rhel7日志服务器的部署

日志信息一般存在本机，但是如果被管理主机数量较大，使用日志服务器更有利于日志收集和集中管理，而且回溯性更强。下面简单介绍下在rhel7.0里的日志服务器部署：
1、修改客户端配置文件/etc/rsyslog.conf
在rules下面增加一行：

local7.debug                                           @10.41.5.239

这里的10.41.5.239为日志服务器的地址
2、配置服务器端配置文件/etc/rsyslog.conf
将注释掉的模块打开，修改结果如下所示：

#Provides UDP syslog reception
$ModLoad imudp
$UDPServerRun 514

#Provides TCP syslog reception
$ModLoad imtcp
$InputTCPServerRun 514

打开上面两个模块，意为允许接收客户端发来的日志
然后，配置rules
为了对不同的客户机在服务器端指定不同的日志文件，我们需要在服务器端都添加如下配置：

:fromhost,isequal,"bogon"                      /var/log/238
:fromhost,isequal,"bogon"                               ~     

意为将从主机名bogon机器过来的日志，放在后面指定的这个路径下。其中带~的那一行为新加的一行，目的就是从远端主机传过来的日志在写入238文件之后，将结束，不在继续写到messages这个文件中

3、修改服务器端的hosts 文件，因为bogon是谁，服务器并不知道。在/etc/hosts文件中添加：

10.41.5.238  bogon

3、完成以上两个配置之后，分别将服务重启以生效配置

systemctl restart rsyslog

4.然后将防火墙放开：

firewall-cmd --set-default-zone=trusted 

5、模拟日志进行测试

logger -p local7.debug 55555

6.此时查看服务器端是否有名为238的日志信息产生
经查，文件存在，且内容为：

Apr  3 13:58:39 bogon root: 55555