Rsyslog

Настройка передачи событий в Linux с помощью rsyslog

1. Проверить наличие в системе rsyslog:

   sudo systemctl status rsyslog

2. Если результат выполнения команды - Unit rsyslog.service could not be found, то выполнить:

   sudo apt install rsyslog

3. С правами суперпользователя изменить файл rsyslog.conf, для этого:

   • Ввести в терминале:

   sudo nano /etc/rsyslog.conf
   • Перейти в конец файла и добавить строку:

   **.** action(type="omfwd" target="(1)" port="(2)" protocol="(3)" action.resumeRetryCount="(4)" queue.type="(5)" queue.size="(6)")

   (1) - IP-адрес хоста с Syslog-коллектором, на который нужно посылать события

   (2) - порт хоста с коллектором, на который нужно посылать события

   (3) - протокол (tcp или udp)

   (4) - как часто действие будет повторяться, прежде чем оно начнёт считаться неудачным. Неудачные действия отбрасывают сообщения. Рекомендуется установить значение 100

   (5) - указать тип очереди, которая будет использоваться. Рекомендуется установить значение LinkedList

   (6) - указать максимальный размер очереди по количеству сообщений. Обратите внимание, что очень маленькие значения размера очереди (примерно 100 сообщений и менее) не поддерживаются и могут привести к непредсказуемым результатам. Рекомендуется установить значение 10000.

   • Сохранить изменения в файле

4. Перезагрузить сервис rsyslog командой в терминале:

   sudo systemctl restart rsyslog

5. Проверить работоспособность rsyslog:

   sudo systemctl status rsyslog

примечание

Подробнее про rsyslog вы можете узнать здесь