约定发送syslog的设备为Device，转发syslog的设备为Relay，接收syslog的设备为Collector。Relay本身也可以发送自身的syslog给Collector，这个时候它表现为一个Device。Relay也可以只转发部分接收到的syslog消息，这个时候它同时表现为Relay和Collector。

syslog消息发送到Collector的UDP514端口，不需要接收方应答，RFC3164建议Device也使用514作为源端口。规定syslog消息的UDP报文不能超过1024字节，并且全部由可打印的字符组成。完整的syslog消息由3部分组成，分别是PRI、HEADER和MSG。大部分syslog都包含PRI和MSG部分，而HEADER可能没有。

二、配置syslog服务端和客户端，实现日志转发

环境：ubantu16.04

1、服务端

<1>修改/etc/default/rsyslog

>修改/etc/sysconf/syslog修改SYSLOGD_OPTIONS为"-r-x-m0"

如果指定只接受某个或多个ip过来的日志，例"-s168.1.1.1:168.1.1.2"

>修改/etc/rsyslog.conf

$UDPServerRun514

syslog.info;syslog.!err;syslog.!crit;syslog.!alert/var/log/mylog#info信息记录到日志服务器的/var/log/mylog中

syslog.err/var/log/testerror#error信息记录到日志服务器的/var/log/testerror中2、客户端

修改/etc/syslog.conf添加

$UDPServerRun514

在末尾增加这两句syslog.info@IP（IP为服务端IP地址）

3、服务重启

在客户端运行下面代码，可在服务端/var/log/mylog中看到日志已经存入到服务端

intmain(intargc,char*argv[])

//openlog(argv[0],LOG_CONS|LOG_PID,LOG_USER);

syslog(LOG_SYSLOG|LOG_INFO,"%d:,syslogusertest",count);

}

以上就是linux中怎么配置syslog实现日志转发的详细内容，更多请关注主机测评网其它相关文章！