[Rsyslog] Almacene la información de registro de rsyslog a través de mysql

Uno, configurar el cliente

# rsyslogd（/etc/rsyslog.conf）
vim /etc/rsyslog.conf

*.* @@<logserver Ip>:514

Dos, configure el servidor de registro

2.1 Instalar el módulo rsyslogd mysql

yum -y install rsyslog-mysql

2.2 Configurar para recibir el archivo de configuración rsyslog y almacenarlo en mysql

# 在/etc/rsyslog.conf
$ModLoad imtcp
$InputTCPServerRun 514

En /etc/rsyslogd/rsyslog.d/mysql.conf

module (load="ommysql")

#*.* action(type="ommysql" server="localhost" db="Syslog" uid="rsyslog" pwd="")

if $hostname != "localhost.localdomain" then {
    
    
    $template dbFormat,"insert into SystemEvents (Message, Facility,FromHost, Priority, DeviceReportedTime, ReceivedAt, InfoUnitID, SysLogTag) values ('%msg%', %syslogfacility%, '%fromhost-ip%',%syslogpriority%, '%timereported:::date-mysql%', '%timegenerated:::date-mysql%', %iut%, '%syslogtag%')",sql

    action(type="ommysql" server="localhost" serverport="<serverport>" db="<dbname>" uid="<mysql_user>" pwd="<mysql_password>" template="dbFormat")
}

2.3 Reinicie rsyslogd

sudo service rsyslog restart

2.4 Ya sea para abrir el puerto 514

查看：iptables-save | grep 514
添加并保存：iptables -I INPUT -p tcp --dport 514 -j ACCEPT && iptables-save | grep 514

expandir

La diferencia entre tiempo generado y tiempo informado