Resolution

En RHEL-6, rsyslog es el demonio de logging predeterminado, en
RHEL-5, rsyslog está disponible pero no se encuentra instalado de manera predeterminada.

• Instalar rsyslog

  # yum install rsyslog  
  

• Para configurar rsyslog usando TCP:

  1. Configure el servidor remoto para que acepte mensajes de log remotos usando TCP.

     Descomente las siguientes líneas en la sección MÓDULOS de /etc/rsyslog.conf. En RHEL-5 tiene que agregar las líneas al comienzo de /etc/rsyslog.conf:

     $ModLoad imtcp
     $InputTCPServerRun 514
     

     Reinicie rsyslog.

     [root@server1 ~]# service rsyslog restart
     

     En RHEL-5 primero detenga el demonio syslog predeterminado y luego reinicie rsyslog.

     [root@server1 ~]# service syslog stop
     [root@server1 ~]# service rsyslog restart
     

  2. Configure rsyslog para enviar eventos rsyslog a otro servidor usando TCP.

     Agregue la siguiente línea a la sección REGLAS de /etc/rsyslog.conf o en RHEL-5 al final de /etc/rsyslog.conf:

     # remote host is: name/ip:port, e.g. 192.168.0.1:514, port optional
     #*.* @remote-host:514
     *.*         @@10.10.10.1:514
     

     También puede especificar la severidad a enviar, por ejemplo, mensajes info:

     *.info      @@10.10.10.1:514
     

     Reinicie rsyslog.

     [root@server2 ~]# service rsyslog restart
     

     En RHEL-5 primero detenga el demonio syslog predeterminado y luego reinicie rsyslog.

     [root@server2 ~]# service syslog stop
     [root@server2 ~]# service rsyslog restart
     

• Configure el servidor remoto para que acepte los mensajes de log remotos usando UDP.

  1. Configure el servidor para que acepte los mensajes de log remotos usando UDP

     Descomente las siguientes líneas en la sección MÓDULOS de /etc/rsyslog.conf. En RHEL-5 debe agregar las líneas al comienzo de /etc/rsyslog.conf:

     # Provides UDP syslog reception  
     $ModLoad imudp
     $UDPServerRun 514
     

     Reinicie rsyslog.

     [root@server1 ~]# service rsyslog restart
     

     En RHEL-5 primero detenga el demonio syslog predeterminado y luego reinicie rsyslog.

     [root@server1 ~]# service syslog stop
     [root@server1 ~]# service rsyslog restart
     

  2. Configure el servidor rsyslog para enviar eventos rsyslog a otro servidor usando UDP.

     Agregue la siguiente línea a la sección REGLAS de /etc/rsyslog.conf or in RHEL-5 at the end of the /etc/rsyslog.conf:

     # remote host is: name/ip:port, e.g. 192.168.0.1:514, port optional
     #*.* @remote-host:514
     *.*         @10.10.10.1:514
     

     También puede especificar la severidad a enviar, por ejemplo, mensajes info:

     *.info      @10.10.10.1:514
     

     Reinicie rsyslog.

     [root@server2 ~]# service rsyslog restart
     

     En RHEL-5 primero detenga el demonio syslog predeterminado y luego reinicie rsyslog.

     [root@server2 ~]# service syslog stop
     [root@server2 ~]# service rsyslog restart
     

• Pruebe la configuración:

  En server2 (rsyslog enviando los mensajes):

  [root@server2 ~]# logger Test from system  
  [root@server2 ~]# tail /var/log/messages  
  Dec 25 00:00:01 server2 root: Test from system
  

  En server1 (rsyslog recibiendo los mensajes)

  [root@server1 ~]# tail /var/log/messages  
  Dec 25 00:00:01 server2 root: Test from system
  

• Aumque no está específicamente relacionado a rsyslog, se requieren cambios adicionales en selinux si quiere correr rsyslog en un puerto no estándar. Esta configuración adicional no necesariamente es de uso normal. En lugar de 'tcp 514', use el protocolo y puerto alternativos que desea usar.

# semanage port -l| grep syslog
syslogd_port_t                 udp      514
# semanage port -a -t syslogd_port_t -p tcp 514

Nota: al configurar logging remoto, asegúrese de revisar y configurar action queues para evitar potenciales problemas cuando el servidor rsyslog remoto no está accesible.