Centos日志监控实战指南（手把手教你实现系统日志集成与集中管理）

环境准备

本教程使用以下组件：

• 日志发送端：CentOS 7/8 服务器（安装 rsyslog）
• 日志接收端：另一台 CentOS 服务器（作为日志中心）
• 网络互通，防火墙开放 UDP 514 端口（或 TCP 514）

步骤一：配置日志接收服务器（日志中心）

1. 登录你的日志中心服务器（假设 IP 为 192.168.1.100），编辑 rsyslog 配置文件：

sudo vi /etc/rsyslog.conf

2. 找到以下两行并取消注释（去掉前面的 #），以启用 UDP 监听：

# Provides UDP syslog reception$ModLoad imudp$UDPServerRun 514

如果你更倾向于使用 TCP（更可靠），则取消注释以下内容：

# Provides TCP syslog reception$ModLoad imtcp$InputTCPServerRun 514

3. 在文件末尾添加模板，用于按主机名分类存储日志：

# Template to separate logs by hostname$template RemoteLogs,"/var/log/remote/%HOSTNAME%/%PROGRAMNAME%.log"*.* ?RemoteLogs& stop

4. 创建日志目录并重启 rsyslog 服务：

sudo mkdir -p /var/log/remotesudo systemctl restart rsyslogsudo systemctl enable rsyslog

5. 开放防火墙端口（以 firewalld 为例）：

sudo firewall-cmd --permanent --add-port=514/udpsudo firewall-cmd --reload

步骤二：配置日志发送服务器

在每一台需要被监控的 CentOS 服务器上操作：

1. 编辑 rsyslog 配置文件：

sudo vi /etc/rsyslog.conf

2. 在文件末尾添加以下行（假设日志中心 IP 是 192.168.1.100）：

# Send all logs to central server via UDP*.* @192.168.1.100:514# 如果使用 TCP，则用 @@# *.* @@192.168.1.100:514

3. 重启 rsyslog 服务：

sudo systemctl restart rsyslog

验证日志是否成功传输

在日志中心服务器上，查看是否有来自客户端的日志：

ls /var/log/remote/# 应该看到以客户端主机名命名的文件夹# 查看具体日志tail -f /var/log/remote/client-hostname/messages.log

如果看到日志内容，说明 Centos日志监控 和 系统日志集成 已成功部署！

进阶建议

- 使用 ELK（Elasticsearch + Logstash + Kibana） 或 Graylog 实现更强大的 服务器日志分析 和可视化。
- 配置 TLS 加密传输，保障日志安全。
- 设置 logrotate 自动轮转远程日志，防止磁盘爆满。

通过以上步骤，你已经完成了基础的 日志集中管理 架构搭建。后续可根据业务需求不断优化扩展，打造属于你自己的运维监控体系！