Syslog是网络上各种设备将日志收集到日志服务器的一种数据协议，它几乎被所有的网络设备支持，并且能够记录多种事件类型的日志消息，支持syslog的设备常见的有路由器、交换机、打印机等等，甚至unix-like的服务器也可以支持产生syslog消息，用以记录用户的登录、防火墙事件、apache或者nginx access日志等。

Syslog主要是基于RFC5424和RFC3164定义相关格式规范，RFC3164协议是2001年发布的，RFC5424协议是2009年发布的升级版本。因为新版兼容旧版，且新版本解决了很多问题，因此推荐使用RFC5424协议。更多信息，请参见RFC5424和RFC3164。

本文介绍通过Syslog协议将日志上传到日志服务的操作步骤。您需要购买ECS作为Syslog汇聚服务器，Linux服务器默认自带Rsyslog，目前华为云主机默认未配置接收远程Syslog写入，需要手动开启。

购买两台ECS机器，一台作为Syslog汇聚服务器，另一台模拟客户系统或者设备发送日志的业务ECS。

推荐CentOS 6.5 64bit及其以上版本的镜像， 推荐规格为2vCPUs | 4GB。

当您的业务系统或者设备输出日志后，即可在LTS界面查看。登录业务ecs使用logger -n x.x.x.x -P 514 testremotelog命令发送syslog至汇聚服务器，x.x.x.x为syslog服务器ip（公网ip/私有ip）地址，执行成功后，testremotelog为发送日志内容，可以自定义。

执行成功后，配置的日志组日志流里可以查看到该条日志。

或登陆syslog汇聚服务器，查看/var/log/messages中是否存在testremotelog日志。

目前采集单台syslog服务器处理日志能力为10MB/s，如果客户日志业务量较大，可以使用多台syslog服务器和elb实现扩容和负载均衡