系統日志是從 Linux/Unix 設備和其他網絡設備（如交換機、路由器和防火墻）生成的日志 可以通過將 syslog 聚合到稱為 syslog 服務器、syslog 守護程序或 syslogd 的服務器來集中 syslog。在TCP、UDP和RELP協議的幫助下，系統日志從設備傳輸到系統日志守護程序。

用戶數據報協議（UDP）

UDP 是一種無連接且不可靠的協議，因此，發送到 syslog 守護程序的 syslog 消息不會返回任何回執確認，默認情況下，通過 UDP 協議的 syslog 傳輸通過端口 514 進行。但是，用戶始終可以更改此端口號。

通常不建議使用 UDP 進行傳輸，因為 syslog 服務器可能無法正確接收 syslog 數據包，并且可能會丟失重要信息。

您必須將服務器配置為充當 syslog 守護程序，方法是使其能夠偵聽 UDP 端口 514。

• 在終端中打開 etc/syslog.conf 文件。
• 識別以下語句并取消注釋。

$ModLoad imudp
$UDPServerRun 514

• 重新啟動計算機并檢查是否應用了更改。

傳輸控制協議（TCP）

TCP 是一種面向連接的可靠傳輸協議，可以使用相同的端口 514 將 syslog 消息發送到 syslog 守護程序。默認情況下，TCP 用于 rsyslog 和 syslog-ng 等 syslog 收集工具中的數據傳輸。syslogd 會為收到的每條系統日志消息發送確認。這可確保所有 sysog 消息都存儲在單個存儲庫中。

您可以使用以下命令將服務器配置為充當 syslog 守護程序，并使其能夠偵聽 TCP 端口 514。

• 在終端中打開 etc/syslog.conf 文件。
• 識別以下語句并取消注釋。

$ModLoad imudp
$UDPServerRun 514

• 重新啟動計算機并檢查是否應用了更改。

可靠事件日志記錄協議（RELP）

RELP 最初是為 rsyslog-rsyslog 通信而開發的，它是一種網絡協議，有助于將事件消息可靠地傳輸到目的地。RELP 使用 TCP 傳輸系統日志。但是，它提供了使用反向通道識別在 syslog 守護程序上正確接收的消息的附加功能。反向通道可以查看從設備發送的系統日志消息，并同時在接收端監聽它們。

如果在 syslog 傳輸期間突然終止連接，則 RELP 將解決 syslog 服務器是否接收到正在傳輸的消息的歧義，它將有關系統日志服務器處理的系統日志的消息傳達給發件人。

監控系統日志

系統日志包含有關網絡中發生的事件的重要信息，將系統日志安全地傳輸到一個集中位置并對其進行分析，可以更輕松地對關鍵事件進行故障排除。雖然可以使用 grep 和其他命令手動分析系統日志，但這是一個耗時且累人的過程。EventLog Analyzer等自動化日志管理解決方案可以收集、解析和分析來自網絡中設備的系統日志。

EventLog Analyzer 還可以將這些系統日志與其余網絡日志相關聯，并實時識別安全事件和威脅，該解決方案提供預定義的報告和警報配置文件，可幫助管理員進行安全審核和合規性管理。