Syslog_ng 作为下一代的系统日志记录工具，兼容syslog，配置更为清晰灵活，采用tcp协议，支持正则消息过滤和多种归档方式。

1、环境

Linux主机：CentOS 5.3  ，ip为 192.168.92.1
syslog服务器 ：   ，ip为 192.168.92.3

2、软件安装

开源版本下载页面 ：https://www.balabit.com/network-security/syslog-ng/opensource-logging-system/ ，可以根据你的系统选择相应的版本。
安装方法非常简单，比如syslog-ng-client-3.0.4-1.rhel5.i386.rpm ，使用rpm -ivh syslog-ng-client-3.0.4-1.rhel5.i386.rpm 就安装上了，syslog_NG会移除系统日志记录的服务，然后开启syslog-ng服务。

3、 syslog-ng配置

软件默认的安装目录是 /opt/syslog-ng ，配置文件在 /opt/syslog-ng/etc 目录下。
syslog是使用UDP协议使用的目的端口是514，syslog_ng通过TCP传送消息，没有一个标准的端口，当然你也可以设置使用514端口或者别的。
Syslog.conf 用的格式为<设备>.<严重性>.<动作>，Syslog_ng.conf用的格式为 {Source;filter;destination;}。其中的每一个字段必须在syslog_ng.conf 文件中定义。

• 定义将用的远端目的地址

默认的命名目的地的格式为d_<name>，这不是必须的。在syslog_ng.conf文件中定义的最后一个目的地的后面加入下面的命令行：
destination d_lab { tcp("192.168.92.3" port(514) ) ; };

• 防火墙配置

linux 主机：
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
                     iptables -A OUTPUT -p tcp -d 192.168.92.3 --dport 514 -j ACCEPT                  
        syslog服务器:
iptables -A INPUT -p tcp -s 192.168.92.0/24 --dport 514 -j ACCEPT

• 修改syslog_ng.conf，配置过滤

在过滤器部分里可以定义任何药应用到日志上的过滤器，下面的过滤器将会触发所有的严重性级别从emerg(0)到info(6)的日志消息，基本包括了除 调试外所有的消息。名字以f_开头是通行的做法。定义一个名字为f_no_debug的过滤器。       
filter f_no-debug {level(info..emerg);};

• 修改syslog_ng.conf,添加log命令行

log { source(s_local);filter(f_no-debug);destination(d_lab);};
这个命令设置信息源为s_local,使用我刚才定义的过滤器f_no-debug和目的地d_lab。

• 重新启动syslog-ng服务

在centos下使用rpm包安装后，使用 命令 service syslog-ng start  就可以启动了。

• 测试

在Linux下可以使用logger来生成测试信息，其格式为 logger  -p facility.severity message ，示例：
logger  -p cron.emerg test message here