第一步：配置rsyslog服務等接收遠程日誌

配置文件路徑為/etc/sysconfig/rsyslog
把內容SYSLOGD_OPTIONS="-m 0" 修改為 SYSLOGD_OPTIONS="-r "
（-r -m 0 設置能從遠端設備寫入日誌 ）

第二步：配置文件/etc/rsyslog.conf，在GLOBAL DIRECTIVE塊前追加模板。

$template RemoteLogs, "/data/log/%HOSTNAME%/%$YEAR%-%$MONTH%-%$DAY%.log"
local6.* ?RemoteLogs
& ~

• 設置模塊名為RemoteLogs，並指向日誌的保存路徑。
  
  （以單個設備主機名為文件夾，然後以每天為單位生成子文件夾，並保存當天產生的所有日誌）
• 設置接受facility為local6，接受所有日誌級別。
  （同時需在各個網絡設備設置facility都為local6，方便該日誌服務器識別）
• 符號"& ~"表示了一個重定向規則，被用來告知rsyslog守護進程停止對日誌消息的進一步處理，並且不要在本地寫入

第三步：修改配置文件只需開啟兩個模塊和協議支持的端口

$ModLoad imuxsock # provides support for local system logging (e.g. via logger command)
$ModLoad imklog # provides kernel logging support (previously done by rklogd)
 
$ModLoad imudp #開啟支持upd的模塊
$UDPServerRun 514 #允許接收udp 514的端口傳來的日誌
 
$ModLoad imtcp #開啟支持tcp的模塊
$InputTCPServerRun 514 #允許接收tcp 514的端口傳來的日誌
 
$ActionFileDefaultTemplate RSYSLOG_TraditionalFileFormat
$IncludeConfig /etc/rsyslog.d/*.conf
 

主要將以上內容前面的註釋符（#）去掉即可。

第四步：改變SELinux策略

命令：

chcon -R -t var_log_t /data/
chcon -R -u system_u /data/

（方便日誌信息寫入自定義路徑中，rsyslog服務默認路徑為/var/log/*）

第五步：編輯iptables策略

配置文件路徑為/etc/sysconfig/iptables
添加策略：

-A INPUT -p udp -m udp --dport 514 -j ACCEPT
-A OUTPUT -p udp -m udp --dport 514 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 514 -j ACCEPT
-A OUTPUT -p tcp -m tcp --dport 514 -j ACCEPT
 

註意策略的位置！！
保存iptables策略：

service iptables save

（需放通rsyslog的默認端口514，方便接收設備日誌）

第六步：然後重啟rsyslog服務

service rsyslog restart
service rsyslog reload(無需中斷服務)

（讀出rsyslog最新的配置信息）

第七步：在接收Cisco交換機的IP地址時需轉換為設備主機名

編輯/etc/hosts文件

添加：

IP 主機名

192.168.3.12    switch_2

第八步：內部測試日誌服務器是否正常運行

命令：

logger -i -t "test message" -p local6.notice " test text 1"

然後進入自定義的日誌保存路徑查看是否有日誌出現。
如無日誌產生可查看系統日誌信息查找原因，
命令：

tail /var/log/messages

部署日誌服務器（主機部分）