1.使用 进行日志集中管理

C/S 架构：客户端将其日志上传到服务器端，通过对服务器端日志的查询，来实现对其他客户端的日志进行集中管理

2.两台机器：

（server）host-5(192.168.1.2)<------------>(192.168.1.3)host-6（client）将 host-6上的日志传输到 host-5上

3.实验步骤

 1）安装软件：#yum -y instart rsyslog

 2）在服务器端：

 编辑配置文件：vim /etc/rsyslog.conf

注：日志的传输方式有三种：TCP、UDP、RELP

UDP 传输， 但信息有损耗

TCP 明文传输，只在特定情况下丢失信息，被广泛使用

RELP 传输，不会丢失信息，但只在 rsyslogd 3.15.0 及以上版本中可用

 3）启用三种传输方式

注：如果采用 relp 传输方式，在服务器和客户端都需安装：

#yum -y install rsyslog-relp

 启用 UDP 传输方式：取消 15、16 行的注释

 启用 TCP 传输方式：取消 19、20 行的注释

注：端口可自己改，要确定/etc/sysconfig/rsyslog配置文件下的监听端口是否一致；注意之前若采用的是udp传输，改tcp传输需注释之前的udp传输。

 启用 RELP 传输方式：$ModLoad imrelp

                     $InputRELPServerRun 8848

 4）开启传输端口监听

 #vim /etc/sysconfig/rsyslog

 SYSLOGD_OPTIONS="-r514 -c2"

UDP

TCP

RELE

注：-r：指定监听端口

   -c2：使用兼容模式

 5）重启服务：systemctl restart rsyslog

1. 6）客户端配置：
2. vim /etc/rsyslog.conf
3. 在最后添加
4. 使用哪种方式进行日志传输

 UDP 传输：*.* @192.168.1.2:514

 TCP 传输：*.* @@192.168.1.2:514

 RELP 传输：添加两行：$ModLoad omrelp

                      *.* :omrelp:192.168.1.2:2514

 7）客户端重启服务：systemctl restart rsyslog

4.测试

 在客户端生成一条日志，看服务器端是否接受到这个日志

 在客户端：logger -t kern -p err "hello,wahaha"

UDP

TCP

RELP

 在服务器端：tail -f /var/log/messages

UDP

TCP

RELP

注：如果采用 relp 传输方式(注释之前的传输方式)

 在服务器端：除了修改/etc/rsyslog 中的传输方式外，还要修改/etc/sysconfig/rsyslog 中监听的端口号