RockyLinux日志远程集中管理（从零开始搭建企业级日志中心）

二、准备工作

你需要准备以下环境：

• 至少两台安装了 RockyLinux 8/9 的服务器
• 其中一台作为日志服务器（假设IP为 192.168.1.100）
• 其他作为日志客户端（例如IP为 192.168.1.101、192.168.1.102 等）
• 确保防火墙允许 UDP/TCP 514 端口通信（建议使用 TCP 更可靠）

三、配置日志服务器（接收端）

1. 登录到你的日志服务器（192.168.1.100），确认 rsyslog 已安装：

sudo dnf install rsyslog -y

2. 编辑 rsyslog 配置文件，启用 TCP 监听：

sudo vi /etc/rsyslog.conf

在文件中找到以下两行（通常被注释掉），取消注释并修改为：

# provides TCP syslog receptionmodule(load="imtcp")input(type="imtcp" port="514")

3. 创建一个模板，用于按客户端IP分类存储日志（可选但推荐）：

# 在 /etc/rsyslog.conf 文件末尾添加$template RemoteLogs,"/var/log/remote/%HOSTNAME%/%PROGRAMNAME%.log"*.* ?RemoteLogs& stop

4. 重启 rsyslog 服务并设置开机自启：

sudo systemctl restart rsyslogsudo systemctl enable rsyslog

5. 开放防火墙端口（如果启用了 firewalld）：

sudo firewall-cmd --permanent --add-port=514/tcpsudo firewall-cmd --reload

四、配置日志客户端（发送端）

1. 登录任意一台客户端服务器（如 192.168.1.101），同样确保 rsyslog 已安装。

2. 编辑客户端的 rsyslog 配置文件：

sudo vi /etc/rsyslog.conf

3. 在文件末尾添加以下行，将所有日志发送到日志服务器（使用 TCP 协议）：

*.* @@192.168.1.100:514

说明：单个 @ 表示 UDP，两个 @@ 表示 TCP。推荐使用 TCP 保证日志不丢失。

4. 重启客户端的 rsyslog 服务：

sudo systemctl restart rsyslog

五、验证日志是否成功传输

在客户端执行一条测试日志：

logger "This is a test message from client"

然后在日志服务器上查看对应目录：

ls /var/log/remote/# 应该能看到以客户端主机名命名的文件夹

进入该目录即可看到来自客户端的日志文件。

六、进阶建议

- 使用 TLS 加密日志传输，防止敏感信息泄露
- 配合 ELK（Elasticsearch + Logstash + Kibana）或 Grafana Loki 实现可视化分析
- 定期轮转和清理日志，避免磁盘爆满
- 设置告警规则，对关键错误日志实时通知

结语

通过以上步骤，你已经成功搭建了一个基于 RockyLinux 的日志远程集中管理系统。这项技术不仅能提升你的运维效率，也是构建安全、可靠 IT 基础设施的重要一环。掌握 远程日志集中、rsyslog配置 和 系统日志监控 技能，将为你在 DevOps 或 SRE 职业道路上打下坚实基础。