1 整体架构

2 中央日志服务器配置

2.1 配置时钟同步

2.1.1 方式一

中央日志服务器和Tomcat节点均向同一个时钟源（例如：pool.ntp.org）进行对时即可。说明：本小节下面命令均以root用户执行，并且在中央日志服务器和Tomcat节点均要执行。

首先，需要关闭ntpd服务：

service ntpd stop

chkconfig ntpd off
 

执行crontab -e，输入下面内容：

*/5 * * * * ntpdate pool.ntp.org
 

表示：每隔5分钟向时钟源pool.ntp.org对时一次

然后重启cron：service crond restart

2.1.2 方式二

中央日志服务器作为时钟源，其他Tomcat节点均向中央日志服务器对时，需保证中央日志服务器时间是正确的。

说明：本小节下面命令均以root用户执行。

2.1.2.1. 中央日志服务器

开启ntpd服务，执行下面命令：

service ntpd start

chkconfig ntpd on
 

2.1.2.2. 所有Tomcat节点

测试ntp能否连接到中央日志服务器：

ntpdate 192.168.1.1

如果连接不成功一般是2个原因导致的：

1. Server端的ntpd服务刚刚启动，一般情况下需要等待几分钟之后才能对时成功；

2. 防火墙问题，需要开放udp 123端口号；

关闭ntpd服务：

service ntpd stop

chkconfig ntpd off
 

然后执行crontab -e，输入下面内容：

*/5 * * * * ntpdate 192.168.1.1
 

表示：每隔5分钟向中央日志服务器对时一次。

然后重启cron：service crond restart

2.2 防火墙配置

rsyslog默认运行在514端口号上，需要配置防火墙开放514端口，或者关闭防火墙。

另外，如果运行在RHEL、CentOS、Fedora等Linux系统上，还需要关闭SeLinux。

2.3 配置rsyslog

编辑rsyslog.conf：

取消下面两行的注释（删除掉前面的#）：

$ModLoad imudp

$UDPServerRun 514

修改下面一行，添加“;local2.none”，不将local2的日志写入/var/log/messages：

*.info;mail.none;authpriv.none;cron.none;local2.none /var/log/messages

添加下面一行，将local2的debug级别日志写入/var/log/dispatcher/debug.log：

local2.debug /var/log/dispatcher/debug.log

2.4 配置logrotate

针对上面配置的日志文件/var/log/dispatcher/debug.log，为避免其日积月累导致文件过于庞大，还需要为其进行及时备份，采用Linux自带的logrotate工具即可实现该功能。

新建文件/etc/logrotate.d/dispatcher，内容为：

/var/log/dispatcher/debug.log {

copytruncate

daily

minsize 1M

rotate 90

}
 

表示：每天备份一次，备份90个文件，即只保留3个月内的日志文件。

参数说明如下：

1. copytruncate：表示此方法采用的是先拷贝再清空的方式，整个过程中日志文件的操作句柄没有发生改变，所以不需要通知应用程序重新打开日志文件；

2. daily：每天轮询备份；

3. minsize 1M：最小文件大小为1M，超过这个值才进行rotate；

4. rotate 90：轮询备份90个文件。

logrotate是基于cron任务来执行的，其执行脚本位于/etc/cron.daily下面，也就是说logrotate会每天自动执行一次。

也可以手动执行，命令如下：logrotate -f /etc/logrotate.d/dispatcher。

3 Tomcat节点配置

3.1 配置log4j

配置log4j，以便将日志传输到日志服务器。

编辑log4j的配置文件log4j.properties，添加如下内容（如果第一行的rootLogger已经配置的话，合并即可）：

log4j.rootLogger=debug, SYSLOG

log4j.appender.SYSLOG=org.apache.log4j.net.SyslogAppender

log4j.appender.SYSLOG.syslogHost=192.168.0.1

log4j.appender.syslog.Threshold=DEBUG

log4j.appender.SYSLOG.layout=org.apache.log4j.PatternLayout

log4j.appender.SYSLOG.layout.ConversionPattern=%-d{yyyy-MM-dd HH\:mm\:ss} [ %p ] %m [ %l ] %n

log4j.appender.SYSLOG.Header=true

log4j.appender.SYSLOG.Facility=local2
 

注意：

1. log4j.appender.SYSLOG.syslogHost需要配置为中央日志服务器的IP地址或域名；

2. log4j.appender.SYSLOG.Facility需要配置为local2，与中央日志服务器中配置的rsyslog一致。

3.2 配置rsyslog将所有日志都传输到日志服务器

说明：本步骤不是必须要做的，根据实际情况配置即可。

编辑/etc/rsyslog.conf，添加如下一行：

*.* @192.168.0.1

即可将所有日志通过UDP协议输出到日志服务器。

备注：如果希望可靠传输，建议采用TCP协议传输，将上述一行改为：

*.* @@192.168.0.1

即可。

4 拓展

以上部分是采用rsyslog+logrotate进行日志集中保存和管理，除此之外，还可以使用MySQL+ loganalyzer对日志进行存储和Web图形化的分析、查看。