一、为什么需要Syslog日志服务器？

现代IT环境中，每个系统组件都会产生大量日志：

• 服务器系统日志（/var/log/）
• 应用程序日志（Nginx/Apache/Tomcat等）
• 安全审计日志（auditd）

通过搭建Syslog服务器可以实现：

1. 日志集中存储，避免单点丢失
2. 统一格式标准化处理
3. 便于安全审计与故障排查

二、环境准备

以CentOS 7云服务器为例：

# 系统检查
uname -a
cat /etc/redhat-release

# 确保时间同步
yum install -y ntp
systemctl start ntpd
systemctl enable ntpd

三、Rsyslog安装配置

现代Linux系统默认使用Rsyslog替代传统syslog：

1. 安装Rsyslog

yum install -y rsyslog
systemctl start rsyslog
systemctl enable rsyslog

2. 配置服务端（接收端）

编辑/etc/rsyslog.conf：

# 启用UDP日志接收
module(load="imudp")
input(type="imudp" port="514")

# 启用TCP日志接收（更可靠）
module(load="imtcp")
input(type="imtcp" port="514")

# 定义日志存储模板
$template RemoteLogs,"/var/log/remote/%HOSTNAME%/%PROGRAMNAME%.log"
*.* ?RemoteLogs

3. 创建日志目录

mkdir -p /var/log/remote
chmod -R 775 /var/log/remote
semanage fcontext -a -t var_log_t "/var/log/remote(/.*)?"
restorecon -Rv /var/log/remote

四、客户端配置

在需要收集日志的客户端机器上：

# 修改/etc/rsyslog.conf
*.* @192.168.1.100:514  # UDP方式
*.* @@192.168.1.100:514 # TCP方式

建议对关键日志使用TCP传输，避免丢包。

五、高级配置技巧

1. 日志轮转配置

创建/etc/logrotate.d/remote：

/var/log/remote/*/*.log {
    daily
    missingok
    rotate 30
    compress
    delaycompress
    sharedscripts
    postrotate
        /bin/systemctl reload rsyslog > /dev/null 2>&1 || true
    endscript
}

2. 防火墙配置

firewall-cmd --permanent --add-port=514/tcp
firewall-cmd --permanent --add-port=514/udp
firewall-cmd --reload

3. 使用TLS加密（生产环境必选）

生成证书后配置：

# /etc/rsyslog.conf
global(
    DefaultNetstreamDriver="gtls"
    DefaultNetstreamDriverCAFile="/etc/pki/tls/certs/ca.pem"
    DefaultNetstreamDriverCertFile="/etc/pki/tls/certs/server-cert.pem"
    DefaultNetstreamDriverKeyFile="/etc/pki/tls/certs/server-key.pem"
)

六、日志监控与分析

推荐组合方案：

• ELK Stack：Elasticsearch+Logstash+Kibana
• Grafana Loki：轻量级日志聚合系统
• Splunk：企业级商业解决方案

对于中小规模环境，可使用logwatch进行基础分析：

yum install -y logwatch
/usr/sbin/logwatch --output mail --format html --range yesterday