LinuxUnix如何将日志发送到日志服务器

这篇演示如何通过syslog将Linux和Unix的日志发送到指定的日志审计服务器中。

假设日志服务器IP为：192168100100，需要发送入职的服务器与这台日志服务器之间，路由可达，并有访问权限，请看下面的实例：

服务重启后，就能够在日志服务器上查看到对应的日志输出了，不需要其他多余的配置。

假设日志服务器IP为：192168100100，需要发送入职的服务器与这台日志服务器之间，路由可达，并有访问权限，请看下面的实例：

nginx的log_format可以自主选择参数用于指示服务器的活动状态，默认的是：

假设将nginx服务器作为web服务器，位于负载均衡设备，nginx反向代理之后，不能获取到客户端的真实ip地址了。

原因是进过反向代理后，由于在客户端和web服务器之间增加了中间层，因此web服务器无法直接拿到客户端的ip。通过$remote_addr变量拿到的将是反向代理服务器的ip地址，但是，反向代理服务器在转发请求的>vi /etc/syslogconf
在文件中插入要收集的事件类型
auth @ip地址
注意：@之前的符号是TAB键，不是空格。

/etc/initd/syslog restart重启syslog进程

logging on
logging trap 7 这里的7是日志级别，设置成7就是将debugging消息也发送到日志服务器，默认是6
logging host xxxx

cisco 日志，只记录事件。至于 *** 作和登录，你需要配置起tacacs服务器（或acs服务器），然后在交换机配置AAA，给个7609的配置例子：
tacacs-server host 1112222111
aaa new-model
aaa authentication login default group tacacs+ local
aaa authentication login no-tacacs local
aaa authentication login no-password none
aaa authentication enable default group tacacs+ enable
aaa authorization exec default group tacacs+ if-authenticated
aaa authorization commands 1 default group tacacs+ if-authenticated
aaa authorization commands 15 default group tacacs+ if-authenticated
aaa accounting commands 1 default stop-only group tacacs+
aaa accounting commands 15 default start-stop group tacacs+
其中留意上面的command，cisco是通过tacacs对命令鉴权，才可以记录命令，还有，aaa只能起tacacs，radius是不支持命令鉴权的。

首先你应该明确你的日志服务器接在哪个地方，位于asa的那个区域 inside ？outside？ 或者其他
不明白你所说的FTP日志服务器是个什么东西。
网络设备的若接入日志服务器的话，日志是实时发送的，在服务器端应该有一个运行的程序去收集设备发过来的日志信息，然后保存到文件里。
有个3CSyslog的软件，能收集日志信息，只要保持其运行即可，但实际使用证明，其运行效果不好，总是自动中断进程。
还有一个kiwi syslog 软件，幸运的话能在网上找到破解版，这款软件用着还行。
不多说下面是日志服务器指向方法
首先打开日志功能： logging enable
然后配置日志记录时间 ： logging timestamp
配置记录日志的控制台：
logging console warnings
logging monitor warnings
logging buffered warnings
配置日志记录的告警级别：logging trap warnings
记录asdm的信息：logging asdm informational
指定日志服务： logging host outside 192168254157 // 与路由交换的区别就是需要指定inside或者outside。然后填写主机地址即可。

---