## 18.2 rsyslog.service ：記錄登錄文件的服務 上一小節提到說 Linux 的登錄文件主要是由 rsyslog.service 在負責，那么你的 Linux 是否有啟動 rsyslog 呢？而且是否有設置開機時啟動呢？呵呵！檢查一下先： ``` [root@study ~]# ps aux | grep rsyslog USER PID %CPU %MEM VSZ RSS TTY STAT START TIME COMMAND root 750 0.0 0.1 208012 4732 ? Ssl Aug17 0:00 /usr/sbin/rsyslogd -n # 瞧！確實有啟動的！daemon 可執行文件名為 rsyslogd 喔！ [root@study ~]# systemctl status rsyslog.service rsyslog.service - System Logging Service Loaded: loaded （/usr/lib/systemd/system/rsyslog.service; enabled） Active: active （running） since Mon 2015-08-17 18:37:58 CST; 2 days ago Main PID: 750 （rsyslogd） CGroup: /system.slice/rsyslog.service └─750 /usr/sbin/rsyslogd -n # 也有啟動這個服務，也有默認開機時也要啟動這個服務！OK！正常沒問題！！ ``` 看到 rsyslog.service 這個服務名稱了吧？所以知道他已經在系統中工作啰！好了，既然本章主要是講登錄文件的服務， 那么 rsyslog.service 的配置文件在哪里？如何設置？如果你的 Linux 主機想要當作整個區網的登錄文件服務器時，又該如何設置？ 下面就讓我們來玩玩這玩意！ ### 18.2.1 rsyslog.service 的配置文件：/etc/rsyslog.conf 什么？登錄文件還有配置文件？喔！不是啦～是 rsyslogd 這個 daemon 的配置文件啦！ 我們現在知道 rsyslogd 可以負責主機產生的各個信息的登錄，而這些信息本身是有“嚴重等級”之分的， 而且，這些數據最終要傳送到哪個文件去是可以修改的呢，所以我們才會在一開頭的地方講說， 每個 Linux distributions 放置的登錄文件文件名可能會有所差異啊！ 基本上， rsyslogd 針對各種服務與訊息記錄在某些文件的配置文件就是 /etc/rsyslog.conf， 這個文件規定了“（1）什么服務 （2）的什么等級訊息 （3）需要被記錄在哪里（設備或文件）” 這三個咚咚，所以設置的語法會是這樣： ``` 服務名稱[.=!]訊息等級 訊息記錄的文件名或設備或主機 # 下面以 mail 這個服務產生的 info 等級為例： mail.info /var/log/maillog_info # 這一行說明：mail 服務產生的大于等于 info 等級的訊息，都記錄到 # /var/log/maillog_info 文件中的意思。 ``` 我們將上面的數據簡單的分為三部分來說明： * 服務名稱 rsyslogd 主要還是通過 Linux 核心提供的 syslog 相關規范來設置數據的分類的，Linux 的 syslog 本身有規范一些服務訊息， 你可以通過這些服務來儲存系統的訊息。Linux 核心的 syslog 認識的服務類型主要有下面這些： （可使用 man 3 syslog 查詢到相關的信息，或查詢 syslog.h 這個文件來了解的！） | 相對序號 | 服務類別 | 說明 | | --- | --- | | 0 | kern（kernel） | 就是核心 （kernel） 產生的訊息，大部分都是硬件偵測以及核心功能的啟用 | | 1 | user | 在使用者層級所產生的信息，例如后續會介紹到的用戶使用 logger 指令來記錄登錄文件的功能 | | 2 | mail | 只要與郵件收發有關的訊息記錄都屬于這個； | | 3 | daemon | 主要是系統的服務所產生的信息，例如 systemd 就是這個有關的訊息！ | | 4 | auth | 主要與認證/授權有關的機制，例如 login, ssh, su 等需要帳號/密碼的咚咚； | | 5 | syslog | 就是由 syslog 相關協定產生的信息，其實就是 rsyslogd 這支程序本身產生的信息啊！ | | 6 | lpr | 亦即是打印相關的訊息啊！ | | 7 | news | 與新聞群組服務器有關的東西； | | 8 | uucp | 全名為 Unix to Unix Copy Protocol，早期用于 unix 系統間的程序數據交換； | | 9 | cron | 就是例行性工作調度 cron/at 等產生訊息記錄的地方； | | 10 | authpriv | 與 auth 類似，但記錄較多帳號私人的信息，包括 pam 模塊的運行等！ | | 11 | ftp | 與 FTP 通訊協定有關的訊息輸出！ | | 16~23 | local0 ~ local7 | 保留給本機用戶使用的一些登錄文件訊息，較常與終端機互動。 | 上面談到的都是 Linux 核心的 syslog 函數自行制訂的服務名稱，軟件開發商可以通過調用上述的服務名稱來記錄他們的軟件。 舉例來說， sendmail 與 postfix 及 dovecot 都是與郵件有關的軟件，這些軟件在設計登錄文件記錄時，都會主動調用 syslog 內的 mail 服務名稱 （LOG_MAIL）。所以上述三個軟件 （sendmail, postfix, dovecot） 產生的訊息在 syslog 看起來，就會“是 mail ”類型的服務了。我們可以將這個概念繪制如下面的圖示來理解： 圖18.2.1、syslog 所制訂的服務名稱與軟件調用的方式 另外，每種服務所產生的數據量其實差異是很大的，舉例來說， mail 的登錄文件訊息多的要命， 每一封信件進入后， mail 至少需要記錄“寄信人的信息；與收信者的訊息”等等； 而如果是用來做為工作站主機的，那么登陸者 （利用 login 登錄主機處理事情） 的數量一定不少，那個 authpriv 所管轄的內容可就多的要命了。 為了讓不同的信息放置到不同的文件當中，好讓我們分門別類的進行登錄文件的管理， 所以啰，將各種類別的服務之登錄文件，記錄在不同的文件里面，就是我們 /etc/rsyslog.conf 所要作的規范了！ * 訊息等級 同一個服務所產生的訊息也是有差別的，有啟動時僅通知系統而已的一般訊息 （information）， 有出現還不至于影響到正常運行的警告訊息 （warn） ，還有系統硬件發生嚴重錯誤時，所產生的重大問題訊息 （error 等等）； 訊息到底有多少種嚴重的等級呢？基本上，Linux 核心的 syslog 將訊息分為七個主要的等級，根據 syslog.h 的定義，訊息名稱與數值的對應如下： | 等級數值 | 等級名稱 | 說明 | | --- | --- | | 7 | debug | 用來 debug （除錯） 時產生的訊息數據； | | 6 | info | 僅是一些基本的訊息說明而已； | | 5 | notice | 雖然是正常信息，但比 info 還需要被注意到的一些信息內容； | | 4 | warning（warn） | 警示的訊息，可能有問題，但是還不至于影響到某個 daemon 運行的信息；基本上， info, notice, warn 這三個訊息都是在告知一些基本信息而已，應該還不至于造成一些系統運行困擾； | | 3 | err（error） | 一些重大的錯誤訊息，例如配置文件的某些設置值造成該服務服法啟動的信息說明， 通常借由 err 的錯誤告知，應該可以了解到該服務無法啟動的問題呢！ | | 2 | crit | 比 error 還要嚴重的錯誤信息，這個 crit 是臨界點 （critical） 的縮寫，這個錯誤已經很嚴重了喔！ | | 1 | alert | 警告警告，已經很有問題的等級，比 crit 還要嚴重！ | | 0 | emerg（panic） | 疼痛等級，意指系統已經幾乎要死機的狀態！ 很嚴重的錯誤信息了。通常大概只有硬件出問題，導致整個核心無法順利運行，就會出現這樣的等級的訊息吧！ | 基本上，在 0（emerg） 到 6（info） 的等級之間，等級數值越高代表越沒事，等級靠近 0 則代表事情大條了！除了 0 到 6 之外還有兩個比較特殊的等級， 那就是 debug（錯誤偵測等級） 與 none （不需登錄等級） 兩個，當我們想要作一些錯誤偵測，或者是忽略掉某些服務的信息時， 就用這兩個咚咚吧！ 特別留意一下在訊息等級之前還有 [.=!] 的鏈接符號喔！他代表的意思是這樣的： * . ：代表“比后面還要嚴重的等級 （含該等級） 都被記錄下來”的意思，例如： mail.info 代表只要是 mail 的信息，而且該信息等級嚴重于 info （含 info 本身）時，就會被記錄下來的意思。 * .=：代表所需要的等級就是后面接的等級而已， 其他的不要！ * .!：代表不等于， 亦即是除了該等級外的其他等級都記錄。 一般來說，我們比較常使用的是“.”這個鏈接符號啦！^_^ * 訊息記錄的文件名或設備或主機 再來則是這個訊息要放置在哪里的設置了。通常我們使用的都是記錄的文件啦！但是也可以輸出到設備呦！ 例如打印機之類的！也可以記錄到不同的主機上頭去呢！下面就是一些常見的放置處： * 文件的絕對路徑：通常就是放在 /var/log 里頭的文件啦！ * 打印機或其他：例如 /dev/lp0 這個打印機設備 * 使用者名稱：顯示給使用者啰！ * 遠端主機：例如 @study.vbird.tsai 當然啦，要對方主機也能支持才行！ * *：代表“目前在線上的所有人”，類似 [wall](../Text/index.html#uselinux_talk) 這個指令的意義！ * 服務、daemon 與函數名稱 看完上面的說明，相信你一定會越來越迷煳！啊！怎么會有 syslog, rsyslogd, rsyslog.service！見鬼～名稱都不相同！那是啥東西？ 基本上，這幾個東西你應該要這樣看： | | | | --- | --- | | syslog | 這個是 Linux 核心所提供的登錄文件設計指引，所有的要求大概都寫入道一個名為 syslog.h 的頭文件案中。如果你想要開發與登錄文件有關的軟件， 那你就得要依循這個 syslog 函數的要求去設計才行！可以使用 man 3 syslog 去查詢一下相關的數據！ | | rsyslogd | 為了要達成實際上進行訊息的分類所開發的一套軟件，所以，這就是最基本的 daemon 程序！ | | rsyslog.service | 為了加入 systemd 的控制，因此 rsyslogd 的開發者設計的啟動服務腳本設置！ | 這樣簡單的分類，應該比較容易了解名稱上面的意義了吧？早期 CentOS 5.x 以前，要達成 syslog 的功能是由一只名為 syslogd 的 daemon 來完成的， 從 CentOS 6 以來 （包含 CentOS 7） 則是通過 rsyslogd 這個 daemon 啰！ * rsyslog.conf 語法練習 基本上，整個 rsyslog.conf 配置文件的內容參數大概就只是這樣而已，下面我們來思考一些例題，好讓你可以更清楚的知道如何設置 rsyslogd 啊！ 例題：如果我要將我的 mail 相關的數據給他寫入 /var/log/maillog 當中，那么在 /etc/rsyslog.conf 的語法如何設計？答：基本的寫法是這樣的： > mail.info　　　/var/log/maillog 注意到上面喔，當我們的等級使用 info 時，那么“任何嚴重于 info 等級（含 info 這個等級）之上的訊息， 都會被寫入到后面接的文件之中！”這樣可以了解嗎？也就是說，我們可以將所有 mail 的登錄信息都記錄在 /var/log/maillog 里面的意思啦！ 例題：我要將新聞群組數據 （news） 及例行性工作調度 （cron） 的訊息都寫入到一個稱為 /var/log/cronnews 的文件中，但是這兩個程序的警告訊息則額外的記錄在 /var/log/cronnews.warn 中， 那該如何設置我的 rsyslog.conf 呢？答：很簡單啦！