假設(shè)我需要管理幾十臺服務(wù)器，那么我每天的重要工作就是查看這些服務(wù)器的日志，可是每臺服務(wù)器單獨(dú)登錄，并且查看日志非常煩瑣，我可以把幾十臺服務(wù)器的日志集中到一臺日志服務(wù)器上嗎？這樣我每天只要登錄這臺日志服務(wù)器，就可以查看所有服務(wù)器的日志，要方便得多。

如何實(shí)現(xiàn)日志服務(wù)器的功能呢？其實(shí)并不難，不過我們首先需要分清服務(wù)器端和客戶端。假設(shè)服務(wù)器端的服務(wù)器 IP 地址是 192.168.0.210，主機(jī)名是 localhost.localdomain；客戶端的服務(wù)器 IP 地址是 192.168.0.211，主機(jī)名是 www1。我們現(xiàn)在要做的是把 192.168.0.211 的日志保存在 192.168.0.210 這臺服務(wù)器上。實(shí)驗(yàn)過程如下：

#服務(wù)器端設(shè)定（192.168.0.210）：
[root@localhost ~]# vi /etc/rsyslog.conf
…省略部分輸出…
# Provides TCP syslog reception
$ModLoad imtcp
$InputTCPServerRun 514
#取消這兩句話的注釋，允許服務(wù)器使用TCP 514端口接收日志
…省略部分輸出…
[root@localhost ~]# service rsyslog restart
#重啟rsyslog日志服務(wù)
[root@localhost ~]# netstat -tlun | grep 514
tcp 0 0 0.0.0.0：514 0.0.0.0：* LISTEN
#查看514端口已經(jīng)打開
#客戶端設(shè)置（192.168.0.211）：
[root@www1 ~]# vi /etc/rsyslog.conf
#修改日志服務(wù)配置文件
*.* @@192.168.0.210：514
#把所有日志采用TCP協(xié)議發(fā)送到192.168.0.210的514端口上
[root@www1 ~]# service rsyslog restart
#重啟日志服務(wù)

這樣日志服務(wù)器和客戶端就搭建完成了，以后 192.168.0.211 這臺客戶機(jī)上所產(chǎn)生的所有日志都會記錄到 192.168.0.210 上。比如：

#在客戶機(jī)上(192.168.0.211)
[root@wwwl ~]# useradd zhangsan
#添加zhansan用戶提示符的主機(jī)名是www1)
#在限務(wù)器(192.168.0.210)上
[root@localhost ~]# vi /var/log/secure
#査看服務(wù)器的secure日志(注意:主機(jī)名是localhost)
Aug 8 23:00:57 wwwl sshd【1408]: Server listening on 0.0.0.0 port 22.
Aug 8 23:00:57 wwwl sshd[1408]: Server listening on :: port 22.
Aug 8 23:01:58 wwwl sshd[1630]: Accepted password for root from 192.168.0.101 port 7036 ssh2
Aug 8 23:01:58 wwwl sshd[1630]: pam_unix(sshd:session): session opened for user root by (uid=0)
Aug 8 23:03:03 wwwl useradd[1654]: new group: name=zhangsan, GID-505
Aug 8 23:03:03 wwwl useradd[1654]: new user: name=zhangsan, UXD=505, GID=505,
home=/home/zhangsan, shell=/bin/bash
Aug 8 23:03:09 wwwl passwd: pam_unix(passwd:chauthtok): password changed for zhangsan
#注意：查看到的日志內(nèi)容的主機(jī)名是www1，說明我們雖然查看的是服務(wù)器的日志文件，但是在其中可以看到客戶機(jī)的日志內(nèi)容

需要注意的是，日志服務(wù)是通過主機(jī)名來區(qū)別不同的服務(wù)器的。所以，如果我們配置了日志服務(wù)，則需要給所有的服務(wù)器分配不同的主機(jī)名。