这几天调试网络设备和安全设备的过程中发现有时候看日志很不方便，便找了一个自建日志服务器的方法，写出来供大家备忘一下。

首先安装一台Linux服务器，这里以Centos 7.6为例，用这个操作系统的原因是它基于Red Hat，而且免费的……

1、 先来看看操作系统的版本

顺便记录一下查看linux系统版本的几种方法。

第一种：uname -a

第二种：cat /proc/version

第三种：cat /etc/redhat-release (仅适用于redhat系统)

这个显示的信息是比较准确的。

第四种：cat /etc/issue

不知道是我系统装的有问题，还是怎么滴，没显示出来

第五种：lsb_release –a

这个试了好多次，也不行，看来真是我装的有问题了………

好了，不计较这个问题了。

2、 安装syslog服务

通常情况下，linux服务器可以通过rsyslog来实现syslog服务，在Centos6以后，rsyslog都已经预装到系统中了。可以使用下列命令验证一下。

# rpm –qa | grep rsyslog

# rsyslogd –v

假如你的系统没有安装rsyslog，可使用yum –y install rsyslog进行安装，前提是你要配置一个可用的yum源。

3、 编辑syslog配置

接下来我们编辑一下配置文件，配置文件的路径是/etc/rsyslog.conf

1) 创建监听

红线部分的，要去掉#注释，其中$UDPServerRun 514表示监听UDP514端口，$inputTCPServerRun 514表示监听TCP514端口。

2) 创建日志模板

有人说要在GLOBAL DIRECTIVE后面加，我就加在监听后面，也可以使用。这里不深究了。$template是模板。RemoteHost是描述，可以修改。/log是日志保存的路径。%FROMHOST-IP%-%$YEAR%%$MONTH%%$DAY%.log表示日志名称以设备的IP地址开始，后面加上年月日，例如：127.0.0.1-20190901.log。

3) 编辑工作路径

为了方便查看，我把所有的日志都改到/log目录下了。

配置编辑完成，保存。

配置编辑完了，先不忙着启动服务。因为这个时候启动服务，会被本地防火墙拦截。我们先整理一下运行的环境。

4、 整理运行环境

1) 检查防火墙状态

因为是Centos7所以得用systemctl来查看

默认是开启的，我们通过systemctl将它关闭并且停止它运行

2) 关闭SELinux

编辑vim /etc/selinux/conifg

将SELinux设置为disabled

3) 将rsyslog设置为开机自启动

5、 启动rsyslog服务

6、 检查rsyslog服务状态

主要查看TCP和UDP的514端口

7、 测试查看日志

查看日志之前，我们要先选一台或多台设备，将日志服务器修改为你创建的这台syslog服务器。这里就不示意设备端配置了。我们只查看日志。

这里我只添加了一台设备，先来看一下这台防火墙的日志，IP地址掩去了……

看日志的时候呢，我们要用tail -f xxx.xxx.xxx.xxx-20190926.log来查看，否则日志变更不全自动更新的哦！

日志里关键信息掩去了，这里可以看到很多关于设备的日志信息，同时还包括防火墙拒绝的数据包日志信息，对于网络维护很有益处。希望能帮到大家。