H3C设备持久化日志到rsyslog服务器 0x1 why 原因很简单，设备日志没有持久化，不能在性能、故障、安全等问题过后进行排查 0x2 how 日志 buffer 默认只有 512 条，没有进行持久化，这里我们仅配置 h3c 设备如何发送日志到 rsyslog 服务器 先查看当前有哪些vlan，确定使用哪个vlan接口作为源地址发送给日志服务器 dis int vlan br 此示例设置vlan 1为日志发送的源地址和接口 info-center loghost source Vlan-interface 1 设置日志的发送事件类型，这里设置为local6，与rsyslog中的保持一致 info-center loghost 192.168.3.100 facility local6 查看配置内容，以及是否启用等 dis info-center 至此，如果rsyslog服务器已经配置完成的话，那么可以在相关目录查看到设备的日志文件了

rsyslog日志服务器配置 0x1 rsyslog 这里记录 rsyslog 的方式作为日志服务器持久化日志，为什么需要rsyslog呢？ 举一个身边常见的例子，常见的三层交换机、路由器等网络设备保存的日志条目只有512条，并且网络设备的日志量是不低的，那么意味着，如果有一个网络问题出现，想要排查之前十几分钟甚至半个小时的日志都非常困难，所以需要一个日志系统来持久化保存历史 0x2 为什么rsyslog 其实翻一翻文档可以看到，网络设备默认配置 syslog 协议发送日志到服务器，这部分已经能够被 logstash 替换了，所以最终我们的目标可以是，直接对接网络设备和 elfk。 但 syslog 胜在简单，如果小公司不想单独弄一个复杂的日志系统，那么简单的 rsyslog 服务器也是能够满足需求的 rsyslog 配置 这里以收集 H3C 设备日志为例，其中 H3C 的配置部分参考本站内的文档 H3C设备持久化日志到rsyslog服务器： 使用 yum 安装 rsyslog 修改 rsyslog 配置文件 /etc/rsyslog.conf，开启 udp 和 tcp 端口监听: # Provides UDP syslog reception $ModLoad imudp $UDPServerRun 514 # Provides TCP syslog reception $ModLoad imtcp $InputTCPServerRun 514 在文件的前面部分，默认是注释的，启动 rsyslog 服务不会监听，取消注释即可 在配置文件最后追加如下内容: $template h3c,"/data/logs/h3c/%FROMHOST-IP%.log" local6.* ?h3c #$template huawei,"/log_data/huawei/%FROMHOST-IP%.log" #local5.* ?huawei #$template cisco,"/log_data/cisco/%FROMHOST-IP%.log" #local4.* ?cisco 这里提供了三种品牌设备的日志收集方式，配置格式不是强制的。以 h3c 为例：第一行定义了一个h3c名字的模板，并且定义了保存的路径和文件名（以源ip命名），第二行定义收集 local6 类型的所有日志为应用到上面定义的 h3c 这个模板上。其中最关键的是这里 local6 要和网络设备中的配置一致即可。 至此重启 rsyslog 服务，在网络设备与日志服务器之间网络正常的情况下，即可在上面定义的目录中看到最新的日志