搭建Syslog服务接收交换机日志

在Ubuntu平台下搭建Syslog服务，并通过定义规则，实现日志分类和分日期存储，因交换机日志一般输出内容不多，采用syslog采集是比较轻量化的方案

基于Ubuntu 22.04系统

创建日志存储目录并设置权限

mkdir -p /data/network-syslog
chmod 777 /data/network-syslog

安装Syslog服务

apt install rsyslog

编辑配置文件/etc/rsyslog.conf，将# provides UDP syslog reception段替换为以下内容

# provides UDP syslog reception
$ModLoad imudp
$UDPServerRun 514
$ModLoad immark
$template Remote,"/data/network-syslog/%HOSTNAME%/%$YEAR%-%$MONTH%-%$DAY%.log"
:fromhost-ip, !isequal, "127.0.0.1" ?Remote
& ~

启动服务并设置开机运行

systemctl start rsyslog
systemctl enable rsyslog

交换机侧配置，以华为交换机为例

info-center loghost source "替换为源IP接口"
info-center loghost “替换为服务器IP” facility local5 local-time
info-center timestamp log short-date without-timezone
info-center timestamp trap short-date without-timezone

在服务器端日志会生成以交换机名字命名的文件夹，并在文件夹内按日期生成文件