既然是兩個程序，那么只好以分號來隔開了，此外，由于第二個指定文件中，我只要記錄警告訊息， 因此設置上需要指定“.=”這個符號，所以語法成為了： > news.*;cron.*　　　　　/var/log/cronnews > news.=warn;cron.=warn　/var/log/cronnews.warn 上面那個“.=”就是在指定等級的意思啦！由于指定了等級，因此，只有這個等級的訊息才會被記錄在這個文件里面呢！ 此外你也必須要注意，news 與 cron 的警告訊息也會寫入 /var/log/cronnews 內喔！ 例題：我的 messages 這個文件需要記錄所有的信息，但是就是不想要記錄 cron, mail 及 news 的信息，那么應該怎么寫才好？答：可以有兩種寫法，分別是： > *.*;news,cron,mail.none　　　　　　/var/log/messages > *.*;news.none;cron.none;mail.none　/var/log/messages 使用“,”分隔時，那么等級只要接在最后一個即可，如果是以“;”來分的話， 那么就需要將服務與等級都寫上去啰！這樣會設置了吧！ * CentOS 7.x 默認的 rsyslog.conf 內容 了解語法之后，我們來看一看 rsyslogd 有哪些系統服務已經在記錄了呢？就是瞧一瞧 /etc/rsyslog.conf 這個文件的默認內容啰！ （注意！如果需要將該行做為注解時，那么就加上 # 符號就可以啦） ``` # 來自 CentOS 7.x 的相關數據 [root@study ~]# vim /etc/rsyslog.conf 1 #kern.* /dev/console 2 *.info;mail.none;authpriv.none;cron.none /var/log/messages 3 authpriv.* /var/log/secure 4 mail.* -/var/log/maillog 5 cron.* /var/log/cron 6 *.emerg :omusrmsg:* 7 uucp,news.crit /var/log/spooler 8 local7.* /var/log/boot.log ``` 上面總共僅有 8 行設置值，每一行的意義是這樣的： 1. \#kern.\*：只要是核心產生的訊息，全部都送到 console（終端機） 去。console 通常是由外部設備連接到系統而來， 舉例來說，很多封閉型主機 （沒有鍵盤、屏幕的系統） 可以通過連接 RS232 連接口將訊息傳輸到外部的系統中， 例如以筆記本電腦連接到封閉主機的 RS232 插口。這個項目通常應該是用在系統出現嚴重問題而無法使用默認的屏幕觀察系統時， 可以通過這個項目來連接取得核心的訊息。[[1]](#ps1) 2. \*.info;mail.none;authpriv.none;cron.none：由于 mail, authpriv, cron 等類別產生的訊息較多， 且已經寫入下面的數個文件中，因此在 /var/log/messages 里面就不記錄這些項目。除此之外的其他訊息都寫入 /var/log/messages 中。這也是為啥我們說這個 messages 文件很重要的緣故！ 3. authpriv.\*：認證方面的訊息均寫入 /var/log/secure 文件； 4. mail.\*：郵件方面的訊息則均寫入 /var/log/maillog 文件； 5. cron.\*：例行性工作調度均寫入 /var/log/cron 文件； 6. \*.emerg：當產生最嚴重的錯誤等級時，將該等級的訊息以 wall 的方式廣播給所有在系統登陸的帳號得知， 要這么做的原因是希望在線的使用者能夠趕緊通知系統管理員來處理這么可怕的錯誤問題。 7. uucp,news.crit：uucp 是早期 Unix-like 系統進行數據傳遞的通訊協定，后來常用在新聞群組的用途中。 news 則是新聞群組。當新聞群組方面的信息有嚴重錯誤時就寫入 /var/log/spooler 文件中； 8. local7.