知

配置CentOS7.x服务器临时作为日志服务器接收syslog

2025-03-08 发表

0关注
0收藏 684浏览

薛佳宇

薛佳宇七段

粉丝：42人关注：1人

组网及说明

用户暂时没有专业的日志服务器，因故障处理需要临时搭建一个环境接收交换机日志。服务器环境：

[root@localhost ~]# cat /etc/redhat-release

CentOS Linux release 7.7.1908 (Core)

配置步骤

1、CentOS7默认的默认的系统日志服务为 rsyslog（替代旧的 syslogd），检查是否已安装rsyslog：

[root@localhost ~]# rpm -q rsyslog

rsyslog-8.24.0-38.el7.x86_64

如果没有安装，可以执行：

yum install rsyslog -y

systemctl start rsyslog # 启动服务

systemctl enable rsyslog # 开机自启

systemctl status rsyslog # 验证状态

2、修改rsyslog配置文件,编辑/etc/rsyslog.conf 启用UDP监听，并在末尾添加规则，按交换机IP分日志文件：

# 取消注释以下行以启用 UDP 514

$ModLoad imudp

$UDPServerRun 514

末尾添加以下三行(目录可按需调整)：

$template RemoteLogs,"/root/log/remote/%FROMHOST-IP%/syslog.log"

*.* ?RemoteLogs

& ~

#解释：

$template RemoteLogs,"...": 定义一个模板 RemoteLogs，指定日志存储路径和命名规则。

%FROMHOST-IP%: 变量表示发送日志的客户端 IP 地址，会根据此变量动态创建子目录。

例如，交换机 IP 为 192.168.x.x，日志会存储在 /root/log/remote/192.168.x.x/syslog.log。

*.* ?RemoteLogs: 所有日志（*.*）都通过模板 RemoteLogs 存储。

& ~: 表示匹配该规则的日志不再传递给后续其他配置（避免重复记录）。

3、创建日志目录并重启服务(目录和2中rsyslog.conf末尾添加的保持一致)：

[root@localhost ~]# mkdir -p /root/log/remote

[root@localhost ~]# systemctl restart rsyslog

4、防火墙放行syslog端口：

[root@localhost ~]# firewall-cmd --permanent --add-port=514/udp

success

[root@localhost ~]# firewall-cmd --reload

success

[root@localhost ~]# firewall-cmd --list-all

public (active)

target: default

icmp-block-inversion: no

interfaces: eth0

sources:

services: dhcpv6-client ssh

ports: 3389/tcp 514/udp 3306/tcp 63443/tcp 1-65535/udp

protocols:

masquerade: no

forward-ports:

source-ports:

icmp-blocks:

rich rules:

[root@localhost ~]#

5、检查端口监听：

[root@localhost ~]# netstat -anup | grep 514

udp 0 0 0.0.0.0:514 0.0.0.0:* 5356/rsyslogd

udp6 0 0 :::514 :::* 5356/rsyslogd

6、交换机配置示例，ip地址替换为服务器接收日志的网卡地址：

info-center loghost 10.88.xx.xx

7、在交换机执行任意查看命令触发日志，随后在服务器查看日志接收情况：

[root@localhost ~]#

#进入存放日志的目录，可以看到已经生成了交换机ip地址10.88.xx.xx的文件夹，再进入就可以看到日志文件syslog.log

[root@localhost ~]# cd /root/log/remote/

[root@localhost remote]# ll

总用量 0

drwx------. 2 root root 24 3月 8 17:04 10.88.xx.xx

[root@localhost remote]# cd 10.88.xx.xx/

[root@localhost 10.88.xx.xx]# ll

总用量 256

-rw-------. 1 root root 259620 3月 8 20:16 syslog.log

[root@localhost 10.88.xx.xx]#

[root@localhost 10.88.xx.xx]# tail -f syslog.log

Mar 8 20:13:15 2025 HZB7-R5-xxxxxX %%10SHELL/5/SHELL_LOGIN: xxxx logged in from 10.10.xx.xx.

至此，已经可以在服务器上查看到交换机上送的syslog信息。

配置关键点

1、需要配置服务器防火墙放行udp 514端口，配置完后需要执行firewall-cmd --reload 否则不生效；

2、创建存放日志的目录要与rsyslog.conf末尾添加的目录保持一致；

该案例对您是否有帮助：

您的评价：1

若您有关于案例的建议，请反馈：

作者在2025-03-19对此案例进行了修订

0 个评论

该案例暂时没有网友评论

编辑评论

侵犯我的权益 >

对根叔知了社区有害的内容 >

辱骂、歧视、挑衅等（不友善）

侵犯我的权益

泄露了我的隐私 >

侵犯了我企业的权益 >

抄袭了我的内容 >

诽谤我 >

辱骂、歧视、挑衅等（不友善）

骚扰我

泄露了我的隐私

您好，当您发现根叔知了上有泄漏您隐私的内容时，您可以向根叔知了进行举报。请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱，我们会尽快处理。

1. 您认为哪些内容泄露了您的隐私？（请在邮件中列出您举报的内容、链接地址，并给出简短的说明）
2. 您是谁？（身份证明材料，可以是身份证或护照等证件）

侵犯了我企业的权益

您好，当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时，您可以向根叔知了进行举报。请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱，我们会在审核后尽快给您答复。

1. 您举报的内容是什么？（请在邮件中列出您举报的内容和链接地址）
2. 您是谁？（身份证明材料，可以是身份证或护照等证件）
3. 是哪家企业？（营业执照，单位登记证明等证件）
4. 您与该企业的关系是？（您是企业法人或被授权人，需提供企业委托授权书）

我们认为知名企业应该坦然接受公众讨论，对于答案中不准确的部分，我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

原文链接或出处

诽谤我

您好，当您发现根叔知了上有诽谤您的内容时，您可以向根叔知了进行举报。请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱，我们会尽快处理。

1. 您举报的内容以及侵犯了您什么权益？（请在邮件中列出您举报的内容、链接地址，并给出简短的说明）
2. 您是谁？（身份证明材料，可以是身份证或护照等证件）

我们认为知名企业应该坦然接受公众讨论，对于答案中不准确的部分，我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔知了社区有害的内容

垃圾广告信息

色情、暴力、血腥等违反法律法规的内容

政治敏感

不规范转载 >

辱骂、歧视、挑衅等（不友善）

骚扰我

诱导投票

不规范转载

举报说明

✖

案例意见反馈

➤

网站相关: 关于我们; 服务条款; 隐私政策; 帮助中心; 经验与权限; 积分规则

联系我们: 联系我们; 建议反馈

常用链接: 标杆的神器下载

关注我们: H3C官网; 新华三服务公众号; 安仔远程运维服务; 新华三商城

内容许可: 除特别说明外，用户内容均可采用知识共享署名-相同方式共享3.0中国大陆许可协议进行许可

本图标版权归新华三集团所有，仅限本社区使用，切勿用做商业目的，违者必究

浙ICP备09064986号-1 浙公网安备 33010802004416号

✖

亲~登录后才可以操作哦!

确定

✖

亲~检测到您登陆的账号未在http://hclhub.h3c.com进行注册

注册后可访问此模块

跳转hclhub

✖

你的邮箱还未认证，请认证邮箱或绑定手机后进行当前操作

✖

产品线		搜索取消
案例类型
发布者
是否解决
是否官方
时间
搜索引擎
匹配模式	默认策略匹配全词匹配整句

配置CentOS7.x服务器临时作为日志服务器接收syslog

组网及说明

配置步骤

配置关键点

编辑评论

提出建议