■ 北京 赵琳

编者按：为了实现对于校园网中网络设备的实时监控，我们需要有一种手段可以收集校园网内重要的数据设备（如交换机等）的日志信息，并能够定时对日志信息进行查询操作，如果发现有可能引起网络故障的关键词，如loopback、ARP detects IP conflict 等，就需要进行故障排查，这样我们就可以在网络运维工作中做到提前发现、提前处理，达到防患于未然的目的。

Rsyslog 是一个自由开源的日志记录程序，在CentOS 8 系统上默认可用。它提供了一种从客户端节点到单个中央服务器的“集中日志”的简单有效的方法。日志集中化有两个好处。

首先，它简化了日志查看，因为系统管理员可以在一个中心节点查看远程服务器的所有日志，而无需登录每个客户端系统来检查日志。如果需要监视多台服务器，这将非常有用。其次，如果远程客户端崩溃，你不用担心丢失日志，因为所有日志都将保存在中心的Rsyslog 服务器上。

Rsyslog 取代了仅支持UDP 协议的Syslog。它以优异的功能扩展了基本的Syslog 协议，例如在传输日志时支持UDP 和TCP 协议，增强的过滤功能以及灵活的配置选项。

Rsyslog 服务的优点如下：

第一，Rsyslog 服务器可以大多数的网络设备支持，在网络设备的系统设备选项中大多都有远程日志服务的配置选项。只需要填写上IP地址和端口（大多数设备已经默认是514 了），然后确定就可以了。

第二，Linux服务器只需要在本地的Rsyslog服务配置中加入简单的一行就可以将日志发送到日志服务器，布署和配置起来十分简单。

第三，通过软件（如Evtsys）也可以支持Windows服务器，布署和配置也不是很难，但是有些软件是要收费的。

第四，搭配前端的Log Analyzer 等软件，可轻松实现图形化管理和查询日志。

实验环境

我们将搭建以下实验环境来测试集中式日志记录过程：

表1 实验环境

实验环境如表1 所示。通过上面的实验环境搭建，我们将演示如何设置Rsyslog 服务器，然后配置客户端系统以将日志发送到Rsyslog 服务器进行监视。

图1 输出结果

图2 输出结果

在CentOS 8 上 配 置RsysIog 服务器

默认情况下，Rsyslog已安装在CentOS 8 服务器上。要验证Rsyslog 的状态，可以通过SSH 登录并运行命令：systemctl status rsyslog

输出结果如图1 所示。

1.如果由于某种原因RsysIog 不存在，那么可以使用以下命令进行安装：

接下来，修改Rsyslog 配置文件中的一些设置。打开配置文件命令：

滚动并取消注释下面的行，以允许通过UDP 协议接收日志：

如果需要启用TCP 协议接收日志，请取消注释下面的行：

保存并退出配置文件。

2.要从客户端系统接收日志，需要在防火墙上打开RsysIog 默认端口514，命令：

然后，重新加载防火墙保存更改：

3.重启RsysIog 服务器，命令：

sudo systemctl restart rsyslog

要在启动时运行Rsyslo g，命令：

要确认Rsyslog 服务器正在监听514 端口，使用netstat 命令：

输出结果如图2 所示。

4.要实时查看日志消息，运行命令：

5.安装数据库

（1）安装mariadb 数据库，运行命令：yum install mariadb mariadb-server -y

（2）启动并初始化数据库，运行命令：

（3）添加数据库和用户，运行命令：

#创建“rsyslog”的数据库，字符编码设置为UTF 8。

#对数据库“rsyslog”创建全权限的rsyslog 的本地用户，设置密码为“rsyslog”。

（4）安 装Rsyslog 的MySQL 扩展程序包rsyslogmysql

安装Rsyslog，运行命令：yum install rsyslog-mysql-y

（5）将Rsyslog 的MySQL表导入创建的Rsyslog 数据库，并给予用户权限。

添加如下内容：

（7）重启rsyslog 服务

运行命令：systemctl re start rsyslog.service

配置客户端系统

在RHEL 8 上配置客户端系统，与Rsyslog 服务器一样。

1.登录并通过以下命令检查RsysIog 守护进程是否正在运行：

2.打开RsysIog 配置文件，命令：

保存并退出配置文件。

3.打开514 端口，这是防火墙上的默认 RsysIog 端口，命令：

然后，重新加载防火墙以保存更改，命令：

4.重启RsysIog 服务，命令：

要在启动时运行Rsyslo g，命令：

测试日志记录操作

已经成功安装并配置Rsyslog 服务器和客户端后，就该验证相关配置是否按预期运行了。

1.在客户端系统上，运行命令：

2.进入RsysIog 服务器查看日志消息，运行命令：

客户端系统上命令运行的输出显示在了Rsyslog服务器的日志中，这意味着Rsyslog 服务器到了接收来自客户端系统的日志。

网络设备配置

1.服务端修改

注意，此处是local4 来接受远程的Syslog。

2.华为交换机配置

info-center source SHELL channel loghost log level notifications//此处是只需要操作日志，其他的不需要，如果想要更多日志内容，请更改。

3.思科交换机配置

logging 1.1.1.1（配置Syslog 服务器地址，可以定义多个）

4.将Linux 服务器日志上传到日志服务器

@@代表的代表是tcp，@代表是udp；relp 用“:omrel p:”表示。

日志文件呈现

LogAnalyzer 是一个sys log 和其他网络事件数据的Web 前端工具，提供简单易用的日志浏览、搜索和基本分析以及图表显示。

1.准备Web 环境

运行命令：yum install httpd php php-mysql phpgd -y

2.下载LogAnaIyzer

3.解压配置LogAnaIyzer

4.关闭防火墙

运行命令：systemctl stop firewalld

5.进入浏览器页面配置

（1）在浏览器中输入10.128.0.47 进行配置

（2）点击之后，提示开始检查。

（3）配置文件检查，注意config.php 需要666 权限，如果没有写权限，则会报错提示。

（4）LogAnalyzer 的基本配置，此处配置的数据库为LogAnalyzer 的数据库，前面创建的Rsyslog 数据库。输入数据库名称，用户名及密码。

（5）如果数据库能正常连接，那么就会显示正常了，如果数据库连接出错，则会提示错误原因，点“Next”继续下一步。

（6）连接数据库成功后，会自动创建数据库表，提示24 条成功，0 失败。

（7）这一步便是填写日志信息的数据库信息，也就是导入SQL 文件所创建的Syslog 数据库。请注意大小写，监控表为SystemEvents，默认为小写。

（8）继续下一步就会提示成功，然后点击登录，便能进入查看了。

日志功能对于网络运维是相当重要的，在使用中，无论是系统还是应用等等，出了任何问题，我们首先想到的便是分析日志，查找问题原因。

基于CentOS，结合Rsysl og 和LogAnalyzer 建构一套日志集中管理系统可以极大地简化我们的网络运维工作。