Ubuntu日志远程集中管理（手把手教你搭建rsyslog服务器实现Linux系统日志收集）

一、准备工作

你需要：

• 至少两台运行Ubuntu系统的机器（一台作为日志服务器，其余作为客户端）
• 确保网络互通，防火墙允许UDP/TCP 514端口通信
• 具备sudo权限

二、配置日志服务器（接收端）

我们以一台Ubuntu 22.04服务器作为日志服务器。首先安装并启用rsyslog（通常已预装）：

sudo apt updatesudo apt install rsyslog -y  

编辑rsyslog主配置文件，启用UDP和TCP监听：

sudo nano /etc/rsyslog.conf  

取消以下行的注释（删除行首的#），以启用514端口监听：

# provides UDP syslog receptionmodule(load="imudp")input(type="imudp" port="514")# provides TCP syslog receptionmodule(load="imtcp")input(type="imtcp" port="514")  

接下来，创建一个模板，用于按客户端IP分类存储日志。在配置文件末尾添加：

# 按客户端IP保存日志template(name="RemoteLogs" type="string"         string="/var/log/remote/%FROMHOST-IP%/%$YEAR%-%$MONTH%-%$DAY%.log")# 应用模板到所有远程日志*.* ?RemoteLogs& stop  

保存并退出，然后重启rsyslog服务：

sudo systemctl restart rsyslogsudo systemctl enable rsyslog  

如果启用了UFW防火墙，记得开放514端口：

sudo ufw allow 514/tcpsudo ufw allow 514/udp  

三、配置客户端（发送端）

在其他Ubuntu服务器（客户端）上，同样确保rsyslog已安装。编辑配置文件：

sudo nano /etc/rsyslog.conf  

在文件末尾添加以下行（假设日志服务器IP为192.168.1.100）：

# 发送所有日志到远程服务器（使用UDP）*.* @192.168.1.100:514# 或者使用TCP（更可靠，推荐）# *.* @@192.168.1.100:514  

保存后重启客户端rsyslog：

sudo systemctl restart rsyslog  

四、验证日志是否成功传输

在客户端生成一条测试日志：

logger "这是一条测试日志，用于验证Ubuntu日志远程集中管理是否生效"  

然后在日志服务器上查看对应IP的日志文件：

sudo tail -f /var/log/remote/192.168.1.101/2024-06-15.log  

如果看到刚才发送的日志内容，说明rsyslog配置教程成功！

五、进阶建议

- 使用TLS加密日志传输（防止敏感信息泄露）
- 配合Logrotate定期轮转日志，避免磁盘爆满
- 结合ELK（Elasticsearch + Logstash + Kibana）或Graylog实现可视化分析
- 定期备份/var/log/remote目录

通过以上步骤，你已经成功搭建了一个基于syslog服务器搭建的集中日志系统。这种方案成本低、配置简单，非常适合中小规模环境。掌握Linux系统日志收集技能，将大大提升你的运维效率和系统安全性。

提示：生产环境中建议使用TCP协议（@@）代替UDP（@），以确保日志不丢失。