{{tag>sysadmin linux log rsyslog syslog todo}}

====== rsyslog: Centralisation des logs ======

Le serveur rsyslog doit écouter sur un port UDP ou TCP (par défaut 514/udp). Pour cela modifier le fichier de configuration **/etc/rsyslog.conf**. Décommenter le ou les modules souhaités:

<file>
# provides UDP syslog reception
$ModLoad imudp
$UDPServerRun 514
</file>

Redémarrer le service et vérifier que le serveur écoute:
<code bash>
systemctl restart rsyslog.service 
systemctl status rsyslog.service 
netstat -anu
</code>

===== Configurer le client syslog =====

La machine cliente doit être paramétrer pour rediriger les événements sur le serveur syslog distant. Dans ce cas nous faisons le choix de ne rediriger que les messages de criticité warning ou supérieure. Pour cela créer un fichier de configuration **/etc/rsyslog.d/syslog-center-node.log** 

<file>
# Tout événement de criticité warning et supérieure est centralisé
*.warning               @192.168.0.1:514

# Pour utiliser le protocole TCP, doubler l'arobase (le module doit être activé)
#*.warning              @@192.168.0.1:514
</file>

===== Tester =====

Sur le client:
<code bash>
logger --priority warning "Alerte test"
</code>

doit produire une entrée localement, consultable via:
<code>
journalctl -p warnning --since today
</code>

doit également produire une entrée dans le fichier syslog du centralisateur
<code bash>
tail /var/log/syslog
</code>


===== Références =====

  * https://kifarunix.com/setup-rsyslog-server-on-ubuntu-20-04/
  * https://ahelpme.com/software/rsyslog/send-access-logs-in-json-to-elasticsearch-using-rsyslog/