Rsyslog

Настройка передачи событий в Linux с помощью rsyslog

  1. Проверить наличие в системе rsyslog:

    sudo systemctl status rsyslog

  2. Если результат выполнения команды - Unit rsyslog.service could not be found, то выполнить:

    sudo apt install rsyslog

  3. С правами суперпользователя изменить файл rsyslog.conf, для этого:

    1. Ввести в терминале:

      sudo nano /etc/rsyslog.conf

    2. Перейти в конец файла и добавить строку:

      *.* action(type="omfwd" target="<1>" port="<2>" protocol="<3>" action.resumeRetryCount="<4>" queue.type="<5>" queue.size="<6>")

      • <1> - IP-адрес хоста с Syslog-коллектором, на который нужно посылать события

      • <2> - порт хоста с коллектором, на который нужно посылать события

      • <3> - протокол (tcp или udp)

      • <4> - как часто действие будет повторяться, прежде чем оно начнёт считаться неудачным. Неудачные действия отбрасывают сообщения. Рекомендуется установить значение 100

      • <5> - указать тип очереди, которая будет использоваться. Рекомендуется установить значение LinkedList

      • <6> - указать максимальный размер очереди по количеству сообщений. Обратите внимание, что очень маленькие значения размера очереди (примерно 100 сообщений и менее) не поддерживаются и могут привести к непредсказуемым результатам. Рекомендуется установить значение 10000

    3. Сохранить изменения в файле

  4. Перезагрузить сервис rsyslog командой в терминале:

    sudo systemctl restart rsyslog

  5. Проверить работоспособность rsyslog:

    sudo systemctl status rsyslog
Подробнее про rsyslog вы можете узнать здесь