必要性:可以防止黑客清空本地痕迹,因为产生的痕迹备份到别的地方去了 本地主机: 1、修改链接设备成自定义名称为:LOCAL5

2、保存以后文件就不是记录在本地了,而是传到LOCAL5自定义设备了

3、修改rsyslog.config文件对应自定义的LOCAL5

4、关闭防火墙,重启本地日志文件、否则本地主机不能发给远程主机日志

远程主机(接收端): 1、修改日志配置文件,默认是不能接收外来日志的,需要修改

2、解禁这两行实现可以接收外来日志,并且指定接来的文件存在什么地方(事先创建好这个地方)