我们将配置一个远程日志服务器并将消息转发给它。

实验室

我们的实验室中有两台RHEL 7.0服务器可用：

• srv1.rhce.local（10.8.8.71）–将配置为日志服务器，
• srv2.rhce.local（10.8.8.72）–将配置为将日志发送到删除日志服务器。

SELinux设置为强制模式。

配置远程日志记录

我们将在服务器srv1上配置rsyslogd以接收来自远程服务器srv2的消息。

在服务器srv1上，打开“ /etc/rsyslog.conf”进行编辑，并添加以下行以启用TCP端口514上的日志接收（也提供UDP）：

$ModLoad imtcp
$InputTCPServerRun 514

保存更改并重新启动rsyslog服务：

# systemctl restart rsyslog

配置firewalld：

# firewall-cmd --add-port=514/tcp --permanent
# firewall-cmd --reload

或者，如果我们只想从服务器srv2接收消息，则可以创建丰富的规则：

# firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address=10.8.8.72/32 port port=514 protocol=tcp accept'
# firewall-cmd --reload

配置邮件转发到远程服务器

在服务器srv2上，打开“ /etc/rsyslog.conf”进行编辑，并添加以下行：

*.* @@srv1.rhce.local:514

请注意，单个@通过UDP发送日志，而双@使用TCP发送日志。

保存更改并重新标记rsyslog服务：

# systemctl restart rsyslog

核实：

[srv2]# setenforce 0 && setenforce 1

我们看到服务器srv2上触发的消息被转发到服务器srv1上的rsyslog：

[srv1]# tail /var/log/messages
May 20 19:23:05 srv1 systemd: Stopping System Logging Service...
May 20 19:23:05 srv1 systemd: Starting System Logging Service...
May 20 19:23:05 srv1 systemd: Started System Logging Service.
May 20 19:23:10 srv2 dbus-daemon: dbus[573]: avc:  received setenforce notice (enforcing=0)
May 20 19:23:10 srv2 dbus[573]: avc:  received setenforce notice (enforcing=0)
May 20 19:23:10 srv2 dbus-daemon: dbus[573]: avc:  received setenforce notice (enforcing=1)
May 20 19:23:10 srv2 dbus[573]: avc:  received setenforce notice (enforcing=1)
May 20 19:23:10 srv2 dbus-daemon: dbus[573]: [system] Reloaded configuration
May 20 19:23:10 srv2 dbus[573]: [system] Reloaded configuration