一、 下载安装
通过https://www.rsyslog.com/windows-agent/windows-agent-download/下载客户端后,按照默认安装完成后即进行配置。
二、 服务器测试
点击Tools>Syslog Test Message,填写Syslog Server 服务器地址,Syslog Port端口(一般默认为UDP协议),然后点击Send往日志服务器发送一条验证消息,如果服务器能收到表示通信正常可以收发日志。
三、 客户端配置
3.1 转发服务设置
进入Rule>Default RuleSet>ForwardRsyslog>Actions>Rsyslog。其中Syslog Target Options 中配置好日志服务器地址
Syslog Message Options 中配置好日志格式和编码
3.2 系统日志类型选择
进入Services>Event Log Monitor V2 >Event Channel选择需要发送到日志服务器的事件日志类型。一般登录信息之类的包含在Security中。
3.3 日志过滤
默认的日志包含了较多我们不需要的信息,会导致日志服务器的日志记录增长非常快,也干扰日志查找。通过Rule>Default RuleSet>ForwardRsyslog>Filters可以很好的进行过滤。
这一部分需要自行进行测试,一般通过message进行关键字过滤就可以达到很好的效果。完成这一步骤基本就完成全部配置了。
四、 日志服务器配置
这是我自己日志服务器的配置
[root@zht-app003 etc]# sed 's/^#.*//;/^$/d' rsyslog.conf $ModLoad imuxsock # provides support for local system logging (e.g. via logger command) $ModLoad imjournal # provides access to the systemd journal $ModLoad imudp $UDPServerRun 514 $template myFormat,"%timestamp% %fromhost-ip% %syslogtag% %msg% " $ActionFileDefaultTemplate myFormat $WorkDirectory /var/lib/rsyslog $template RemoteLogs,"/rsyslog/%fromhost-ip%/%fromhost-ip%_%$YEAR%-%$MONTH%-%$DAY%/%PROGRAMNAME%.log" :fromhost-ip, !isequal, "127.0.0.1" *.* ?RemoteLogs & ~ $IncludeConfig /etc/rsyslog.d/*.conf $OmitLocalLogging on $IMJournalStateFile imjournal.state *.info;mail.none;authpriv.none;cron.none /var/log/messages authpriv.* /var/log/secure mail.* -/var/log/maillog cron.* /var/log/cron *.emerg :omusrmsg:* uucp,news.crit /var/log/spooler local7.* /var/log/boot.log *.* @172.19.100.214:514 kern.warning;*.err;*.info;kern.debug;daemon.notice;mail.none;authpriv.none;cron.none /var/log/kern.log
基本翻译
n. 根;根源;词根;祖先
vi. 生根;根除
vt. 生根,固定;根源在于
n. (Root)人名;(英)鲁特;(德、瑞典)罗特