4.1 检查是否安装了rsyslog软件
# rpm -qa|grep rsyslog //默认系统都安装了该软件
4.2 安装rsyslog 连接MySQL数据库的模块
# yum install rsyslog-mysql –y
rsyslog-mysql 为rsyslog 将日志传送到MySQL 数据库的一个模块,这里必须安装。
5.1 导入rsyslog-mysql 数据库文件
# cd /usr/share/doc/rsyslog-mysql-5.8.10/
# mysql -uroot -pabc123 < createDB.sql
5.2 创建rsyslog 用户在mysql下的相关权限
# mysql -uroot –p
mysql> grant all on Syslog.* to rsyslog@localhost identified by '123456';
mysql> flush privileges;
mysql> exit
5.3 配置服务端支持rsyslog-mysql 模块,并开启UDP服务端口获取网内其他LINUX系统日志
# vi /etc/rsyslog.conf
$ModLoad ommysql
*.* :ommysql:localhost,Syslog,rsyslog,123456
在 #### MODULES #### 下添加上面两行。
说明:localhost 表示本地主机,Syslog 为数据库名,rsyslog 为数据库的用户,123456为该用户密码。
5.4 开启相关日志模块
# vi /etc/rsyslog.conf
$ModLoad immark #immark是模块名,支持日志标记
$ModLoad imudp #imupd是模块名,支持udp协议
$UDPServerRun 514 #允许514端口接收使用UDP和TCP协议转发过来的日志
5.5 重启rsyslog 服务
# /etc/init.d/rsyslog restart
Systemctl restart rsyslog
=================================
window下的日志客户端(发送到rsyslog):evtsys
Evtsys -i -h 192.168.190.199 -l 3 客户端安装
Evtsys -u 客户端卸载
-h:指定syslog服务器
-L选项,发送指定级别以上的日志信息:
0=All/Verbose, 1=Critical, 2=Error, 3=Warning, 4=Info
Windows下手工生成日志信息(用于测试):
EventCreate /T ERROR /ID 1000 /L APPLICATION /D "error 错误信息"