Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

20.7. Interaction de Rsyslog et de Journal

Comme mentionné ci-dessus, Rsyslog et Journal, les deux applications de journalisation présentes sur votre système possèdent des fonctionnalités distinctes les rendant convenables dans certains cas d'utilisation particuliers. Dans de nombreuses situations, il est utile de combiner leurs capacités, par exemple de créer des message structurés et les stocker dans une base de données de fichiers (veuillez consulter la Section 20.8, « Journalisation structurée avec Rsyslog »). Une interface de communication nécessaire à cette coopération est fournie par des modules d'entrée et de sortie à côté de Rsyslog et par le socket de communication Journal.
Par défaut, rsyslogd utilise le module imjournal comme mode d'entrée par défaut pour les fichiers journaux. Avec ce module, vous importez non seulement les messages, mais également les données structurées fournies par journald. Aussi, des données plus anciennes peuvent être importées de journald (sauf si interdit avec la directive $ImjournalIgnorePreviousMessages). Veuillez consulter la Section 20.8.1, « Importer des données de Journal » pour voir une configuration de base de imjournal.
Alternativement, veuillez configurer rsyslogd pour effectuer la lecture à partir du socket fourni par journal en tant que sortie pour des applications basées syslog. Le chemin vers le socket est le suivant : /run/systemd/journal/syslog. Veuillez utiliser cette option lorsque vous souhaitez maintenir des messages syslog simples. Comparé à imjournal, l'entrée du socket offre actuellement davantage de fonctionnalités, comme la liaison ou le filtrage de rulesets. Pour importer des données Journal à travers le socket, veuillez utiliser la configuration suivante dans le fichier /etc/rsyslog.conf :
$ModLoad imuxsock
$OmitLocalLogging off
La syntaxe ci-dessus charge le module imuxsock et éteint la directive $OmitLocalLogging, qui permet l'importation à travers le socket du système. Le chemin vers ce socket est spécifié séparément, dans le fichier /etc/rsyslog.d/listen.conf comme suit :
$SystemLogSocketName /run/systemd/journal/syslog
Vous pouvez également faire sortir des messages de Rsyslog sur Journal avec le module omjournal. Configurez la sortie dans le fichier /etc/rsyslog.conf comme suit :
$ModLoad omjournal

*.* :omjournal:
Par exemple , la configuration suivante transfère tous les messages reçus sur le port TCP 10514 au Journal :
$ModLoad imtcp
$ModLoad omjournal
        
$RuleSet remote
*.* :omjournal:

$InputTCPServerBindRuleset remote
$InputTCPServerRun 10514