日志对于安全来说非常重要，他记录了系统每天发生的各种各样的事情，你可以通过它来检查错误发生的原因，或者受到攻击时攻击者留下的痕迹。

   日志主要起审计和监测的作用，他能够监测系统状态，监测和追踪侵入者等。所以保存日志就显得格外重要。单纯的讲，系统只会把日志存放在本地，但是当一个系统工程师管理十台甚至上百台的服务器时，如果他需要查看日志，那么他就需要一台一台服务器的登录查看，这样显然是效率最低下的，但是如果我们把所有的服务器的日志都发送到一台服务器上去，那么就可以节省很多不必要的登录和重复操作。

  在讲解如何把一台服务器的日志发送到另一台服务器上去之前，先简单介绍一下syslog

  一、syslog日志的简介

        一个被UNIX和Linux广泛使用的日志系统，Linux系统中大部分的日志文件都是通过它进行管理的。

   其中syslog日志中主要包括三大部分：

    日志的来源（facility）,日志的优先级（priority）,日志的存放路径

  其中上图中*，mail,authpriv，cron是日志来源，info,noe则表示级别，/var/log/message 则表示日志存放的路径

  把一台服务器（我们用A机来代替）的日志发送到另一台服务器（我们用B机来代替）步骤如下：

   在开始之前我们先做一些准备工作：

     首先我们应该保持两台主机能够互相通信，即彼此能够Ping通，这也是我们把日志信息从一台主机发到另一台主机的前提。

     其次要保证我们的防火墙是关闭的，可以使用service iptables stop命令来关闭   

   1、在A机的/etc/syslog.conf 文件中修改我们想要存放到另一服务器的日志信息的存放路径，这里我们修改了message：如下图

     2.然后利用service syslog restart 重启日志服务，来使我们的修改生效

     3. 虽然我们已经把A机的记录日志信息发送到我们要记录到的服务器主机B机上，但是我们的B机也要具有接受A机日志信息的功能。所以需要把B机/etc/sysconfig/syslog中的SYSLOGD_OPTIONS修改成如下图所示的

 因为每次操作日志服务都要重启后才能生效，所以对B机也要重启日志服务

    后续工作完成后，接下来让我们看一下A机日志是怎么记录到B机上的

    4.由于message中包含了重启日志服务所产生的日志信息，所以再次利用service syslog restart 重启A机的日志服务，然后查看B机/var/syslog/message目录下的信息，显示如下信息，说明我们已经成功将A机的日志信息记录到了B机上

本文转自  沐木小布丁  51CTO博客，原文链接:http://blog.51cto.com/sxhxt/894594