syslog

• 被收集日志的服务器nc安装

yum install nc

• linux apache配置(/etc/httpd/conf/httpd.conf)

CustomLog logs/access_log combined//下面添加

CustomLog "|nc -u 127.0.0.1 514" "<134>%{%b %d %X}t www apache %h %l %u %t \"%r\"%>s %b \"%{Referer}i\" \"%{User-agent}i\"

//CustomLog "|nc -u <destination hostname> <destination port>" "<134>%{%b %d %X}t <system hostname> <program name> %h %l %u %t \"%r\"%>s %b \"%{Referer}i\" \"%{aUser-agent}i\""

• windows apache 配置文件修改 httpd.conf

//CustomLog "d:/wamp/logs/access.log" common 后面追加
CustomLog "|bin/nc/nc.exe -u 192.168.1.5 514" combined

• 收集日志服务器rsyslog服务修改

    1、取消注释。

    这会使得rsysolog守护进程能够在UDP端口514上接受日志消息了---UDP是一种比TCP速度快，但是并不具有TCP一样的数据流的可靠性。所以如果你需要使用可靠的传送机制，就可以通过取消以下行的注释。

$ModLoad imudp
$UDPServerRun 514

    2、添加内容。

    在此对该模板进行简单解释，$template RemoteLogs（这里“RemoteLogs” 字符串可以为任何其他的描述性的名称）指令使rsyslog后台进程将日志消息写到/var/log下的单独的本地日志文件中，其中日志文件的名称是基于远程日志发送机器的主机名以及生成该日志的应用程序名进行定义的。其中第二行暗示了我们将RemoteLogs模板应用到所有接收到的日志上。符号"& ~"表示了一个重定向规则，被用来告知rsyslog守护进程停止对日志消息的进一步处理，并且不要在本地写入。如果没有使用该重定向规则，那么所有的远程消息都会在写入上述描述的日志文件之外同时被写入到本地日志文件，这就意味着日志消息实际上被写了两次。使用该规则的另外一个结果就是syslog服务器本身的日志消息只会被以该机器主机名命名的专有文件中。

$template RemoteLogs,"/var/log/%FROMHOST-IP%/%PROGRAMNAME%.log" *
*.*  ?RemoteLogs
& ~

3、关闭

临时关闭：setenforce 0

永久关闭：修改/etc/sysconfig/selinux文件中设置SELINUX=disabled，重启有效

参考网站：

1. https://linux.cn/article-5023-1.html
2. http://blog.papertrailapp.com/send-apache-access-logs-to-remote-syslog-in-1-line/