rsyslog 作为标准的syslog守护进程，预装在了大多数的Linux发行版中。在客户端/服务器架构的配置下，rsyslog同时扮演了两种角色：1.作为一个syslog服务器，rsyslog可以收集来自其他设施的日志信息；2.作为一个syslog客户端，rsyslog可以将其内部的日志信息传输到远程的syslog服务器。

在此，我们演示了在linux上如何通过rsyslog来配置一个中心化syslog服务器。 在进入详解之前，先温习一下syslog标准。

syslog标准基础

当通过syslog机制来收集日志时，有3个必须要考虑到的重要事情：

      设施层级: 监听何种类型的进程
      严重性 （优先） 级别: 收集何种级别的日志消息
      目标: 发送或记录日志消息到何处

现在我们更加深入地了解一下配置是如何定义的。

设施层级定义了一种用来对内部系统进程进行分类的方法，linux中的一些常见的设施包括:

      auth: 身份验证相关的消息（登录时）
      cron: 进程或应用调度相关的消息
      daemon: 守护进程相关的消息（内部服务器）
      kernel: 内核相关的消息
      mail: 内部邮件服务器相关的消息
      syslog: syslog 守护进程本身相关的消息
      lpr: 打印服务相关的消息
      local0 - local7: 用户自定义的消息 （local7 通常被Cisco 和 Windows 服务器 使用）

严重性（优先）级别有固定的标准缩写和指代的值，其中的数字7具有最高的级别，这些级别包含了：

      emerg: Emergency（紧急）- 0
      alert: Alerts （报警）- 1
      crit: Critical (关键）- 2
      err: Errors （错误）- 3
      warn: Warnings （警告）- 4
      notice: Notification （通知）- 5
      info: Information （消息）- 6
      debug: Debugging （调试）- 7

最后，目标语句会让一个syslog客户端来执行以下三个任务之一：

      保存日志消息到一个本地文件；
      通过TCP/UDP将消息路由到远程的syslog服务器中；
      将其发送到一个标准输出中，例如控制台。

在 rsyslog里, syslog的配置是基于以下模式进行结构化的。

      [facility-level].[severity-level] [destination]

在Linux中配置Rsyslog

在我们理解syslog之后，现在可以通过rsyslog来将一个Linux服务器配置为一个中心syslog服务器了，另外我们也将看到如何在一个Windows的系统上配置一个syslog客户端来发送内部日志到该syslog服务器中。