- Primer, cal assegurar-se que el servei rsyslog estigui instal·lat:
sudo dnf install rsyslog -y
- Un cop instal·lat, activem i iniciem el servei:
sudo systemctl enable rsyslog
sudo systemctl start rsyslog
Configuració del servidor rsyslog
- Habilitar recepció de logs remots
Editem el fitxer principal de configuració de rsyslog:
sudo nano /etc/rsyslog.conf
Ens assegurem de descomentar o afegir les següents línies:
# Permetre recepció per UDP
module(load=”imudp”)
input(type=”imudp” port=”514″)
# Permetre recepció per TCP
module(load=”imtcp”)
input(type=”imtcp” port=”514″)
- Configuració per guardar logs separats per host
Afegim també al final del fitxer:
# Plantilla per organitzar logs remots
$template RemoteLogs,”/var/log/remote/%HOSTNAME%/%PROGRAMNAME%.log”
# Aplicar la plantilla a tots els logs rebuts
*.* ?RemoteLogs
- Crear la carpeta per als logs remots
sudo mkdir -p /var/log/remote
sudo chown syslog:adm /var/log/remote
sudo chmod 755 /var/log/remote
- Configuració del tallafocs (Firewall)
Cal assegurar-se que el servidor accepti connexions pel port 514 (tant TCP com UDP):
sudo firewall-cmd –permanent –add-port=514/tcp
sudo firewall-cmd –permanent –add-port=514/udp
sudo firewall-cmd –reload
- Reiniciar el servei rsyslog
Un cop fetes les modificacions:
sudo systemctl restart rsyslog
- Verificació de la configuració
Assegurar-se que el port 514 està escoltant:
sudo ss -tuln | grep 514
- en una altre màquina en document de config sudo nano /etc/rsyslog.conf posem:
sudo nano /etc/rsyslog.conf
PROVA:
log desde la maquina :
servidor:
