Rsyslog Anleitung · 4 min read · Oct 06, 2025

So installieren und konfigurieren Sie den Rsyslog-Server und -Client auf Ubuntu 24.04

Rsyslog auf Ubuntu ist ein leistungsstarker und flexibler Systemprotokoll-Daemon, der verwendet wird, um Protokollnachrichten zu sammeln, zu filtern, zu speichern und weiterzuleiten, die vom Betriebssystem und von Anwendungen generiert werden. Es ist eine erweiterte Version des traditionellen Syslog-Dienstes, die zusätzliche Funktionen wie leistungsstarkes Logging, erweiterte Filtermöglichkeiten und Unterstützung für mehrere Protokolle, einschließlich TCP, UDP und RELP (Reliable Event Logging Protocol), bietet. Rsyslog kann Protokollnachrichten aus verschiedenen Quellen verarbeiten und sie an verschiedene Ziele wie Dateien, Datenbanken oder Remote-Server weiterleiten. Es wird häufig in zentralisierten Protokollierungssystemen für Überwachungs-, Fehlerbehebungs- und Prüfungszwecke verwendet. Durch die detaillierte Konfiguration ermöglicht Rsyslog Ubuntu-Administratoren, Systemprotokolle effizient zu verwalten und sicherzustellen, dass wichtige Informationen erfasst und sicher gespeichert werden.

Protokolle sind sehr nützlich, um Probleme im Zusammenhang mit dem Linux-System und Anwendungen zu analysieren und zu beheben. Standardmäßig befinden sich alle Protokolldateien im Verzeichnis /var/log in Linux-basierten Betriebssystemen. Es gibt mehrere Arten von Protokolldateien, einschließlich cron, kernel, users und security, und die meisten dieser Dateien werden vom Rsyslog-Dienst gesteuert.

In diesem Tutorial werde ich erklären, wie man den Rsyslog-Server auf dem Ubuntu 24.04-Server konfiguriert.

Voraussetzungen

  • Zwei Server, die Ubuntu 24.04 ausführen.
  • Eine statische IP-Adresse 192.168.0.101 ist auf der Rsyslog-Servermaschine konfiguriert und 192.168.0.102 ist auf der Rsyslog-Clientmaschine konfiguriert.
  • Ein Root-Passwort ist auf beiden Servern konfiguriert.

Rsyslog installieren

Sie können Rsyslog installieren, indem Sie den folgenden Befehl ausführen:

apt install rsyslog -y

Nach der Installation von Rsyslog können Sie die Version von Rsyslog mit dem folgenden Befehl überprüfen:

rsyslogd -v

Sie können auch den Status von Rsyslog mit dem folgenden Befehl überprüfen:

systemctl status rsyslog

Sie sollten die folgende Ausgabe sehen:

? rsyslog.service - System Logging Service
   Loaded: loaded (/lib/systemd/system/rsyslog.service; enabled; vendor preset: enabled)
   Active: active (running) since Tue 2024-08-22 04:28:55 UTC; 1min 31s ago
     Docs: man:rsyslogd(8)
           http://www.rsyslog.com/doc/
 Main PID: 724 (rsyslogd)
    Tasks: 4 (limit: 1114)
   CGroup: /system.slice/rsyslog.service
           ??724 /usr/sbin/rsyslogd -n

Aug 22 04:28:53 ubuntu2404 systemd[1]: Starting System Logging Service...
Aug 22 04:28:54 ubuntu2404 rsyslogd[724]: imuxsock: Acquired UNIX socket '/run/systemd/journal/syslog' (fd 3) from systemd.  [v8.32.0]
Aug 22 04:28:54 ubuntu2404 rsyslogd[724]: rsyslogd's groupid changed to 106
Aug 22 04:28:54 ubuntu2404 rsyslogd[724]: rsyslogd's userid changed to 102
Aug 22 04:28:54 ubuntu2404 rsyslogd[724]:  [origin software="rsyslogd" swVersion="8.32.0" x-pid="724" x-info="http://www.rsyslog.com"] start
Aug 22 04:28:55 ubuntu2404 systemd[1]: Started System Logging Service.

Rsyslog-Server konfigurieren

Rsyslog ist jetzt installiert und läuft. Als Nächstes müssen Sie es so konfigurieren, dass es im Servermodus läuft. Sie können die Datei /etc/rsyslog.conf bearbeiten.

nano /etc/rsyslog.conf

Zuerst müssen Sie das Protokoll entweder UDP oder TCP oder beide definieren.

