Linux系统日志配置远程Syslog采集

本文将指引你：如何对Linux系统日志进行采集，并通过Syslog协议，自动实时的发送到远程的集中日志分析中心，便于集中式的日志存储和管理，提高IT的运维效率。

第一步：创建Liunx系统日志采集配置

新建Rsyslog的子配置文件，他通常在/etc/rsyslog.d下，需要/etc/rsyslog.conf去包含这个目录下的子配置文件：

vim /etc/rsyslog.d/linux-biglog.conf

复制以下内容到linux-biglog.conf，注意注释部分的修改：

## 定义日志格式模板：
$template BiglogFormatLinux,"%msg%\n"

## 注意syslog日志服务器接收地址，根据实际情况修改：
*.*  @10.x.x.x:514;BiglogFormatLinux

注：通过Rsyslog配置日志接收端的时候，如上示例@10.x.x.x:514，用于指定接收日志的服务器的协议、IP地址和端口号。使用@代表走UDP协议，使用@@代表走TCP协议，冒号后面的514代表接收端口。

第二步：重启Rsyslog服务，日志采集开始工作

service rsyslog restart

此时可以通过观察系统中的Rsyslog日志，确定是否正常工作。

cat /var/log/messages |grep rsyslog