标签:root ima egrep pre new jpg 定义 interval direct
收集系统其它服务日志,在客户端node1 上操作,示例以openstack-nova 服务的日志为例:
1.先修改配置文件 /etc/rsyslog.conf,完整内容如下:
[root@node1 ~]# egrep -v ‘^#|^$‘ /etc/rsyslog.conf $ModLoad imuxsock # provides support for local system logging (e.g. via logger command) $ModLoad imjournal # provides access to the systemd journal $ModLoad immark # provides --MARK-- message capability $WorkDirectory /var/lib/rsyslog $ActionFileDefaultTemplate RSYSLOG_TraditionalFileFormat $IncludeConfig /etc/rsyslog.d/*.conf $OmitLocalLogging on $IMJournalStateFile imjournal.state *.info;mail.none;authpriv.none;cron.none @@192.168.30.67 authpriv.* /var/log/secure mail.* -/var/log/maillog cron.* /var/log/cron *.emerg :omusrmsg:* uucp,news.crit /var/log/spooler local7.* /var/log/boot.log module(load="imfile" PollingInterval="5") $InputFileName /var/log/nova/nova-compute.log $InputFileTag nova-info: $InputFileStateFile state-nova-info $InputRunFileMonitor
其实只添加了后5行的内容,对每项简单解释下
module(load="imfile" PollingInterval="5") 加载imfile 模块,并5秒刷新一次 $InputFileName /var/log/nova/nova-compute.log 要监控的日志文件路径 $InputFileTag nova-info: 定义文件标签 ,注意最后是冒号: $InputFileStateFile state-nova-info 定义状态文件 $InputRunFileMonitor 激活读取,可以设置多组日志读取,每组结束时设置本参数
2.修改完成后,重启客户端的rsyslog服务
[root@node1 ~]# systemctl restart rsyslog
3 验证,在rsyslog服务器上查看日志,如下图
标签:root ima egrep pre new jpg 定义 interval direct
原文地址:https://www.cnblogs.com/poov/p/11948877.html
