centos7配置syslog客户端上传日志

由于客户要求，需要把主机上的syslog传递到指定系统上，之前没有做过相关设置，本次配置是第一次配置
先上网插了下syslog分为很多种，如图，这只是一部分，可以直接到/etc/rsyslog.conf配置文件中自行查看，根据需求可以选择全部传递和部分传递

syslog分为2种模式，一种是服务端模式，一种是客户端模式，本次只是为了将日志上传到特定系统，故此只配置客户端模式。
首先我们看下系统是否安装了客户端所需的软件rsyslog，执行rpm -qa|grep rsyslog，如果安装了客户端软件，会搜出来类似的软件包名称

进入/etc目录备份rsyncd.conf文件**（改任何文件都要记得备份）**
备份后开始编辑这个文件，在里面找到这部分
![在这里插入图片描述](https://img-blog.csdnimg.cn/00115432eea84a538153c56d6401df3f.png#pic_center

这里面有很多可选的日志配置，找到你需要上传的日志文件部分，在相关日志提示的下面新增一行，按格式写出日志名和要传递到的服务器。
例如
kern写的kern.* @10.10.10.192:2514
mail这里我写的是mail.* @10.10.10.192:2514
如果你需要把所有的日志都传递到对方系统中则写成：
. @10.10.10.192:2514
第一个*号代表所有日志

此时配置客户端完毕，我们使用systemctl restart rsyslog命令重启rsyslog服务，重启之后我们去看下状态是否正常，配置成功会看到如下提示：

如果启动失败会有报错，根据报错可以一步一步的去查那里有问题，我第一次的时候就报错大概意思是提示配置文件中第50行有错，我看了配置文件第50行正好是我配置的命令，经过排查是用了中文标点符号导致的。

如果你想测试下是否有用很简单，先在linux上开一个抓包程序，然后去配置一个mail的日志传递，再写一个mail或者做一个时钟同步都会有mail日志出来，此时再关闭抓包，查看抓包内容，根据IP过滤就可以看到有传递消息，如图

支持配置完成，可以正常传递syslog。

欢迎交流