本文将介绍如何搭建一个中心系统日志(Syslog)服务器。

系统统日志(Syslog)协议简介

Syslog是一种在网络中传递消息的标准。它采用Client/Server架构：syslog的发送者（Client）向接受者（Server）发送短消息（一般小于1KB）。现在Syslog被应用于很多系统中：OS，Router，Switch等等。

日志严重程度(severity levels)：

0 - Emergency (emerg)
1 - Alerts (alert)
2 - Critical (crit)
3 - Errors (err)
4 - Warnings (warn)
5 - Notification (notice)
6 - Information (info)
7 - Debug (debug)

通常系统会将进程分组，同组进程的日志将具有相同的组标识（称为facility），这样可以在一定程度上对日志分类。常用的facility包括：

auth - authentication (login) messages
cron - messages from the memory-resident scheduler
daemon - messages from resident daemons
kern - kernel messages
lpr - printer messages (used by JetDirect cards)
mail - messages from Sendmail
user - messages from user-initiated processes/apps
local0-local7 - user-defined
syslog - messages from the syslog process itself 

搭建中心系统日志(Syslog)服务器有什么好处？

一般系统缺省会将日志发送到本地的Syslog服务器上，并保存到本地存储或者直接输出在屏幕等终端设备上。建立一个统一的日志服务器，并且将所有的日志发送到该服务器具有如下好处：

1. 方便集中日志管理（存储、备份、查询，等等）。
2. 对于没有终端（Console）的设备，方便查看日志。
3. 日志更安全：一旦黑客入侵其中某个设备，通常会将日志清楚。将日志输出到中心服务器，有利于保护日志的完整性。

搭建中心系统日志(Syslog)服务器

如果你的系统使用sysklogd，请参考如下配置：

1. 修改/etc/sysconfig/syslog，替换：

   SYSLOGD_OPTIONS="-m 0"

   为

   SYSLOGD_OPTIONS="-rm 0"

3. 重新启动syslog服务：

   service syslog restart

注意防火墙设置：如果你的Client是192.168.1.2， Syslog Server是192.168.1.1，可以参考如下的设置：

iptables -I INPUT -p udp -i eth0 -s 192.168.1.2 -d 192.168.1.1 --dport 514 -j ACCEPT

配置其他设备使用该系统日志(Syslog)服务器

syslogd的配置文件(如：/etc/syslog.conf)一般有如下语法：

facility.severity    log-file-name

将所有Kernel日志写入/var/log/kernel.log：

kern.*    /var/log/kernel.log

将所有日志写入/var/log/kernel.log：

*.*    /var/log/all.log

将所有日志发送到远程日志服务器：

*.*    @hostname

注意防火墙设置：如果你的Client是192.168.1.2， Syslog Server是192.168.1.1，可以参考如下的设置：

iptables -I OUTPUT -p udp -i eth0 -s 192.168.1.2 -d 192.168.1.1 --dport 514 -j ACCEPT 

参考资料

1. 维基百科上的Syslog介绍。
2. Syslog daemon。
3. Syslog-ng日志系统 - 一个增加版的日志系统。
4. Rsyslog - 多线程、灵活的日志系统。