syslog服务器端:

编辑syslog.conf(rsyslog.conf)文件，查找到下面的两行所在的位置，通过删除其行首的#字符来取消注释

vi /etc/syslog.conf(vi /etc/rsyslog.conf)

$ModLoad imudp
$UDPServerRun 514

将#$UDPServerRun 514 注释放开，表示启用udp514端口 

关闭防火墙

#service iptables stop
#chkconfig iptables off

或者开启防火墙的514端口

vi /etc/sysconf/syslog

修改SYSLOGD_OPTIONS="-m 0 -r"

重新启动syslog    #service syslog restart

syslog客户端

编辑syslog.conf(rsyslog.conf)文件

vi /etc/syslog.conf(vi /etc/rsyslog.conf)

去掉kern前面的 # 符号      

然后在文件中加入以下内容：   

*.*   @192.168.186.211   

*.*   /var/log/authlog

说明： *.*和@之间为一个Tab。将设备产生的日志（类型为全部、级别为全部）发送到日志服务器192.168.186.211 和本地文件。

类型：

kern        内核信息

user         用户进程信息

mail         电子邮件相关信息

daemon      后台进程xian相关信息

authpriv      包括特权信息如用户名在内的认证活动

cron          计划任务信息

syslog        系统日志信息

lpr              打印服务相关信息

news         新闻组服务器信息

uucp          uucp生成的信息

local0-local7         本地用户信息

优先级：

emerg或panic           该系统不可用（最紧急消息）

alert                  需要立即被修改的条件（紧急消息）

crit                    阻止某些工具或者子系统功能实现的错误条件（重要消息）

err                     阻止工具或某些子系统部分功能实现的错误条件（出错消息）

warning             预警信息（警告信息）

notice                 具有重要性的普通条件（普通但重要的信息）

info                    提供信息的消息（通知性消息）

debug                不包含函数条件或问题的其他信息（调试级-信息量最多）

none                  没有重要级，通常用于排错（不记录任何日志消息）

*                         所有级别，除了none

配置文件/etc/syslog.conf ，需要重启syslogd进程才能生效：

/etc/rc.d/init.d/syslog restart   (/etc/rc.d/init.dr/rsyslog restart)

考虑到日志文件增长，可不配置“ *.*   /var/log/authlog”，如不配置，下面步骤可省略。

1. 创建日志记录文件：

touch /var/log/authlog