Linux网络日志服务配置（从零开始搭建rsyslog日志系统）

二、准备工作

在开始之前，请确保：

• 你有两台 Linux 服务器（一台作为日志客户端，一台作为日志服务器）
• 两台机器网络互通，防火墙允许指定端口通信（默认 UDP 514 或 TCP 514）
• 已安装 rsyslog（大多数现代 Linux 发行版默认已安装）

三、配置日志服务器（接收端）

首先，我们配置日志服务器，让它能够接收来自其他主机的日志。

1. 编辑 rsyslog 配置文件：

sudo nano /etc/rsyslog.conf

2. 启用 UDP 和/或 TCP 接收模块：

取消以下行的注释（删除行首的 #）：

# provides UDP syslog receptionmodule(load="imudp")input(type="imudp" port="514")# provides TCP syslog receptionmodule(load="imtcp")input(type="imtcp" port="514")

3. 设置日志存储路径（可选但推荐）：

在配置文件末尾添加以下规则，按客户端IP分别保存日志：

# 按客户端IP保存日志$template RemoteLogs,"/var/log/remote/%HOSTNAME%/%PROGRAMNAME%.log"*.* ?RemoteLogs& stop

4. 重启 rsyslog 服务：

sudo systemctl restart rsyslog

5. 开放防火墙端口（以 firewalld 为例）：

sudo firewall-cmd --permanent --add-port=514/udpsudo firewall-cmd --permanent --add-port=514/tcpsudo firewall-cmd --reload

四、配置日志客户端（发送端）

接下来，在需要发送日志的客户端上进行配置。

1. 编辑客户端的 rsyslog 配置：

sudo nano /etc/rsyslog.conf

2. 在文件末尾添加转发规则：

假设日志服务器 IP 是 192.168.1.100：

# 转发所有日志到远程服务器（UDP）*.* @192.168.1.100:514# 或使用 TCP（更可靠）# *.* @@192.168.1.100:514

注意：@ 表示 UDP，@@ 表示 TCP。

3. 重启客户端 rsyslog 服务：

sudo systemctl restart rsyslog

五、验证配置是否成功

在客户端执行一条测试日志：

logger "This is a test message from client"

然后在日志服务器上查看对应日志文件：

ls /var/log/remote/cat /var/log/remote/CLIENT_HOSTNAME/logger.log

如果看到刚才发送的测试消息，说明配置成功！

六、进阶建议

• 使用 TLS 加密日志传输（防止敏感信息泄露）
• 结合 Logrotate 自动轮转日志，避免磁盘爆满
• 使用 ELK（Elasticsearch + Logstash + Kibana）或 Grafana Loki 实现可视化分析

总结

通过本教程，你已经掌握了如何配置 rsyslog配置 实现 日志远程传输，这是 系统日志管理 的基础技能。合理利用 Linux网络日志 服务，不仅能提升故障排查效率，还能增强系统的安全审计能力。赶快动手试试吧！