发生问题时，服务器日志将成为系统管理员的重要疑难解答。
默认情况下，基于RHEL的服务器上的所有日志都存储在/var/log目录中。
Syslog守护程序可以配置为将日志发送到远程Syslog服务器，该服务器可以被配置为从其他主机接收日志。

当我们在组织中有数百个服务器时，将日志存储在集中位置变得方便。
它还有助于追踪登录受妥协系统的入侵者，并删除当地的日志认为他/她可以逃脱，不会留下任何痕迹。
它为系统管理员提供了一个集中的位置来监视所有服务器的日志。

在本文中，我将在RHEL 6服务器上配置RSYSLOG，该服务器是SYSLOG守护程序的，以从客户端计算机接收日志。
我还将配置一个客户端计算机，谁将将它的日志推向此集中式syslog服务器。
可以通过TCP和UDP发送日志。
我将在本文中使用UDP。

在开始之前，请确保在集中式Syslog服务器上允许端口514.

在文本编辑器中打开/etc/sysconfig/iptables文件。

添加一个输入规则，允许端口514上的UDP流量到文件。
在拒绝流量的任何输入规则之前必须出现新规则。

-A INPUT -m state --state NEW -m udp -p udp --dport 514 -j ACCEPT

将更改保存到/etc/sysconfig/iptables文件并重新启动服务。

# service iptables restart

集中式syslog服务器配置

打开/etc/rsyslog.conf并取消注释以下行以接受使用UDP的消息。

$ModLoad imudp
$UDPServerRun 514

将这些行放在文件的末尾，rsyslogd将为每个客户端的客户端创建一个文件夹作为客户端的主机名/log /目录。

$template TmplAuth, "/var/log/%HOSTNAME%/%PROG内存NAME%.log"
*.* ?TmplAuth

重新启动rsyslog服务

# service rsyslogd restart

客户端配置

客户端计算机可以配置为通过TCP和UDP发送日志，两个示例如下所示。
rsyslog服务器配置可以如下所示。

在客户端上，打开/etc/rsyslog.conf并输入集中式rsyslog服务器的名称：端口。

*.* <@ip address>:514

其中*。
*表示所有日志，单个"@"表示集中式syslog服务器和端口号的UDP，IP地址或者主机名

如果我们想使用TCP而不是UDP，可以放置以下内容。
唯一的区别是另外的"@"

*.* <@@ip address>:514

重新启动syslog服务器，我们完成了。

# service rsyslogd restart

将有一个文件夹/var/log作为客户端的主机名和该主机的所有日志文件都将被推送。
我们可以在此之后配置日志旋转以定期管理日志文件。