系统日志监视原理!

最近，一直在做监视相关的作业，为了理清楚一些概念，做了如下尝试。

hinemos中系统日志这个监视项是如何实现的？

通过rsyslog的功能，将本地产生的系统日志，转送到HinemosM端的514端口，再由rsyslog将接受到的日志转发给HinemosM的24514端口

 

 借此顺便学习了一下rsyslog日志转送的相关知识。

如何配置，才能实现系统日志的正常监视。

 

1.监视对象节点

监视对象节点的配置很简单，/etc/rsyslog.conf文件做如下修改：

…………………
*.info;mail.none;authpriv.none;cron.none @@192.168.101.92:514

 

配置将本地messages的日志转发到监视服务器端（192.168.101.92），转发到哪个端口（514），使用udp还是tcp（@代表udp,@@代表tcp）。
如果监视对象节点上，安装了HinemosAgent，这句话不用加，安装HinemosAgent时，会自动在/etc/rsyslog.d/目录下加一个叫做rsyslog_hinemos_agent.conf

，该文件里，会包含上面的配置。

 

2.监视服务器端

按如下，配置/etc/rysylog.conf文件，但是一般监视服务器端安装完HinemosManager后，会自动在/etc/rsyslog.d/目录下生成rsyslog_hinemos_manager.conf，以下都会被配置在该文件里。

/**********UDP*********/

$ModLoad imudp.so
$UDPServerRun 514

 

/**********TCP*********/

$ModLoad imtcp  
$InputTCPServerRun 514

※以上二选一即可，根据以什么方式传递日志来决定

 

/*******************日志转发**************************/ 

*.info;mail.none;authpriv.none;cron.none        @127.0.0.1:24514

※将这些日志转发给本机的24514端口

 

/********************************************日志存储规则*********************************************************/
:fromhost-ip, !isequal, "127.0.0.1" ~

※不是本机的日志统统丢弃