap

  4. 重新启动 rsyslog 服务。 

    # systemctl restart rsyslog
    Copy to Clipboard Toggle word wrap

  5. 可选: 如果没有启用 rsyslog,请确保 rsyslog 服务在重启后自动启动: 

    # systemctl enable rsyslog
    Copy to Clipboard Toggle word wrap

6.1.7. 通过 UDP 配置远程日志记录到服务器
复制链接

您可以配置系统,以通过 UDP 协议将日志消息转发到服务器。omfwd 插件通过 UDP 或 TCP 提供转发。默认协议是 UDP。因为插件内置在内,所以不必加载它。

先决条件

流程

  1. /etc/rsyslog.d/ 目录中创建一个新的 .conf 文件,如 10-remotelogcli.conf,并插入以下内容: 

    *.* action(type="omfwd"
      queue.type="linkedlist"
      queue.filename="example_fwd"
      action.resumeRetryCount="-1"
      queue.saveOnShutdown="on"
      target="example.com" port="portno" protocol="udp"
     )
    Copy to Clipboard Toggle word wrap

    其中:

    • queue.type="linkedlist" 设置启用一个 LinkedList 内存中队列。
    • queue.filename 设置定义磁盘存储。备份文件使用之前全局 workDirectory 指令指定的工作目录中的 example_fwd 前缀创建。
    • action.resumeRetryCount -1 设置可防止 rsyslog 在重试时丢弃消息(如果服务器没有响应)。
    • 如果 rsyslog 关闭,启用的 queue.saveOnShutdown="on" 设置会保存内存中的数据。
    • portno 值是您要 rsyslog 使用的端口号。默认值为 514

    • 最后一行将所有收到的消息转发到日志记录服务器,端口规格是可选的。

      使用这个配置,rsyslog 会向服务器发送消息,但如果远程服务器无法访问,则会将消息保留在内存中。只有 rsyslog 耗尽配置的内存队列空间或需要关闭时,才能创建磁盘上的文件,从而让系统性能受益。

    注意

    rsyslog 按照一般顺序处理配置文件 /etc/rsyslog.d/

  2. 重新启动 rsyslog 服务。 

    # systemctl restart rsyslog
    Copy to Clipboard Toggle word wrap

  3. 可选: 如果没有启用 rsyslog,请确保 rsyslog 服务在重启后自动启动: 

    # systemctl enable rsyslog
    Copy to Clipboard Toggle word wrap

验证

要验证客户端系统向服务器发送信息,请按照以下步骤执行:

  1. 在客户端系统中发送测试信息: 

    # logger test
    Copy to Clipboard Toggle word wrap

  2. 在服务器系统中,查看 /var/log/remote/msg/hostname/root.log 日志,例如: 

    # cat /var/log/remote/msg/hostname/root.log
Feb 25 03:53:17 hostname root[6064]: test
    Copy to Clipboard Toggle word wrap

    其中 hostname 是客户端系统的主机名。请注意,该日志包含输入 logger 命令的用户的用户名,本例中为 root

6.1.8. Rsyslog 中的负载均衡帮助程序
复制链接

当在集群中使用时,您可以通过修改 RebindInterval 设置来提高 Rsyslog 负载均衡。

RebindInterval 指定当前连接中断的时间间隔,并被重新建立。此设置适用于 TCP、UDP 和 RELP 流量。负载平衡器将信息作为新连接,并将消息转发到另一个物理目标系统。

当目标系统更改了其 IP 地址时,RebindInterval 会很有用。Rsyslog 应用程序在建立连接时缓存 IP 地址,因此信息会发送到同一服务器。如果 IP 地址更改,UDP 数据包会丢失,直到 Rsyslog 服务重启为止。重新建立连接可确保 DNS 再次解析 IP。

TCP、UDP 和 RELP 流量使用 RebindInterval 示例

action(type="omfwd" protocol="tcp" RebindInterval="250" target="example.com" port="514" …)

action(type="omfwd" protocol="udp" RebindInterval="250" target="example.com" port="514" …)

action(type="omrelp" RebindInterval="250" target="example.com" port="6514" …)
Copy to Clipboard Toggle word wrap

6.1.9. 配置可靠的远程日志记录
复制链接

通过可靠的事件日志记录协议(RELP),您可以降低消息丢失的风险通过 TCP 发送和接收 syslog 消息。RELP 提供可靠的事件消息交付,这对于无法接受消息丢失的环境中非常有用。要使用 RELP,请配置服务器上运行的 imrelp 输入模块并接收日志,以及在客户端上运行的 omrelp 输出模块,并将日志发送到日志记录服务器。

