系统日志是从 Linux/Unix 设备和其他网络设备(如交换机、路由器和防火墙)生成的日志 可以通过将 syslog 聚合到称为 syslog 服务器、syslog 守护程序或 syslogd 的服务器来集中 syslog。在TCP、UDP和RELP协议的帮助下,系统日志从设备传输到系统日志守护程序。
用户数据报协议(UDP)
UDP 是一种无连接且不可靠的协议,因此,发送到 syslog 守护程序的 syslog 消息不会返回任何回执确认,默认情况下,通过 UDP 协议的 syslog 传输通过端口 514 进行。但是,用户始终可以更改此端口号。
通常不建议使用 UDP 进行传输,因为 syslog 服务器可能无法正确接收 syslog 数据包,并且可能会丢失重要信息。
您必须将服务器配置为充当 syslog 守护程序,方法是使其能够侦听 UDP 端口 514。
- 在终端中打开 etc/syslog.conf 文件。
- 识别以下语句并取消注释。
$ModLoad imudp
$UDPServerRun 514
- 重新启动计算机并检查是否应用了更改。
传输控制协议(TCP)
TCP 是一种面向连接的可靠传输协议,可以使用相同的端口 514 将 syslog 消息发送到 syslog 守护程序。默认情况下,TCP 用于 rsyslog 和 syslog-ng 等 syslog 收集工具中的数据传输。syslogd 会为收到的每条系统日志消息发送确认。这可确保所有 sysog 消息都存储在单个存储库中。
您可以使用以下命令将服务器配置为充当 syslog 守护程序,并使其能够侦听 TCP 端口 514。
- 在终端中打开 etc/syslog.conf 文件。
- 识别以下语句并取消注释。

本文介绍了如何在Linux/Unix系统中通过TCP、UDP和RELP协议传输系统日志,强调了TCP的可靠性以及UDP的潜在问题。同时推荐了EventLogAnalyzer这样的自动化工具来管理和分析系统日志以提高故障排除效率和安全管理。
314

被折叠的 条评论
为什么被折叠?



