使用syslog-ng可构建高效集中式日志系统,通过服务端配置网络源接收日志、客户端转发至中心服务器,实现日志统一管理。1. 服务端安装syslog-ng并配置net_source监听514端口,定义按主机名存储的日志目标;2. 客户端配置指向服务端IP的tcp传输,重启服务发送日志;3. 开启防火墙放行UDP/TCP 514端口;4. 可选TLS加密、过滤规则、日志滚动及ELK对接提升安全性与可维护性;5. 通过netstat、systemctl status和tail验证服务状态与日志写入情况,排查网络、时间同步与配置语法问题。该方案适用于中小型Linux环境,显著提升运维效率。
在大规模 Linux 环境中,分散的日志管理效率低、排查问题困难。使用 syslog-ng 构建集中式日志系统,可以统一收集、过滤和存储来自多台服务器的日志,提升运维效率和安全审计能力。下面介绍如何快速搭建一个基于 syslog-ng 的集中式日志服务。
在作为日志中心的服务器上安装并配置 syslog-ng,使其监听网络日志请求。
1. 安装 syslog-ng
# Ubuntu/Debian apt-get install syslog-ngyum install syslog-ng
2. 编辑主配置文件:通常位于 /etc/syslog-ng/syslog-ng.conf
添加如下内容以启用 UDP 和 TCP 日志接收:
source net_source { udp(ip(0.0.0.0) port(514)); tcp(ip(0.0.0.0) port(514)); };destination hosts_log {
file("/var/log/remote/${HOST}/system.log" create_dirs(yes));
};
log {
source(net_source);
destination(hosts_log);
};
说明:
- net_source 定义了监听 514 端口的 UDP/TCP 输入源。
- destination 按主机名分目录存储日志,便于管理。
- 可根据需要增加时间滚动或按日分割。
3. 启动并启用服务
systemctl enable syslog-ng systemctl restart syslog-ng确保防火墙放行 514 端口:
# firewalld firewall-cmd --permanent --add-port=514/udp firewall-cmd --permanent --add-port=514/tcp firewall-cmd --reload在需要上报日志的 Linux 主机上配置 syslog-ng 客户端,将本地日志转发到中心服务器。
1. 安装 syslog-ng(同服务端步骤)
2. 修改配置文件,添加远端日志目标:
destination log_server { tcp("192.168.10.100" port(514)); };log {
source(s_src);
destination(log_server);
};
其中 192.168.10.100 是日志中心 IP。如果未使用默认 source,需确认 s_src 已定义(通常包含本地日志输入)。
3. 重启客户端服务
systemctl restart syslog-ng为提高可用性和可维护性,可进行以下优化:
检查服务是否正常运行:
# 查看监听状态 netstat -tuln | grep 514systemctl status syslog-ng
tail /var/log/remote/client-hostname/system.log
若无日志到达,检查:
- 客户端和服务端时间是否同步
- 网络连通性和防火墙设置
- syslog-ng 配置语法(可用 syslog-ng --syntax-only 验证)
基本上就这些。syslog-ng 配置灵活、性能稳定,适合中小型环境快速构建集中日志系统。合理规划结构后,能显著提升日志检索和故障响应效率。
以上就是Linux 运维:如何使用 syslog-ng 构建集中式日志系统的详细内容,更多请关注php中文网其它相关文章!
每个人都需要一台速度更快、更稳定的 PC。随着时间的推移,垃圾文件、旧注册表数据和不必要的后台进程会占用资源并降低性能。幸运的是,许多工具可以让 Windows 保持平稳运行。
广告
收藏
收藏
收藏
Copyright 2014-2025 https://www.php.cn/ All Rights Reserved | php.cn | 湘ICP备2023035733号
284