\*：將本機開機時應該顯示到屏幕的訊息寫入到 /var/log/boot.log 文件中； 在上面的第四行關于 mail 的記錄中，在記錄的文件 /var/log/maillog 前面還有個減號“ - ”是干嘛用的？由于郵件所產生的訊息比較多，因此我們希望郵件產生的訊息先儲存在速度較快的內存中 （buffer） ，等到數據量夠大了才一次性的將所有數據都填入磁盤內，這樣將有助于登錄文件的存取性能。 只不過由于訊息是暫存在內存內，因此若不正常關機導致登錄信息未回填到登錄文件中，可能會造成部分數據的遺失。 此外，每個 Linux distributions 的 rsyslog.conf 設置差異是頗大的，如果你想要找到相對應的登錄信息時， 可得要查閱一下 /etc/rsyslog.conf 這個文件才行！否則可能會發生分析到錯誤的信息喔！舉例來說， [鳥哥有自己寫一支分析登錄文件的 script](../Text/index.html#analyze_vbird)，這個 script 是依據 Red Hat 系統默認的登錄文件所寫的，因此不同的 distributions 想要使用這支程序時，就得要自行設計與修改一下 /etc/rsyslog.conf 才行喔！否則就可能會分析到錯誤的信息啰。 那么如果你有自己的需要而得要修訂登錄文件時，該如何進行？ * 自行增加登錄文件文件功能 如果你有其他的需求，所以需要特殊的文件來幫你記錄時，呵呵！別客氣，千萬給他記錄在 /etc/rsyslog.conf 當中，如此一來，你就可以重復的將許多的信息記錄在不同的文件當中，以方便你的管理呢！ 讓我們來作個練習題吧！如果你想要讓“所有的信息”都額外寫入到 /var/log/admin.log 這個文件時， 你可以怎么作呢？先自己想一想，并且作一下，再來看看下面的作法啦！ ``` # 1\. 先設置好所要創建的文件設置！ [root@study ~]# vim /etc/rsyslog.conf # Add by VBird 2015/08/19 <==再次強調，自己修改的時候加入一些說明 *.info /var/log/admin.log <==有用的是這行啦！ # 2\. 重新啟動 rsyslogd 呢！ [root@study ~]# systemctl restart rsyslog.service [root@study ~]# ll /var/log/admin.log -rw-r--r--. 1 root root 325 Aug 20 00:54 /var/log/admin.log # 瞧吧！創建了這個登錄文件出現啰！ ``` 很簡單吧！如此一來，所有的信息都會寫入 /var/log/admin.log 里面了！ ### 18.2.2 登錄文件的安全性設置 好了，由上一個小節里面我們知道了 rsyslog.conf 的設置，也知道了登錄文件內容的重要性了， 所以，如果幻想你是一個很厲害的駭客，想利用他人的計算機干壞事，然后又不想留下證據， 你會怎么作？對啦！就是離開的時候將屁股擦干凈，將所有可能的訊息都給他抹煞掉， 所以第一個動腦筋的地方就是登錄文件的清除工作啦～ 如果你的登錄文件不見了，那該怎辦？  **Tips** 哇！鳥哥教人家干壞事……喂！不要亂講話～俺的意思是，如果改天你發現你的登錄文件不翼而飛了， 或者是發現你的登錄文件似乎不太對勁的時候，最常發現的就是網友常常會回報說，他的 /var/log 這個目錄“不見了！”不要笑！這是真的事情！請記得，“趕快清查你的系統！” 傷腦筋呢！有沒有辦法防止登錄文件被刪除？或者是被 root 自己不小心變更呢？有呀！拔掉網絡線或電源線就好了……呵呵！ 別擔心，基本上，我們可以通過一個隱藏的屬性來設置你的登錄文件，成為“ 只可以增加數據，但是不能被刪除 ”的狀態，那么或許可以達到些許的保護！不過，如果你的 root 帳號被破解了，那么下面的設置還是無法保護的，因為你要記得“ root 是可以在系統上面進行任何事情的 ”，因此，請將你的 root 這個帳號的密碼設置的安全一些！千萬不要輕忽這個問題呢！  **Tips** 為什么登錄文件還要防止被自己 （root） 不小心所修改過呢？ 鳥哥在教 Linux 的課程時，我的學生常常會舉手說：“老師，我的登錄文件不能記錄信息了！糟糕！