centos syslog如何兼容其他系统

CentOS Syslog 兼容其他系统的实践指南

想把不同系统、设备的日志都归拢到一处，实现统一管理？以 CentOS 上的 rsyslog 作为日志汇聚中心，是个既经典又高效的方案。下面这份实践指南，将带你一步步打通从网络设备、Windows 到各类 Linux 客户端的日志收集链路。

一 总体思路与网络协议

整个架构的核心思路其实很清晰：

• 以 CentOS 上的 rsyslog 作为中心服务器，开启 UDP/TCP 514 端口的监听，充当日志的“总入口”。
• 其他所有系统，无论是 Linux 服务器、Windows 主机，还是路由器、交换机等网络设备，都按照标准的 RFC3164 或 RFC5424 协议，把日志发送到这个中心点。
• 在 rsyslog 服务器上，再根据日志的设施（facility）和严重性（severity）进行灵活的分流，可以写入不同的本地文件，或者继续转发到更上游的系统。必要时，使用模板功能统一格式和存储路径。

典型的动作语法不外乎这几种：写入本地文件（比如经典的 /var/log/messages）、转发到远程（用 @ 表示 UDP，@@ 表示 TCP，默认端口 514）、或者通过管道交给其他程序处理。这套组合拳，足以覆盖绝大多数系统和设备的通用日志收集需求。

二 在 CentOS 上启用接收与转发

万事开头难？其实配置中心服务器也就几步。

• 安装与启用服务
  • 安装：sudo yum install rsyslog
  • 启动并设为开机自启：sudo systemctl enable --now rsyslog
• 启用网络接收（两种语法选一种，建议 TCP 和 UDP 都启用）
  • 新式语法（推荐）：

    module(load="imudp")
    input(type="imudp" port="514")
    module(load="imtcp")
    input(type="imtcp" port="514")

  • 旧式语法（兼容老版本）：

    $ModLoad imudp
    $UDPServerRun 514
    $ModLoad imtcp
    $InputTCPServerRun 514

• 转发到上游 Syslog（以 UDP 转发为例）

  *.* @192.0.2.10:514

• 防火墙放行

  sudo firewall-cmd --permanent --add-port=514/udp
  sudo firewall-cmd --permanent --add-port=514/tcp
  sudo firewall-cmd --reload

• 验证配置是否生效

  logger "This is a test from $(hostname)"
  tail -f /var/log/messages

走完以上步骤，服务端的核心接收与转发功能就算配置妥当了。

三 客户端与多系统对接要点

中心搭好了，接下来就得把各路“诸侯”接进来。不同系统的对接方式略有差异。

• Linux 客户端
  • 编辑 /etc/rsyslog.conf 或 /etc/rsyslog.d/50-default.conf 文件，添加转发规则：

    *.* @syslog.example.com:514 # UDP 方式
    *.* @@syslog.example.com:514 # TCP 方式

  • 重启服务：sudo systemctl restart rsyslog
• Windows 客户端
  • 可以使用 evtsys 这类工具，将 Windows 事件日志转换成 Syslog 格式发出（通常走 UDP 514）。
    • 将 evtsys.exe 放到 C:\Windows\System32 目录下。
    • 在管理员命令行中执行：

      evtsys.exe -i -s 5 -h 192.0.2.10
      net start evtsys

• 网络设备（路由器/交换机/防火墙等）
  • 以 Cisco 设备为例，典型配置如下：

    logging host 192.0.2.10 transport udp port 514
    logging facility local7
    logging trap informational

• 应用与文件日志
  • 对于写入特定文件的业务日志，可以用 rsyslog 的 imfile 模块监控并转发：

    module(load="imfile")
    input(type="imfile"
          File="/var/log/myapp.log"
          Tag="myapp"
          StateFile="stat-myapp"
          Severity="info"
          Facility="local0")
    local0.* @@192.0.2.10:514

这样一来，从 Linux、Windows 到网络设备，乃至自定义的应用日志文件，就都能汇聚到中心服务器了。

四 兼容性与格式处理

把日志收上来只是第一步，如何管理得井井有条才是关键。这里有几个需要特别注意的兼容性和优化点。

• 协议与端口
  • 同时开放 UDP 和 TCP 的 514 端口是稳妥的做法。TCP 传输更可靠，应优先使用；但对于一些只支持 UDP 的旧设备，保留 UDP 通道是必要的。
• 消息格式
  • 你会遇到两种主流格式：传统的 RFC3164（旧式 BSD 格式）和更现代的 RFC5424（结构化格式，包含版本、时间、主机、应用、消息ID等字段）。好在 rsyslog 能同时处理两者。如果后续需要做日志解析，可以考虑在上游统一转换为 RFC5424 格式，会方便很多。
• 模板与路径隔离
  • 强烈建议为远程发来的日志建立清晰的目录结构，按主机名或程序名分类存放，避免和本地日志混在一起。例如：

    $template RemoteLogs,"/var/log/remote/%HOSTNAME%/%PROGRAMNAME%.log"
    *.* ?RemoteLogs
    & ~

  • 如果想按来源 IP 地址归档，可以这样设置：

    $template IpTemplate,"/var/log/remote/%FROMHOST-IP%.log"
    *.* ?IpTemplate
    & ~

• 过滤与分流
  • 基于设施和级别进行过滤分流，能让日志管理事半功倍。比如，把认证相关的日志单独存放，或者将系统信息日志排除掉邮件、认证和计划任务的噪音：

    authpriv.* /var/log/auth.log
    *.info;mail.none;authpriv.none;cron.none /var/log/messages

• 安全与合规
  • 安全无小事。务必仅在内网环境开放 514 端口。如果日志内容敏感或需要跨公网传输，务必启用 rsyslog 支持的 TLS/SSL 加密。此外，对敏感日志文件设置严格的访问权限和合理的保留周期策略，也是合规的基本要求。