ELK 是elastic公司提供的一套完整的日志收集以及展示的解決方案，這是我在ELK學習和實踐過程寫下的筆記，整理成了一個ELK入門到實踐的系列文章，分享出來與大家共勉。本文為該系列文章的第一篇，通過rsyslog搭建集中日志服務器，收集linux和window系統日志。

---

我們通常可以通過rsyslog來實現系統日志的集中管理，這種情況下通常會有一個日志服務器，然后每臺服務器配置自己日志通過rsyslog來寫到遠程的日志服務器上，如下是rsyslog的配置過程：

0x01 rsyslog服務端配置

1、啟用UDP/TCP進行傳輸

vim /etc/rsyslog.conf# Provides UDP syslog reception #若啟用UDP進行傳輸，則取消下面兩行的注釋$ModLoad imudp$UDPServerRun 514# Provides TCP syslog reception #若啟用TCP進行傳輸，則取消下面兩行的注釋#$ModLoad imtcp#$InputTCPServerRun 514

2、為避免修改主配置文件，我們在/etc/rsyslog.d/中新建default.conf，追加如下模板：

####?GLOBAL?DIRECTIVES?##### Use default timestamp format # 使用自定義的日志格式$ActionFileDefaultTemplate RSYSLOG_TraditionalFileFormat$template myFormat,"%timestamp% %fromhost-ip% %syslogtag% %msg%\n"$ActionFileDefaultTemplate myFormat# 根據客戶端的IP單獨存放主機日志在不同目錄，rsyslog需要手動創建$template RemoteLogs,"/var/log/rsyslog/%fromhost-ip%/%fromhost-ip%_%$YEAR%-%$MONTH%-%$DAY%.log"# 排除本地主機IP日志記錄，只記錄遠程主機日志:fromhost-ip, !isequal, "127.0.0.1" ?RemoteLogs# 忽略之前所有的日志，遠程主機日志記錄完之后不再繼續往下記錄& ~

3、重啟rsyslog服務

systemctl restart rsyslog

0x02 rsyslog客戶務端配置

1、啟用UDP進行傳輸并設置遠程日志服務器

vim /etc/rsyslog.conf# Provides UDP syslog reception #若啟用UDP進行傳輸，則取消下面兩行的注釋$ModLoad imudp$UDPServerRun 514# Provides TCP syslog reception #若啟用TCP進行傳輸，則取消下面兩行的注釋#$ModLoad imtcp#$InputTCPServerRun 514*.* @192.168.91.18:514 #若啟用TCP傳輸則使用@@，若是UDP則使用@

2、重啟rsyslog服務

systemctl restart rsyslog

0x03 效果展示

通過使用自定義日志格式，將不同服務器IP的日志單獨分別存放在不同目錄。到這里，使用rsyslog服務端和linux系統日志收集已完成。

0x04 擴展部分：Rsyslog Windows Agent

一般情況下，我們會使用winlogbeat用于收集windows的系統事件日志，但其實rsyslog自身也提供了一個Rsyslog Windows代理，用來收集windows日志。

下載地址：https://www.rsyslog.com/windows-agent/windows-agent-download/

安裝過程：

1、雙擊rsyslogwa安裝包，開始進行安裝

2、一路Next安裝即可。PS：在這里可能需要等幾分鐘。

操作使用：

1、打開RSyslog Windows Agent Configuration，在Tools---> Stslog Test Message，配置Syslog ?Server服務器地址，點擊Send，進行測試。

在Rsyslog服務端，接收到一條測試日志，說明Rsyslog通訊正常。

Nov 1 13:23:18 192.168.165.193 RSyslog Windows Agent: This is a SyslogTest

2、依次展示RuleSets，進行Rsyslog轉發配置，并啟用服務。

在rsyslog服務端進行驗證，如嘗試遠程連接window服務器，可接收到多條服務器日志。

最后，我創建了一個付費社群，用于分享高質量安全干貨，有興趣的童鞋都可以加入!

總結

以上是生活随笔為你收集整理的日志服务器搭建及配置_[ELK入门到实践笔记] 一、通过rsyslog搭建集中日志服务器...的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。