本文主要介绍通过搭建rsyslog日志收集系统，实现实时收集idrac机房服务器硬件日志信息采集录入，在日常服务器巡检维护中减少人员设备巡检的流程。通过简单高效的ELK web界面友好的展现服务器硬件资源状况。

环境说明：

        日志来源服务器：Dell PowerEdge R720

        日志收集服务：rsyslog

        日志处理服务：ELK

rsyslog日志收集服务搭建

安装rsyslog服务（环境centos系统）

        yum install rsyslog -y

编辑服务配置文件

        vim /etc/rsyslog.conf

修改如下对应的信息

# Provides UDP syslog reception$ModLoad imudp$UDPServerRun 514# Provides TCP syslog reception$ModLoad imtcp$InputTCPServerRun 514#### GLOBAL DIRECTIVES ######## 定义日志格式 ####$template myformat, " %$NOW% %TIMESTAMP:8:15% %FROMHOST-IP% %syslogtag% %msg%\n"# Don't log private authentication messages!### 定义日志输出路径，根据客户端的IP单独存放主机日志在不同目录，log_server需要手动创建 ###$template IpTemplate,"/opt/log_server/%FROMHOST-IP%/%$year%-%$month%-%$day%.log"### 过滤本地日志 ####:fromhost-ip, !isequal, "127.0.0.1" ?IpTemplate& ~

重启rsyslog服务

        systemctl restart rsyslog

 优化部分：

rsyslog写日志自定义，比如/opt/rsyslog 目录权限没有问题，但是日志无法正常输出？

只需要关闭SELinux即可实现日志文件路径写入的问题。

临时关闭SELinux

        setenforce 0

永久关闭

        vi /etc/selinux/config

改成

        SELINUX=disable

idrac日志来源端配置

设置远程rsyslog 服务地址IP及端口

远程系统日志一定要勾选，这样rsyslog日志收集服务才能采集到日志

采集后的日志通过/opt/log_server/目录下找到对应文件内容如下显示：

 rsyslog服务端已经收集到日志，接下来就是日志处理通过ELK实现。

rsyslog日志入库到ES

通过下面文档配置操作即可

【ELK日志采集】filebeat日志采集及错误Provided Grok expressions do not match field value解决_onenote_1的博客-CSDN博客ELK日志入库失败问题解决https://blog.csdn.net/duanph/article/details/123205186#:~:text=%E5%88%9B%E4%BD%9C-,%E3%80%90ELK%E6%97%A5%E5%BF%97%E9%87%87%E9%9B%86%E3%80%91filebeat%E6%97%A5%E5%BF%97%E9%87%87%E9%9B%86%E5%8F%8A%E9%94%99%E8%AF%AFProvided%20Grok%20expressions%20do%20not%20match%20field%20value%E8%A7%A3%E5%86%B3,-%E7%BD%AE%E9%A1%B6

收集idrac日志通过elk展现效果：

多事通报价网