远程Linux服务器是存储VMware ESXi syslog事件的好地方，尤其是发生灾难时。

　　例如，发生安全漏洞，最基本的你要分析是啥出错了。VMware ESXi使用syslog记录重要事件的信息，如如网络接口状态的更改，或链接到存储区域网络的改变。通过检查ESXi syslog事件，可以追溯虚拟环境中的问题。

　　但是，如果VMware ESXi syslog事件存储在产生它们的同个服务器上时，发生问题时就不能访问关键信息。这也是为什么要使用远程服务器在外部存储syslog信息的原因，便于保护登录架构。拥有一些额外的硬软件，加上ESXi hypervisor，可设置便宜的远程Linux服务器来记录VMware ESXi syslog事件。

　　为ESXi syslog事件配置远程Linux服务器

　　默认下，syslog在主机上存储ESXi登录。最好设置一台外部登录主机，Linux是最方便的平台。

　　Linux有各种版本，无论选择何种作为登录主机都行。我在本文中使用的是OpenSUSE，它是个免费的Linux版本，是SUSE Linux Enterprise Server的基础。

　　执行OpenSUSE默认安装后，需要配置运行在OpenSUSE上的登录服务器rsyslogd。首先，配置syslog从其他主机接收日志消息，选择是否想通过Transmission Control Protocol (TCP)或User Datagram Protocol (UDP)接收日志文件。默认下，rsyslogd使用UDP作为传输机制。如果底层网络受信任，这是个很好的选择。但是，如果日志信息通过不受信任的网络连接传输的话，就有可能丢失包，这时TCP就是确保信息传输到日志主机的好选择。

　　第一次使用rsyslog日志主机时，我推荐UDP。不过在需要增加可靠性时，你可以轻松切换到TCP。

　　要在syslog主机上启动UDP日志接收的话，打开配置文件/etc/rsyslog.d/remote.conf并编辑，如gedit或vi。确保以下两行位于文件前列：

$ModLoad imudp.so

$UDPServerRun 514

　　现在已在远程Linux服务器上启用了rsyslog，重启。使用命令服务rsyslogd进行重启。接下来，配置ESXi主机发送它们的syslog事件到你新配置的远程Linux服务器。

　　在本系列第二部分，将介绍如何配置vSphere以发送信息到远程主机。