syslog是Unix系统中系统日志,因此syslogd就是极为重要的一个服务,平时系统排错以及一些重要的事件都写在日志里,但是在实际生产环境中往往服务器并不是只有一台或者是几台,而在大批量的服务器日志分析时,如果是一台台去翻看日志就会十分的费时费力,那么在平时的生产环境中就可以使用一台或者是多台服务器为一个或者是多个集群的日志收集做为日志服务器,要配置日志服务器很简单,在这里就简要的说一下远程syslogd的配置:
[root@localhost log]# vim /etc/sysconfig/syslog
# Options to syslogd
# -m 0 disables 'MARK' messages.
# -r enables logging from remote machines
# -x disables DNS lookups on messages recieved with -r
# See syslogd(8) for more details
SYSLOGD_OPTIONS="-m 0 -r"#在这行添加-r的参数,开启远程日志功能
…略…
[root@localhost log]# /etc/init.d/syslog restart
#重启syslogd
[root@localhost log]# netstat -nulp|grep syslog
udp 0 0 0.0.0.0:514 0.0.0.0:* 26805/syslogd
#syslogd的监听端口是udp上的514端口,这个端口开启后就可以接收在防火墙允许的主机日志写入
#至于其它的syslog客户端只要修改syslogd的配置文件,再重启syslogd就可以了,如果日志服务器的ip为192.168.1.254,客户端的配置如下:
[root@localhost log]# vim /etc/syslog.conf
*.* @192.168.1.254
#添加这一行
在配置好后平时只要通过筛选日志中的主机名来确定不同主机名的日志消息,如此远程日志服务器就配置好了,当然如果想知道更多的消息可以通过man 8 syslogd来查看。