Simplemente estoy intentando configurar un sistema de registro remoto. Creo que mi configuración es correcta pero falla y no puedo hacer que aparezca ningún mensaje de rsyslog en los registros, así que no puedo descubrir por qué. Mis reglas de iptables permiten acceso sin restricciones en el puerto 514. También me gustaría saber en el futuro cómo puedo hacer que rsyslog inicie sesión en su propio archivo de registro para poder averiguarlo.
Utilicé la plantilla que se muestra en el sitio de Redhat: servidor:
# Provides TCP syslog reception
$ModLoad imtcp
$InputTCPServerRun 514
$template TmplAuth "/var/log/%HOSTNAME%/%PROGRAMNAME%.log"
authpriv.* ?TmplAuth
*.info,mail.none,authpriv.none,cron.none ?TmplMsg
Cliente:
$ModLoad imudp
$UDPServerRun 514
# Provides TCP syslog reception
$ModLoad imtcp
$InputTCPServerRun 514
$WorkDirectory /var/lib/rsyslog # where to place spool files
$ActionQueueFileName fwdRule1 # unique name prefix for spool files
$ActionQueueMaxDiskSpace 1g # 1gb space limit (use as much as possible)
$ActionQueueSaveOnShutdown on # save messages to disk on shutdown
$ActionQueueType LinkedList # run asynchronously
$ActionResumeRetryCount -1 # infinite retries if host is down
# remote host is: name/ip:port, e.g. 192.168.0.1:514, port optional
*.* @loghost:514
# ### end of the forwarding rule ###
Los archivos rsyslog.conf se abrevian a lo que creo que es la información relevante. Gracias de antemano
Respuesta1
Ha habilitado la recepción de syslog a través de TCP y UDP en el cliente, donde no es necesaria.
En el servidor solo ha habilitado la recepción de registros TCP; sin embargo, en general, según mi experiencia, se utiliza principalmente UDP. Así que habilite la recepción de registros UDP en el servidor y debería funcionar.