Rsyslog collecte les messages provenant de différentes sources et les traite en les enregistrant/redirigeant.

Les message sont envoyés au daemon rsyslogd par différents canaux (UDP, fichier exécutable, commande). Pour pouvoir écouter ces canaux les modules doivent être chargés. Les modules sont chargés dans le fichier /etc/rsyslog.conf via les directives suivantes:

Les messages ont des attributs particuliers notamment:

• une catégorie (nommée facility ou sous-ensemble dans la documentation)
• une priorité

Les catégories (facilities) existantes sont:

Les priorité sont classés info < notice < err < emerg

rsyslog utilise des templates pour:

• Toutes les sorties (fichiers, base de données, messages utilisateur)
• La génération dynamique des noms de fichiers log

La déclaration d'un template se base sur la syntaxe suivante:

template(parametres)

Avec les paramètres:

• name le nom du template, il doit être unique.
• type les types de template offre différentes manières de décrire le contenu sans affecter l'output le manipule.

Pour les applications utilisateur les facilities local0 à local7 peuvent être utilisées librement. Si l'on souhaite journaliser des activités de sauvegardes locales par exemple, modifier le fichier la configuration de rsyslog en créant le fichier /etc/rsyslogd/60-backup.conf avec le contenu suivant:

# Enregistrer tous les niveaux de priorités de local0
# dans le fichier /var/log/backup.log
local0.*        -/var/log/backup.log

Tester la configuration et si la syntaxe est correcte, redémarrer le service:

$ sudo rsyslogd -N1
$ sudo service rsyslog restart

Pour tester le bon fonctionnement du paramétrage

$ logger -p local0.info "test"

• https://debian-handbook.info/browse/fr-FR/stable/sect.syslog.html
• www.rsyslog.com/guides-for-rsyslog/
• man 5 rsyslog.conf
• http://www.rsyslog.com/doc/master/configuration/templates.html