這幾天調試網絡設備和安全設備的過程中發現有時候看日志很不方便，便找了一個自建日志服務器的方法，寫出來供大家備忘一下。

首先安裝一臺linux服務器，這里以centos 7.6為例，用這個操作系統的原因是它基于Red Hat，而且免費的……

1、 先來看看操作系統的版本

順便記錄一下查看linux系統版本的幾種方法。

第一種：uname -a

第二種：cat /proc/version

第三種：cat /etc/redhat-release （僅適用于redhat系統）

這個顯示的信息是比較準確的。

第四種：cat /etc/issue

不知道是我系統裝的有問題，還是怎么滴，沒顯示出來

第五種：lsb_release –a

這個試了好多次，也不行，看來真是我裝的有問題了………

好了，不計較這個問題了。

2、 安裝syslog服務

通常情況下，linux服務器可以通過rsyslog來實現syslog服務，在Centos6以后，rsyslog都已經預裝到系統中了?？梢允褂孟铝忻铗炞C一下。

# rpm –qa | grep rsyslog

# rsyslogd –v

假如你的系統沒有安裝rsyslog，可使用yum –y install rsyslog進行安裝，前提是你要配置一個可用的yum源。

3、 編輯syslog配置

接下來我們編輯一下配置文件，配置文件的路徑是/etc/rsyslog.conf

1) 創建監聽

紅線部分的，要去掉#注釋，其中$UDPServerRun 514表示監聽UDP514端口，$inputTCPServerRun 514表示監聽TCP514端口。

2) 創建日志模板

有人說要在GLOBAL DIRECTIVE后面加，我就加在監聽后面，也可以使用。這里不深究了。$template是模板。RemoteHost是描述，可以修改。/log是日志保存的路徑。%FROMHOST-IP%-%$YEAR%%$MONTH%%$DAY%.log表示日志名稱以設備的IP地址開始，后面加上年月日，例如：127.0.0.1-20190901.log。

3) 編輯工作路徑

為了方便查看，我把所有的日志都改到/log目錄下了。

配置編輯完成，保存。

配置編輯完了，先不忙著啟動服務。因為這個時候啟動服務，會被本地防火墻攔截。我們先整理一下運行的環境。

4、 整理運行環境

1) 檢查防火墻狀態

因為是Centos7所以得用systemctl來查看

默認是開啟的，我們通過systemctl將它關閉并且停止它運行

2) 關閉SELinux

編輯vim /etc/selinux/conifg

將SELinux設置為disabled

3) 將rsyslog設置為開機自啟動

5、 啟動rsyslog服務

6、 檢查rsyslog服務狀態

主要查看TCP和UDP的514端口

7、 測試查看日志

查看日志之前，我們要先選一臺或多臺設備，將日志服務器修改為你創建的這臺syslog服務器。這里就不示意設備端配置了。我們只查看日志。

這里我只添加了一臺設備，先來看一下這臺防火墻的日志，IP地址掩去了……

看日志的時候呢，我們要用tail -f xxx.xxx.xxx.xxx-20190926.log來查看，否則日志變更不全自動更新的哦！

日志里關鍵信息掩去了，這里可以看到很多關于設備的日志信息，同時還包括防火墻拒絕的數據包日志信息，對于網絡維護很有益處。希望能幫到大家。