如何在Debian上设置Rsyslog服务器？

　　日志文件对于探测和排除错误非常重要。系统管理员首先要仔细检查这些文件，以便缩小错误的可能原因，并提出解决方案。在具有数十或数百台服务器和其他设备的基础设施中，管理日志文件可能是一个挑战。这就是Rsyslog的用武之地。
　　Rsyslog是一种开源日志记录程序，它可以方便地将日志文件转发到IP网络中的集中日志服务器。通过集中式日志记录，管理员可以轻松地从一个中心点监视多个系统的日志文件。在这篇文章中，我们将引导您在Debian11上安装和配置Rsyslog服务器。实验设备
　　为了演示如何使用Rsyslog将日志文件从客户机系统发送到Rsyslog服务器，我们将进行一个简单的实验准备，如下所示：Rsyslogserver：Debian11IP：192。168。1。151Rsyslogclient：Ubuntu20。04IP：10。20。0。170（1）服务端配置
　　如前所述，Rsyslog工作在客户机服务器模型中，在Debian11上，Rsyslog是默认安装的。如果由于某种原因Rsyslog不存在，您可以使用该命令安装它sudoaptinstallyrsyslog
　　安装完成后，您可以如下所示检查其运行状态sudosystemctlstatusrsyslog
　　接下来，我们将配置rsyslog以在服务器模式下运行，编辑配置文件etcrsyslog。confsudovietcrsyslog。conf
　　取消注释下面允许从远程客户端接收UDP和TCPsyslog日志的行providesUDPsyslogreceptionmodule（loadimudp）input（typeimudpport514）providesTCPsyslogreceptionmodule（loadimtcp）input（typeimtcpport514）
　　粘贴以下行定义日志模板，Rsyslog守护进程将使用此模板存储来自客户机传入的日志。templateremoteincominglogs，varlogHOSTNAMEPROGRAMNAME。log。？remoteincominglogs
　　日志文件将使用以下命名约定：HOSTNAME客户机系统的主机名PROGRAMNAME创建日志文件的客户端程序
　　重新启动rsyslog守护进程sudosystemctlrestartrsyslog
　　缺省情况下，rsyslog监听514端口。您可以通过执行ss命令确认sudosstunlpgrep514
　　（2）配置防火墙规则
　　如果您正在运行UFW防火墙，请确保允许端口514，以便允许传入的传入日志消息。sudoufwallow514tcpsudoufwallow514udp
　　然后重新加载防火墙sudoufwreload（3）配置客户端
　　最后一步是配置客户端系统将日志文件发送到rsyslog服务器。再次登录到客户机，确保rsyslog守护进程已安装并运行。
　　接下来，编辑rsyslog配置文件sudovietcrsyslog。conf
　　转到文件的最后并添加如下这些行EnablesendingsystemlogsoverUDPtorsyslogserver。rsyslogipaddress：514EnablesendingsystemlogsoverTCPtorsyslogserver。rsyslogipaddress：514
　　这些行指示客户端通过UDP和TCP协议将日志文件发送到rsyslog服务器。
　　注意：第一行有一个符号表示UDP，第二行有两个符号表示TCP协议。
　　Shouldtheremoteserverexperienceanydowntimeandyouwantto
　　preserveyourlogs，youcansetthediskqueuebufferbyappendingthe
　　linesshown。
　　如果远程服务器出现任何停机，并且希望保存日志，则需要设置磁盘队列缓冲区，如下所示
　　Setdiskqueuewhenrsyslogserverwillbedown：ActionQueueFileNamequeueActionQueueMaxDiskSpace1gActionQueueSaveOnShutdownonActionQueueTypeLinkedListActionResumeRetryCount1
　　下面是对客户端配置的所有修改的摘要
　　保存并退出文件。现在重新启动rsyslog服务，使更改生效。sudosystemctlrestartrsyslog（4）查看客户端日志文件
　　Allthelogfiles（includingtheservers）arestoredinthevarlogdirectory。Toviewtheclient’slogs，runthefollowingcommand：
　　所有日志文件（包括服务器）都存储在varlog目录中，运行命令查看客户端的日志lsvarlog
　　客户端日志文件将保存在与客户端系统主机名对应的目录中，如下所示：
　　您可以进一步查看主日志目录中包含的日志文件sudolslvarlogubuntu2004
　　当需要实时查看日志信息时，使用如下命令tail。例如：我们正在查看sudo用户的日志。sudotailfvarlogubuntu2004sudo。log
　　末尾总结
　　我们已经成功地安装了rsyslog并将其配置为允许从客户端系统向rsyslog服务器发送日志文件。现在，您可以根据需要配置尽可能多的客户端系统，将日志发送到rsyslog服务器，以实现集中的日志管理结构。我的开源项目
　　开源在线教育解决方案coursetencentcloud（酷瓜云课堂gitee仓库）coursetencentcloud（酷瓜云课堂github仓库）