linux 系统日志发送到日志服务器，日志服务器（linux 系统日志发送到日志服务器,日志服务器不存在）

在Linux系统中，我们可以使用rsyslog（系统日志服务）将系统日志发送到远程的日志服务器，如果日志服务器不存在，我们需要先设置一个日志服务器，以下是详细的步骤：

1. 配置本地Linux系统的rsyslog

在本地Linux系统中，我们需要编辑rsyslog的配置文件，使其能够将日志发送到远程服务器。

步骤1.1：打开rsyslog配置文件

使用以下命令打开rsyslog的配置文件：

sudo vi /etc/rsyslog.conf

步骤1.2：修改配置文件

在配置文件中，找到以下行：

#提供系统日志的任何程序都应将日志发送到localhost（即此计算机）。
#$InputRunFileMonitor

取消注释（删除行首的#号），并添加远程日志服务器的IP地址和端口（默认为514）：

#提供系统日志的任何程序都应将日志发送到localhost（即此计算机）。
$InputRunFileMonitor
*.@@远程日志服务器的IP地址514

保存并退出文件。

步骤1.3：重启rsyslog服务

使用以下命令重启rsyslog服务：

sudo systemctl restart rsyslog

2. 设置日志服务器

如果我们没有现成的日志服务器，我们可以在另一台Linux机器上设置一个。

步骤2.1：安装rsyslog服务

在远程Linux机器上，使用以下命令安装rsyslog服务：

sudo aptget install rsyslog

步骤2.2：配置防火墙

确保防火墙允许来自本地Linux系统的连接：

sudo ufw allow 514

步骤2.3：配置rsyslog接收日志

编辑rsyslog配置文件：

sudo vi /etc/rsyslog.conf

在文件末尾添加以下行，以指定日志存储的位置：

$ModLoad imtcp
$InputTCPServerRun 514
$template RemoteLogs,"/var/log/remote/%HOSTNAME%/%PROGRAMNAME%.log"
*.* ?RemoteLogs

保存并退出文件。

步骤2.4：重启rsyslog服务

使用以下命令重启rsyslog服务：

sudo systemctl restart rsyslog

现在，本地Linux系统会将日志发送到远程日志服务器，并在/var/log/remote目录下按主机名和程序名存储日志。