客户端rsyslog配置文件详解

客户端rsyslog配置文件详解

最近再开发一个rsyslog的接收服务端，支持udp，tcp和tls三种协议。所以去仔细研究了一下rsyslog.conf的配置文件，下面来详细说一下。

因为我这儿重点在于怎么将信息发送到我的服务器，所以只讲了一些发送应该配置的内容，至于rsyslog.conf配置的详细内容，大家可以去rsyslog的官网自行查看。

准备

系统： centos 7.4

rsyslog版本： 8.24.0

UDP和TCP

udp和tcp都比较简单

UDP

cd /etc/rsyslog.d

vim udp.conf

# udp.conf

$template myFormat,"192.168.82.129_34 %syslogpriority% %timestamp% %hostname% %syslogtag% %msg%"

# *.*           /var/log/tls

*.*             @192.168.92.1:9898;myFormat

TCP

cd /etc/rsyslog.d

vim udp.conf

# tcp.conf

$template myFormat,"192.168.82.129_34 %syslogpriority% %timestamp% %hostname% %syslogtag% %msg%"

*.*             @@192.168.92.1:9898;myFormat

现在来讲一下各个参数的意义

template：这是配置的模板，rsyslog发送的日志信息都会按照这个模板的格式来发送
*.* ：将本机所有的日志全部发送
@：udp为一个“@，tcp为两个“@@”
192.168.92.1：我的服务端地址
9898：我指定的服务端用哪个端口来接收信息
;myFormat：设定按这个模板来发送信息，如果你不设置，会按照默认的格式来发送

最后别忘记重启下rsyslog服务：

# centos7

systemctl restart rsyslog.service

TLS

TLS才是真正麻烦的地方，让我纠结了很久。

首先你想使用tls协议必须要有一个证书还有密钥来进行加密。这个证书怎么生成我下次会开一个单章来讲（因为太长了）。然后我这儿现在是有一个.crt的文件（文章末尾会提供下载地址，如果想偷懒可以直接用我这个）:

server.crt

然后在官网给出的client端中的配置是这么写的：

# make gtls driver the default

$DefaultNetstreamDriver gtls

# certificate files

$DefaultNetstreamDriverCAFile /rsyslog/protected/ca.pem

$DefaultNetstreamDriverCertFile /rsyslog/protected/machine-cert.pem

$DefaultNetstreamDriverKeyFile /rsyslog/protected/machine-key.pem

$ActionSendStreamDriverAuthMode x509/name

$ActionSendStreamDriverPermittedPeer central.example.net

$ActionSendStreamDriverMode 1 # run driver in TLS-only mode

*.* @@central.example.net:10514 # forward everything to remote server

可以大致分为三块：

第一块设置使用gtls
第二块设置证书
第三块设置发送信息

然后我就按照自己的需求改成了这个样子：

cd /etc/rsyslog.d

vim tls.conf

# tls.conf

$DefaultNetstreamDriver gtls

$DefaultNetstreamDriverCAFile /root/test/server.crt

$ActionSendStreamDriverAuthMode x509/name

$ActionSendStreamDriverPermittedPeer 192.168.92.1

$ActionSendStreamDriverMode 1

$template myFormat,"unique %syslogpriority% %timestamp% %hostname% %syslogtag% %msg%"

*.* @@192.168.92.1:9898;myFormat

重启服务后发现什么都没有，去查看日志/var/log/message，找到一条可能是问题的原因的记录：

Dec  1 22:18:16 here rsyslogd-2066: could not load module '/usr/lib/rsyslog/lmnsd_gtls.so', dlopen: /usr/lib/rsyslog/lmnsd_gtls.so: cannot open shared object file: No such file or directory

 [try http://www.rsyslog.com/e/2066 ]

Dec  1 22:18:56 here rsyslogd-2066: last message repeated 4 times

然后去看了看这个/usr/lib/rsyslog/lmnsd_gtls.so到底是什么东西，在这儿找到了答案 could not load module '/usr/lib/rsyslog/lmnsd_gtls.so'，原来是它这儿少了一些包和依赖，需要去安装一下：

sudo yum install -y rsyslog-gnutls

问题解决。

然后再运行，发现还是什么日志都没有，然后去查看记录，也没有报错，这时候就很纳闷了。这时候只能又去面向google编程了，翻了一大圈翻到了这篇文章 gtls Network Stream Driver，里面对于配置的第三大部分做了详细的解答。贴上一段问题所在：

Supported Authentication Modes

anon - anonymous authentication as described in IETF's draft-ietf-syslog-transport-tls-12 Internet draft
x509/fingerprint - certificate fingerprint authentication as described in IETF's draft-ietf-syslog-transport-tls-12 Internet draft
x509/certvalid - certificate validation only
x509/name - certificate validation and subject name authentication as described in IETF's draft-ietf-syslog-transport-tls-12 Internet draft

意思就是说，x509/name这种模式是需要进行身份认证的，但我这儿提供的证书（即server.crt）是一个公用的证书，这就冲突了，所以只能用anon的模式：

$ActionSendStreamDriverAuthMode anon

修改完成，重启服务，信息接收成功，大功搞定。

最终的crt.conf文件：

# tls.conf

$DefaultNetstreamDriver gtls

$DefaultNetstreamDriverCAFile /root/test/server.crt

$ActionSendStreamDriverAuthMode anon

$ActionSendStreamDriverMode 1

$template myFormat,"unique %syslogpriority% %timestamp% %hostname% %syslogtag% %msg%"

*.* @@192.168.92.1:9898;myFormat

附件

官方文档：https://www.rsyslog.com/doc/v8-stable/tutorials/tls_cert_summary.html

server.crt文件：https://pan.baidu.com/s/1MyZmTWq03-Nslrt4jlA3GQ

服务端项目：https://github.com/yisany/syslog-server

客户端rsyslog配置文件详解的相关教程结束。