在Linux日志的配置文件中,可以将指定服务类型(auth,cron,mail,syslog等)和相应服务的信息等级(info,notice,warn,err,crit等)的日志数据发送到打印机或者远程主机(即将配置日志文件服务器的server端)。万一有人入侵你的系统,并将系统/var/log/删掉了(但我们可以使用chattr增加隐藏属性,使文件在root下都不能被删除,除非入侵者获取当前root权限,取消这个隐藏属性,还是可以删除文件,这里不再做多余阐述),这样在/var/log/auth.log (我的Linux下为此日志文件,一般为/var/log/secure)下,我们查询不到任何相关的登录信息。但是在入侵系统的时候,已经将auth.log日志文件数据发送到远程主机上面,可以查询到入侵者ip地址。
如果现在有很多台Linux主机,每台主机负责一个网络服务。想要查询每台主机的日志文件,必须登陆到每台主机去查询,这样很麻烦。但可以将其中一台变为远程日志文件服务器,其余主机可以将自己的日志文件通过TCP/UDP协议发送到远程主机日志服务器中,这样可以轻松管理其它主机的日志文件。