Настройка сервера журналирования Rsyslog

Для настройки сервера журналирования необходимо установить минимальную конфигурацию REL.

Затем в файле /etc/rsyslog.conf нужно раскомментировать следующие строки:

Для получения журналов по протоколу UDP
module(load="imudp") # needs to be done just once
input(type="imudp" port="514")
Для получения журналов по протоколу TCP
module(load="imtcp") # needs to be done just once
input(type="imtcp" port="514")

После этого следует добавить в /etc/rsyslog.conf или создать файл /etc/rsyslog.d/01-remotelogs.conf со следующим содержанием:

$template RemoteLogs,"/var/log/remote-logs/%HOSTNAME%/%PROGRAMNAME%.log"
*.* ?RemoteLogs
& ~=

Затем перезапустить службу журналирования командой:

systemctl restart rsyslog

Добавить правило в Firwalld для UDP:

firewall-cmd --add-service syslog --permanent

Добавить правило в Firwalld для TCP:

firewall-cmd --add-port=514/tcp --permanent

Перезапустить Firewalld:

firewall-cmd --reload

Настройка пересылки журналов Rsyslog

Для настройки пересылки всех журналов необходимо в /etc/rsyslog.d создать файл 01-remote-all.conf со следующим содержанием:

*.* @@11.22.33.44

где 11.22.33.44 – IP–адрес сервера журналирования.

Затем нужно перезапустить службу журналирования командой:

systemctl restart rsyslog