是不是被入侵了啊？” 怪怪！明明是計算機教室的主機，使用的是 Private IP 而且學校計中還有抵擋機制，不可能被攻擊吧？ 查詢了才知道原來同學很喜歡使用“ :wq ”來離開 vim 的環境，但是 rsyslogd 的登錄文件只要“被編輯過”就無法繼續記錄！ 所以才會導致不能記錄的問題。此時你得要 （1）改變使用 vim 的習慣； （2）重新啟動 rsyslog.service 讓他再繼續提供服務才行喔！ 既然如此，那么我們就來處理一下隱藏屬性的東東吧！我們在[第六章](../Text/index.html)談到過 [lsattr](../Text/index.html#lsattr) 與 [chattr](../Text/index.html#chattr) 這兩個東西啦！如果將一個文件以 chattr 設置 i 這個屬性時，那么該文件連 root 都不能殺掉！而且也不能新增數據，嗯！真安全！但是，如此一來登錄文件的功能豈不是也就消失了？ 因為沒有辦法寫入呀！所以啰，我們要使用的是 a 這個屬性！你的登錄文件如果設置了這個屬性的話，那么 他將只能被增加，而不能被刪除！嗯！ 這個項目就非常的符合我們登錄文件的需求啦！因此，你可以這樣的增加你的登錄文件的隱藏屬性。  **Tips** 請注意，下面的這個 chattr 的設置狀態：“僅適合已經對 Linux 系統很有概念的朋友”來設置， 對于新手來說，建議你直接使用系統的默認值就好了，免得到最后登錄文件無法寫入～ 那就比較糗一點！ @_@ ``` [root@study ~]# chattr +a /var/log/admin.log [root@study ~]# lsattr /var/log/admin.log -----a---------- /var/log/admin.log ``` 加入了這個屬性之后，你的 /var/log/admin.log 登錄文件從此就僅能被增加，而不能被刪除，直到 root 以“ chattr -a /var/log/admin.log ”取消這個 a 的參數之后，才能被刪除或移動喔！ 雖然，為了你登錄文件的信息安全，這個 chattr 的 +a 旗標可以幫助你維護好這個文件， 不過，如果你的系統已經被取得 root 的權限，而既然 root 可以下達 chattr -a 來取消這個旗標， 所以啰，還是有風險的啦！此外，前面也稍微提到，新手最好還是先不要增加這個旗標， 很容易由于自己的忘記，導致系統的重要訊息無法記錄呢。 基本上，鳥哥認為，這個旗標最大的用處除了在保護你登錄文件的數據外， 他還可以幫助你避免掉不小心寫入登錄文件的狀況喔。要注意的是，當“ 你不小心 "手動" 更動過登錄文件后，例如那個 /var/log/messages ， 你不小心用 vi 打開他，離開卻下達 :wq 的參數，呵呵！那么該文件未來將不會再繼續進行登錄動作！ ”這個問題真的很常發生！由于你以 vi 儲存了登錄文件，則 rsyslogd 會誤判為該文件已被更動過， 將導致 rsyslogd 不再寫入該文件新的內容～很傷腦筋的！ 要讓該登錄文件可以繼續寫入，你只要重新啟動 rsyslogd.service 即可。 不過，總是比較麻煩。所以啊，如果你針對登錄文件下達 chattr +a 的參數，嘿嘿！ 未來你就不需要害怕不小心更動到該文件了！因為無法寫入嘛！除了可以新增之外～ ^_^ 不過，也因為這個 +a 的屬性讓該文件無法被刪除與修改，所以啰，當我們進行登錄文件輪替時 （logrotate） ，將會無法移動該登錄文件的文件名呢！所以會造成很大的困擾。這個困擾雖然可以使用 logrotate 的配置文件來解決，但是，還是先將登錄文件的 +a 旗標拿掉吧！ ``` [root@study ~]# chattr -a /var/log/admin.log ``` ### 18.2.3 登錄文件服務器的設置 我們在之前稍微提到的，在 rsyslog.conf 文件當中，可以將登錄數據傳送到打印機或者是遠端主機上面去。這樣做有什么意義呢？ 如果你將登錄信息直接傳送到打印機上面的話，那么萬一不小心你的系統被 cracker 所入侵， 他也將你的 /var/log/ 砍掉了，怎么辦？