centos搭建简单自用syslog服务器_centos syslog

1、安装rsyslog软件（rsyslog是syslogd的升级版）

yum install -y  rsyslog

2、配置rsyslog.conf文件

 vi /etc/rsyslog.conf

（1）打开tcp和udp接收和配置端口，打开之后的样子

（2） 在# Use default timestamp format设置接收日志存放目录和文件命名规则

## 这里是服务端添加的配置 begin ###

# 使用RemoteLogs模板接受客户端的日志，保存到本地的/var/log/remote目录下，然后是每台客户端的ip_年份_月份_日期的log

$template RemoteLogs,"/var/log/remote/%fromhost-ip%/%fromhost-ip%_%$YEAR%-%$MONTH%-%$DAY%.log"

# 所有服务所有级别的日志都记录

*.* ?RemoteLogs

#服务端本机的日志不记录

:fromhost-ip, !isequal, "127.0.0.1" ?Remote

#指示rsyslog在将消息写入文件后停止处理消息。如果不包含"& ~"，则消息将被写入本地文件,导致消息被记录2次。

& ~

### 这里是服务端添加的配置 end ###

3、重启rsyslog

 systemctl restart rsyslog

4、rsyslog客户端

 在需要传输日志到syslog日志平台的客户端上设置

 vi /etc/rsyslog.conf

#在文件最后添加

auth.*;authpriv.*;cron.* @@syslog服务器IP:端口

#表示将用户登录日志和定时任务日志发送到10.10.7.7的514端口，默认采用TCP进行发送

#保存退出重启rsyslog服务并同时重启防火墙，使用配置生效更新

systemctl restart rsyslog

systemctl restart firewalld

5、syslog服务器开启端口 

#开启syslog tcp端口

firewall-cmd --zone=public --add-port=514/tcp --permanent

#开启syslog  udp端口

firewall-cmd --zone=public --add-port=514/udp --permanen

#使端口生效

firewall-cmd --reload

#查看端口是否开放

firewall-cmd --zone=public --list-ports

6、查看日志是否传输过来