系统syslog的启动

admin

修改syslog配置重启命令：
sudo service rsyslog restart

admin

假定你的网络中已经有一台已经配置好并启动的rsyslog服务器，本指南将为你展示如何来设置CentOS系统将其内部日志消息路由到一台远程rsyslog服务器上。这将大大改善你的系统磁盘空间的使用，尤其是当你还没有一个用于/var目录的独立的大分区。
& @! ]6 W: j% \$ H! s0 R
Linux配置syslog服务器及CentOS配置rsyslog客户端远程记录日志
& D) W/ J/ c3 }. L/ \
7 _( X! C7 C2 Z' G: G4 D步骤一： 安装Rsyslog守护进程
/ f* k3 V# u9 ?: \0 r8 R" O
8 l7 n+ A; h0 N# r! R* \& Y. P2 c5 @在CentOS 6和7上，rsyslog守护进程已经预先安装了。要验证rsyslog是否已经安装到你的CentOS系统上，请执行如下命令：

    # rpm -qa | grep rsyslog
0 N) s% y) Z! _! v    # rsyslogd -v

Linux配置syslog服务器及CentOS配置rsyslog客户端远程记录日志

如果处于某种原因，rsyslog守护进程没有出现在你的系统中，请使用以下命令来安装：

    # yum install rsyslog
, s* k- `/ D- Y" O8 m# q0 o
步骤二： 配置Rsyslog守护进程为客户端

* A8 c3 ^4 o' v2 \% i& j& o接下来的步骤，是要将你的CentOS机器转变成rsyslog客户端，将其所有内部日志消息发送到远程中央日志服务器上。
% ^2 N& h6 X* q/ a2 L
0 G% ^& k  l2 T7 o7 x  i1 x% s要实现该功能，请使用你喜爱的文本编辑器打开位于/etc路径下的rsyslog主配置文件：

( m8 V2 g4 ^5 s7 h0 Q    # nano /etc/rsyslog.conf

开启文件用于编辑后，你需要添加以下声明到文件底部。将IP地址替换为你的远程rsyslog服务器的IP地址。
, ~1 m6 n( q9 }5 g  L* M5 u
: Z  @) K0 y6 [9 Y    *.* @192.168.1.25:514
0 O& d. k; [( i: Y8 {. N' P: i
上面的声明告诉rsyslog守护进程，将系统上各个设备的各种日志消息路由到远程rsyslog服务器（192.168.1.25）的UDP端口514。

6 Z9 {7 K( j# s* k0 F如果出于某种原因，你需要更为可靠的协议，如TCP，而rsyslog服务器也被配置为监听TCP连接，你必须在远程主机的IP地址前添加一个额外的@字符，像下面这样：
& P4 K. f$ ]5 ]+ G! r/ @  r
    *.* @@192.168.1.25:514
2 w& r& F4 o  e0 d- [  X
注意，你也可以将rsyslog服务器的IP地址替换成它的主机名（FQDN）。

如果你只想要转发服务器上的指定设备的日志消息，比如说内核设备，那么你可以在rsyslog配置文件中使用以下声明。

; N" g2 Q$ R1 s" @/ ]8 Y    kern.* @192.168.1.25:514

修改配置文件后，你需要重启进程以激活修改：

CentOS 7：

/ `4 U+ _1 Q7 `7 u7 K6 G    # systemctl restart rsyslog.service