Comment utiliser rsyslog?
Cela fait quelques heures que je parcours les forums et je ne trouve pas d'explication concrète sur la façon d'utiliser rsyslog. J'ai vraiment juste besoin des bases.
J'ai un fichier journal logFile.log et je souhaite transférer les journaux à server2 sur le port 514. Comment pourrais-je configurer rsyslog pour le faire? Je fournirai toute information supplémentaire au besoin.
Eh bien, je vois quelques personnes vérifier cette question et j'ai compris comment le faire. Je vais donc faire un petit guide du débutant sur rsyslog.
Si vous souhaitez simplement transférer les données syslog sur un serveur distant:
Ajoutez cette ligne au bas de /etc/rsyslog.d/50-default.conf (basé sur le protocole):
UDP: *.* @remoteserverIP:PORT #usually port 514
TCP: *.* @@remoteserverIP:PORT #usually port 514
Ajoutez ces lignes à un fichier .conf que vous avez créé dans /etc/rsyslog.d/
$ModLoad imfile
$InputFileName /var/log/test #change this to desired input
$InputFileTag test #change filetag
$InputFileStateFile stat-test
$InputFileSeverity info #log severity
InputRunFileMonitor
*.* @remoteserverIP:PORT #change to remote server
Redémarrez rsyslog
Sudo service rsyslog restart
Ensuite, sur le serveur distant (de journalisation), vous devez éditer le fichier /etc/rsyslog.conf pour écouter le trafic. Le haut du fichier comportera les sections suivantes:
# provides UDP syslog reception
#$ModLoad imudp
#$UDPServerRun 514
# provides TCP syslog reception
#$ModLoad imtcp
#$InputTCPServerRun 514
Décommentez la section du protocole approprié.
À la fin du fichier, vous souhaiterez probablement inclure une sorte de modèle de filtrage afin que les journaux soient analysés dans des fichiers en fonction de leur origine. Voici un exemple:
$template FILENAME,"/var/log/%fromhost-ip%/access.log
*.* ?FILENAME
Enregistrez le fichier et redémarrez le service sur cette machine.
Espérons que cela fonctionne pour vous tous!