1. 基础环境信息确认
uname -a:查看内核与架构。cat /etc/os-release:查看发行版(例如 CentOS Linux 7)。getenforce:检查 SELinux 状态(如 Disabled、Permissive、Enforcing)。
2. 发送端(源服务器)配置步骤
- 安装与启用服务
sudo systemctl enable --now rsyslog sudo systemctl status rsyslog - 追加远程转发规则
新建/etc/rsyslog.d/remote.conf,写入:*.* @@ip地址:514@@表示使用 TCP;若使用 UDP,改为单个@。 - 重启服务使配置生效
sudo systemctl restart rsyslog journalctl -u rsyslog -f # 实时查看服务日志
3. 安全策略检查
- SELinux
如果 SELinux 启用且getsebool -a | grep rsyslogrsyslog_forward为 off,可执行
setsebool -P rsyslog_forward on。若输出SELinux is disabled,可忽略。 - 防火墙
撤销规则:firewall-cmd --permanent --add-port=514/tcp firewall-cmd --permanent --add-port=514/udp # 若需要 firewall-cmd --reloadfirewall-cmd --permanent --remove-port=514/tcp,再firewall-cmd --reload。 - 网络连通性测试
telnet 10.161.200.8 514 # 检查 TCP 连通 nc -vz 10.161.200.8 514 # 或者使用 nc
4. 本地日志验证
- 生产测试日志:
logger "rsyslog remote test" - 本地查看:
tail -f /var/log/messages(确认日志已写入本机) - 抓取 rsyslog 日志:
journalctl -u rsyslog -f
5. 排障要点
- 确认转发规则使用的协议与目标监听一致。
- 检查
rsyslog日志是否存在发送失败、队列堆积提示。 - 使用
tcpdump -nn port 514在目标机抓包确认是否收到数据。 - 若目标机未收到,排查防火墙、路由、DNS、SELinux、rsyslog 规则中
stop/discard。
6. 目标服务器(接收端)配置示例
- 启用接收模块
在/etc/rsyslog.conf或/etc/rsyslog.d/中加入:module(load="imtcp") input(type="imtcp" port="514") # 若需 UDP: # module(load="imudp") # input(type="imudp" port="514") - 设置日志写入路径
创建目录并赋权:$template RemoteLogs,"/var/log/remote/%HOSTNAME%/%PROGRAMNAME%.log" *.* ?RemoteLogssudo mkdir -p /var/log/remote && sudo chmod 755 /var/log/remote - 重启并验证
sudo systemctl restart rsyslog sudo systemctl status rsyslog sudo ss -tnlu | grep 514 # 确认端口监听 - 实时查看接收日志
tail -f /var/log/remote/remote.log # 依模板实际路径查看 journalctl -u rsyslog -f # 查看目标机 rsyslog 日志 tcpdump -nn port 514 # 抓包验证
7. 其他建议
- 若需 TLS/加密,可启用
gtls模块并配置证书。 - 建议在测试成功后,将相关配置固化到版本库或自动化脚本中,便于快速部署。