Table des matières

, , , , ,

rsyslog: Centralisation des logs

Le serveur rsyslog doit écouter sur un port UDP ou TCP (par défaut 514/udp). Pour cela modifier le fichier de configuration /etc/rsyslog.conf. Décommenter le ou les modules souhaités:

# provides UDP syslog reception
$ModLoad imudp
$UDPServerRun 514

Redémarrer le service et vérifier que le serveur écoute:

systemctl restart rsyslog.service 
systemctl status rsyslog.service 
netstat -anu

Configurer le client syslog

La machine cliente doit être paramétrer pour rediriger les événements sur le serveur syslog distant. Dans ce cas nous faisons le choix de ne rediriger que les messages de criticité warning ou supérieure. Pour cela créer un fichier de configuration /etc/rsyslog.d/syslog-center-node.log

# Tout événement de criticité warning et supérieure est centralisé
*.warning               @192.168.0.1:514

# Pour utiliser le protocole TCP, doubler l'arobase (le module doit être activé)
#*.warning              @@192.168.0.1:514

Tester

Sur le client:

logger --priority warning "Alerte test"

doit produire une entrée localement, consultable via:

journalctl -p warnning --since today

doit également produire une entrée dans le fichier syslog du centralisateur

tail /var/log/syslog

Références