Le serveur rsyslog doit écouter sur un port UDP ou TCP (par défaut 514/udp). Pour cela modifier le fichier de configuration /etc/rsyslog.conf. Décommenter le ou les modules souhaités:
# provides UDP syslog reception $ModLoad imudp $UDPServerRun 514
Redémarrer le service et vérifier que le serveur écoute:
systemctl restart rsyslog.service systemctl status rsyslog.service netstat -anu
La machine cliente doit être paramétrer pour rediriger les événements sur le serveur syslog distant. Dans ce cas nous faisons le choix de ne rediriger que les messages de criticité warning ou supérieure. Pour cela créer un fichier de configuration /etc/rsyslog.d/syslog-center-node.log
# Tout événement de criticité warning et supérieure est centralisé
*.warning @192.168.0.1:514
# Pour utiliser le protocole TCP, doubler l'arobase (le module doit être activé)
#*.warning @@192.168.0.1:514
Sur le client:
logger --priority warning "Alerte test"
doit produire une entrée localement, consultable via:
journalctl -p warnning --since today
doit également produire une entrée dans le fichier syslog du centralisateur
tail /var/log/syslog