CentOS日志远程集中管理（手把手教你搭建rsyslog日志服务器）

一、环境准备

• 一台 CentOS 7/8/Stream 服务器作为日志服务器（IP：192.168.1.100）
• 若干台 CentOS 客户端（例如 IP：192.168.1.101、192.168.1.102）
• 确保所有机器网络互通，防火墙允许 UDP/TCP 514 端口通信

二、配置日志服务器（接收端）

1. 编辑 rsyslog 配置文件，启用 UDP 和 TCP 接收模块：

sudo vi /etc/rsyslog.conf

2. 找到以下两行（通常在文件开头附近），去掉前面的注释符号 #：

# Provides UDP syslog reception$ModLoad imudp$UDPServerRun 514# Provides TCP syslog reception$ModLoad imtcp$InputTCPServerRun 514

3. 在文件末尾添加日志存储规则，按客户端 IP 分目录保存日志：

# Remote logging from clients$template RemoteLogs,"/var/log/remote/%HOSTNAME%/%PROGRAMNAME%.log"*.* ?RemoteLogs& ~

说明：%HOSTNAME% 会自动替换为客户端主机名，便于区分来源。

4. 创建日志目录并重启服务：

sudo mkdir -p /var/log/remotesudo systemctl restart rsyslogsudo systemctl enable rsyslog

5. 开放防火墙端口（如果启用了 firewalld）：

sudo firewall-cmd --permanent --add-port=514/udpsudo firewall-cmd --permanent --add-port=514/tcpsudo firewall-cmd --reload

三、配置客户端（发送端）

在每台需要发送日志的 CentOS 客户端上操作：

1. 编辑 rsyslog 配置文件：

sudo vi /etc/rsyslog.conf

2. 在文件末尾添加以下行（假设日志服务器 IP 为 192.168.1.100）：

# Send logs to remote server via UDP*.* @192.168.1.100:514# 或者使用 TCP（更可靠，推荐）# *.* @@192.168.1.100:514

注意：@ 表示 UDP，@@ 表示 TCP。

3. 重启客户端 rsyslog 服务：

sudo systemctl restart rsyslog

四、验证日志是否成功传输

在日志服务器上查看是否有新日志生成：

ls /var/log/remote/# 应该看到以客户端主机名命名的文件夹# 实时查看某台客户端的 auth 日志tail -f /var/log/remote/client01/auth.log

你也可以在客户端手动触发一条日志进行测试：

logger "This is a test message for remote logging"

然后立即在服务器端检查是否收到该消息。

五、常见问题与优化建议

• 日志未收到？ 检查防火墙、SELinux 是否阻止了 514 端口；确认 rsyslog 服务是否运行。
• 日志重复？ 确保客户端配置中没有重复的转发规则。
• 安全性？ 生产环境中建议使用 TLS 加密传输（需额外配置 rsyslog 的 gtls 模块）。
• 磁盘空间？ 定期使用 logrotate 清理旧日志，避免占满磁盘。

通过以上步骤，你就成功实现了 CentOS系统日志 的远程集中管理。这种架构不仅便于监控，还能在服务器宕机后保留关键日志，是运维工作的基础建设之一。

掌握 rsyslog配置 技能，将大大提升你在 Linux 系统管理和安全审计方面的能力。快动手试试吧！