用于 syslog 收集的协议：TCP、UDP、RELP

系统日志是从 Linux/Unix 设备和其他网络设备（如交换机、路由器和防火墙）生成的日志 可以通过将 syslog 聚合到称为 syslog 服务器、syslog 守护程序或 syslog 的服务器来集中 syslog。在 TCP、UDP 和 RELP 协议的帮助下，系统日志从设备传输到系统日志守护程序。

一、用户数据报协议（UDP）

UDP 是一种无连接且不可靠的协议，因此，发送到 syslog 守护程序的 syslog 消息不会返回任何回执确认，默认情况下，通过 UDP 协议的 syslog 传输通过端口 514 进行。但是，用户始终可以更改此端口号。

通常不建议使用 UDP 进行传输，因为 syslog 服务器可能无法正确接收 syslog 数据包，并且可能会丢失重要信息。您必须将服务器配置为充当 syslog 守护程序，方法是使其能够侦听 UDP 端口 514。在终端中打开 etc/syslog.conf 文件。识别以下语句并取消注释。$ModLoad imudp$UDPServerRun 514

重新启动计算机并检查是否应用了更改。

二、传输控制协议（TCP）

TCP 是一种面向连接的可靠传输协议，可以使用相同的端口 514 将 syslog 消息发送到 syslog 守护程序。默认情况下，TCP 用于 rsyslog 和 syslog-ng 等 syslog 收集工具中的数据传输。syslogd 会为收到的每条系统日志消息发送确认。这可确保所有 sysog 消息都存储在单个存储库中。您可以使用以下命令将服务器配置为充当 syslog 守护程序，并使其能够侦听 TCP 端口 514。

在终端中打开 etc/syslog.conf 文件。识别以下语句并取消注释。$ModLoad imudp$UDPServerRun 514

重新启动计算机并检查是否应用了更改。

三、可靠事件日志记录协议（RELP）

RELP 最初是为 rsyslog-rsyslog 通信而开发的，它是一种网络协议，有助于将事件消息可靠地传输到目的地。RELP 使用 TCP 传输系统日志。但是，它提供了使用反向通道识别在 syslog 守护程序上正确接收的消息的附加功能。反向通道可以查看从设备发送的系统日志消息，并同时在接收端监听它们。

如果在 syslog 传输期间突然终止连接，则 RELP 将解决 syslog 服务器是否接收到正在传输的消息的歧义，它将有关系统日志服务器处理的系统日志的消息传达给发件人。

四、监控系统日志

系统日志包含有关网络中发生的事件的重要信息，将系统日志安全地传输到一个集中位置并对其进行分析，可以更轻松地对关键事件进行故障排除。虽然可以使用 grep 和其他命令手动分析系统日志，但这是一个耗时且累人的过程。EventLog Analyzer 等自动化日志管理解决方案可以收集、解析和分析来自网络中设备的系统日志。

对日志进行告警配置EventLog Analyzer还可以将这些系统日志与其余网络日志相关联，并实时识别安全事件和威胁，该解决方案提供预定义的报告和警报配置文件，可帮助管理员进行安全审核和合规性管理。

————————————————转载声明：本文转自卓豪中国官网 Eventlog Analyzer 资讯文章。原文链接：https://www.manageengine.cn/products/eventlog/articles/ela20250811.html