目前最新版rsyslog为8.27.0,rsyslog从8.5.0后对imfile模块进行重构，文件名中可以支持通配符。

rsyslog官网：

升级rsyslog需要配置yum源，centos默认的升级不到最新的版本。

1、配置yum

为了能够使用RPM存储库，您需要一个.repo文件。使用您的webbrowser，请访问http://rpms.adiscon.com。在这里，可以下载rsyslogall.repo文件，或者转到所需版本的子文件夹（例如v8-stable），然后从中下载rsyslog.repo文件。(google翻译来的)

根据官方网文档如果复制以上配置可能解析变量不正确导致安装不成功，此时需要替换第三行中的变量“$ releasever”，$releasever的值表示当前系统的发行版本，可以通过rpm -qi centos-release命令查看，其中的Version：6就是我们系统的版本号；$basearch是我们的系统硬件架构(CPU指令集),使用命令arch得到。

2、配置rsyslog

rsyslog默认只可以传送系统的日志，比如DHCP，cron、kern等，现在要传送一个服务的日志到远端的rsyslog服务器，要使用rsyslog的imfile模块。该模块提供将任何标准文本文件转换为syslog消息的功能。该文件逐行读取，任何读取的行都传递给rsyslog的规则引擎。

官方文档：

http://www.rsyslog.com/doc/v8-stable/configuration/modules/imfile.html

上图为配置样例，各参数可以参考文中的对应模块参数说明，module参考文中Module Parameters说明；input参考文中Input Parameters说明。

module

      load="imfile"    加载imfile模块

      PollingInterval="10"     轮询文件的频率，单位秒，默认10秒，

input

     type="imfile" 

     File="/opt/CalculationUnit/java/sh/logs/bigada.log"    发送到syslog的文件绝对路径

     Tag="CalculationUnit" 

     Severity="info"     

     Facility="local0" 

     freshStartTail="on"    设置为on每次重启rsyslog时只读取最新的数据丢弃旧日志，默认关

     deleteStateOnFileDelete="on" 如此文件会重新生成需要开启次参数，例如bigdata.log每天凌晨会重命名为bigdata%YYYY%mm%dd%.log，然后重新生成bigdata.log

local0.* @10.10.15.175:514   定义syslog服务器地址

错误：Permission denied 

检查selinux

现在可以在syslog服务端数据库里查看到信息

本文转自 justin_peng 51CTO博客，原文链接：http://blog.51cto.com/ityunwei2017/1934910，如需转载请自行联系原作者