ubuntu配置rsyslog服务器

缘起

最近黑群辉有些不稳定，有卡死机的情况，只能强制关机后再开机解决，重启后进入群辉的日志发现是不完整的，因此需要通过一种远程日志的方式获取出问题前后真正的日志情况。

折腾过程

开启rsyslog服务器

这里是在一台ubuntu服务器上开启rsyslog服务，且ubuntu系统上已经自带了这个，不需要安装，进行相关配置即可。

sudo vi /etc/rsyslog.conf

取消注释udp和tcp端口绑定的行：

module(load="imudp")

input(type="imudp" port="514")

#provides TCP syslog reception

module(load="imtcp")

input(type="imtcp" port="514"

创建用于接收远程消息的新模板

让我们创建一个模板，指示rsyslog服务器如何存储传入的syslog消息，在GLOBAL DIRECTIVES部分之前添加模板：

$template remote-incoming-logs,"/var/log/%HOSTNAME%/%PROGRAMNAME%.log" 

*.* ?remote-incoming-logs

& ~

收到的日志将使用上面的模板进行解析并存储在目录/var/log/中，文件命名遵循约定：%HOSTNAME%。

修改后的情况如下图：

重启rsyslog服务

sudo service rsyslog restart

在群辉设置日志写入

在菜单->日志中心->日志发送里，设置对应的rsyslog服务器地址，然后发送测试日志确认在服务端收到后，应用即可。

参考文档

https://ywnz.com/linuxyffq/4329.html