沒關系啊！反正你已經將重要數據直接以打印機記錄起來了， 嘿嘿！他是無法逃開的啦！^_^ 再想像一個環境，你的辦公室內有十部 Linux 主機，每一部負責一個網絡服務， 你為了要了解每部主機的狀態，因此，你常常需要登陸這十部主機去查閱你的登錄文件～ 哇！光用想的，每天要進入十部主機去查數據，想到就煩～沒關系～這個時候我們可以讓某一部主機當成 “登錄文件服務器”，用他來記錄所有的十部 linux 主機的信息，嘿嘿！這樣我就直接進入一部主機就可以了！ 省時又省事，真方便～ 那要怎么達到這樣的功能呢？很簡單啦，我們 CentOS 7.x 默認的 rsyslogd 本身就已經具有這個登錄文件服務器的功能了， 只是默認并沒有啟動該功能而已。你可以通過 man rsyslogd 去查詢一下相關的選項就能夠知道啦！ 既然是登錄文件服務器，那么我們的 Linux 主機當然會啟動一個端口來監聽了，那個默認的端口就是 UDP 或 TCP 的 port 514 喔！ 圖18.2.2、登錄文件服務器的架構 如上圖所示，服務器會啟動監聽的端口，用戶端則將登錄文件再轉出一份送到服務器去。 而既然是登錄文件“服務器”，所以當然有服務器與用戶端 （client） 啰！這兩者的設置分別是這樣的： ``` # 1\. Server 端：修改 rsyslogd 的啟動配置文件，在 /etc/rsyslog.conf 內！ [root@study ~]# vim /etc/rsyslog.conf # 找到下面這幾行： # Provides UDP syslog reception #$ModLoad imudp #$UDPServerRun 514 # Provides TCP syslog reception #$ModLoad imtcp #$InputTCPServerRun 514 # 上面的是 UDP 端口，下面的是 TCP 端口！如果你的網絡狀態很穩定，就用 UDP 即可。 # 不過，如果你想要讓數據比較穩定傳輸，那么建議使用 TCP 啰！所以修改下面兩行即可！ $ModLoad imtcp $InputTCPServerRun 514 # 2\. 重新啟動與觀察 rsyslogd 喔！ [root@study ~]# systemctl restart rsyslog.service [root@study ~]# netstat -ltnp | grep syslog Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name tcp 0 0 0.0.0.0:514 0.0.0.0:* LISTEN 2145/rsyslogd tcp6 0 0 :::514 :::* LISTEN 2145/rsyslogd # 嘿嘿！你的登錄文件主機已經設置妥當啰！很簡單吧！ ``` 通過這個簡單的動作，你的 Linux 主機已經可以接收來自其他主機的登錄信息了！ 當然啦，你必須要知道網絡方面的相關基礎，這里鳥哥只是先介紹，未來了解了網絡相關信息后，再回頭來這里瞧一瞧先！ ^_^ 至于 client 端的設置就簡單多了！只要指定某個信息傳送到這部主機即可！ 舉例來說，我們的登錄文件服務器 IP 為 192.168.1.100 ，而 client 端希望所有的數據都送給主機， 所以，可以在 /etc/rsyslog.conf 里面新增這樣的一行： ``` [root@study ~]# vim /etc/rsyslog.conf *.* @@192.168.1.100 #*.* @192.168.1.100 # 若用 UDP 傳輸，設置要變這樣！ [root@study ~]# systemctl restart rsyslog.service ``` 再重新啟動 rsyslog.service 后，立刻就搞定了！而未來主機上面的登錄文件當中，每一行的“主機名稱”就會顯示來自不同主機的信息了。 很簡單吧！ ^_^。不過你得要特別注意，使用 TCP 傳輸與 UDP 傳輸的設置不太一樣！請依據你的登錄文件服務器的設置值來選擇你的用戶端語法喔！ 接下來，讓我們來談一談，那么如何針對登錄文件來進行輪替 （rotate） 呢？