Um sowohl UDP- als auch TCP-Verbindungen gleichzeitig zu verwenden, suchen Sie die folgenden Zeilen und entfernen Sie das Kommentarzeichen:

$ModLoad imudp
$UDPServerRun 514
$ModLoad imtcp
$InputTCPServerRun 514

Als Nächstes definieren Sie das spezifische Subnetz, die IP oder die Domain, um den Zugriff zu beschränken, wie unten gezeigt:

$AllowedSender TCP, 127.0.0.1, 192.168.0.0/24, *.example.com
$AllowedSender UDP, 127.0.0.1, 192.168.0.0/24, *.example.com

Als Nächstes müssen Sie eine Vorlage erstellen, um dem Rsyslog-Server zu sagen, wie eingehende Syslog-Nachrichten gespeichert werden sollen. Fügen Sie die folgenden Zeilen direkt vor dem Abschnitt GLOBAL DIRECTIVES hinzu:

$template remote-incoming-logs, "/var/log/%HOSTNAME%/%PROGRAMNAME%.log" 
*.* ?remote-incoming-logs

Speichern und schließen Sie die Datei, wenn Sie fertig sind. Überprüfen Sie dann die Rsyslog-Konfiguration auf Syntaxfehler mit dem folgenden Befehl:

rsyslogd -f /etc/rsyslog.conf -N1

Sie sollten die folgende Ausgabe sehen:

rsyslogd: version 8.32.0, config validation run (level 1), master config /etc/rsyslog.conf
rsyslogd: End of config validation run. Bye.

Starten Sie schließlich den Rsyslog-Dienst mit dem folgenden Befehl neu:

systemctl restart rsyslog

Überprüfen Sie nun, ob Rsyslog auf TCP/UDP mit dem folgenden Befehl hört:

netstat -4altunp | grep 514

Sie sollten die folgende Ausgabe erhalten:

tcp        0      0 0.0.0.0:514             0.0.0.0:*               LISTEN      1332/rsyslogd       
udp        0      0 0.0.0.0:514             0.0.0.0:*                           1332/rsyslogd

Rsyslog-Client konfigurieren

Der Rsyslog-Server ist installiert und konfiguriert, um Protokolle von Remote-Hosts zu empfangen.

Jetzt müssen Sie den Rsyslog-Client konfigurieren, um Syslog-Nachrichten an den Remote-Rsyslog-Server zu senden.

Melden Sie sich an der Clientmaschine an und öffnen Sie die Rsyslog-Konfigurationsdatei wie unten gezeigt:

nano /etc/rsyslog.conf

Fügen Sie die folgenden Zeilen am Ende der Datei hinzu:

## Aktivieren Sie das Senden von Protokollen über UDP, fügen Sie die folgende Zeile hinzu:

*.* @192.168.0.101:514


## Aktivieren Sie das Senden von Protokollen über TCP, fügen Sie die folgende Zeile hinzu:

*.* @@192.168.0.101:514

## Setzen Sie die Festplattenschlange, wenn der Rsyslog-Server ausgefallen ist:

$ActionQueueFileName queue
$ActionQueueMaxDiskSpace 1g
$ActionQueueSaveOnShutdown on
$ActionQueueType LinkedList
$ActionResumeRetryCount -1

Speichern und schließen Sie die Datei. Starten Sie dann den Rsyslog-Server neu, um die Konfigurationsänderungen anzuwenden:

systemtcl restart rsyslog

Client-Protokoll anzeigen

An diesem Punkt ist der Rsyslog-Client so konfiguriert, dass er seine Protokolle an den Rsyslog-Server sendet.

Melden Sie sich am Rsyslog-Server an und überprüfen Sie das Verzeichnis /var/log. Sie sollten den Eintrag mit dem Hostnamen Ihrer Clientmaschinen sehen, einschließlich mehrerer Protokolldateien:

ls /var/log/rsyslog-client/

Ausgabe:

CRON.log  kernel.log  rsyslogd-2039.log  rsyslogd.log  sudo.log  wpa_supplicant.log

Fazit

Im obigen Artikel haben wir gelernt, wie man den Rsyslog-Server auf einem Ubuntu 24.04-Server installiert und konfiguriert und wie man den Rsyslog-Client konfiguriert, um Protokolle an den Rsyslog-Server zu senden. Zögern Sie nicht, mich zu fragen, wenn Sie Fragen haben.

Share: X/Twitter LinkedIn
#Rsyslog Anleitung

Erhalte neue Beiträge in deinem Posteingang.

Kein Spam. Jederzeit abmelden.