先决条件

  • 您已在服务器和客户端系统中安装了 rsysloglibrelprsyslog-relp 软件包。
  • 在 SELinux 中允许指定的端口并在防火墙中打开。

流程

  1. 配置客户端系统以可靠远程记录:

    1. 在客户端系统上,在 /etc/rsyslog.d/ 目录中创建一个新的 .conf 文件,例如 relpclient.conf,并插入以下内容: 

      module(load="omrelp")
*.* action(type="omrelp" target="_target_IP_" port="_target_port_")
      Copy to Clipboard Toggle word wrap

      其中:

      • target_IP 是日志记录服务器的 IP 地址。
      • target_port 是日志记录服务器的端口。
    2. 保存对 /etc/rsyslog.d/relpclient.conf 文件的更改。

    3. 重新启动 rsyslog 服务。 

      # systemctl restart rsyslog
      Copy to Clipboard Toggle word wrap

    4. 可选: 如果没有启用 rsyslog,请确保 rsyslog 服务在重启后自动启动: 

      # systemctl enable rsyslog
      Copy to Clipboard Toggle word wrap

  2. 配置服务器系统以可靠远程记录:

    1. 在服务器系统中,在 /etc/rsyslog.d/ 目录中创建一个新的 .conf 文件,例如 reserv.conf,并插入以下内容: 

      ruleset(name="relp"){
*.* action(type="omfile" file="_log_path_")
}


module(load="imrelp")
input(type="imrelp" port="_target_port_" ruleset="relp")
      Copy to Clipboard Toggle word wrap

      其中:

      • log_path 指定存储消息的路径。
      • target_port 是日志记录服务器的端口。使用与客户端配置文件中相同的值。
    2. 保存对 /etc/rsyslog.d/relpserv.conf 文件的更改。

    3. 重新启动 rsyslog 服务。 

      # systemctl restart rsyslog
      Copy to Clipboard Toggle word wrap

    4. 可选: 如果没有启用 rsyslog,请确保 rsyslog 服务在重启后自动启动: 

      # systemctl enable rsyslog
      Copy to Clipboard Toggle word wrap

验证

要验证客户端系统向服务器发送信息,请按照以下步骤执行:

  1. 在客户端系统中发送测试信息: 

    # logger test
    Copy to Clipboard Toggle word wrap

  2. 在服务器系统中,查看指定 log_path 的日志,例如: 

    # cat /var/log/remote/msg/hostname/root.log
Feb 25 03:53:17 hostname root[6064]: test
    Copy to Clipboard Toggle word wrap

    其中 hostname 是客户端系统的主机名。请注意,该日志包含输入 logger 命令的用户的用户名,本例中为 root

6.1.10. 支持的 Rsyslog 模块
复制链接

要扩展 Rsyslog 应用程序的功能,您可以使用特定的模块。模块提供额外的输入(Input 模块)、输出(输出模块)和其他功能。模块也可以提供在加载模块后可用的其他配置指令。

您可以输入以下命令列出您系统中安装的输入和输出模块: 

# ls /usr/lib64/rsyslog/{i,o}m*
Copy to Clipboard Toggle word wrap

在安装了 rsyslog-doc 软件包后,您可以在 /usr/share/doc/rsyslog/html/configuration/modules/idx_output.html 文件中查看所有可用的 rsyslog 模块。

当无法登录到磁盘或使用串行控制台时,您可以使用 netconsole 内核模块和同名服务将内核消息通过网络记录到远程 rsyslog 服务。

先决条件

  • 远程主机上已安装系统日志服务,如 rsyslog
  • 远程系统日志服务被配置为接收来自此主机的日志条目。

流程

  1. 安装 netconsole-service 软件包: 

    # yum install netconsole-service
    Copy to Clipboard Toggle word wrap

  2. 编辑 /etc/sysconfig/netconsole 文件,并将 SYSLOGADDR 参数设为远程主机的 IP 地址: 

    # SYSLOGADDR=192.0.2.1
    Copy to Clipboard Toggle word wrap

  3. 启用并启动 netconsole 服务: 

    # systemctl enable --now netconsole
    Copy to Clipboard Toggle word wrap

验证

  • 在远程系统日志服务器上显示 /var/log/messages 文件。
返回顶部
Red Hat logoGithubredditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。 了解我们当前的更新.

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

Theme

© 2025 Red Hat