Server Setup · 3 min read · Nov 15, 2025
So richten Sie den Rsyslog-Server auf Debian 11 ein
Rsyslog ist eine kostenlose und Open-Source-Protokollierungssoftware, die alle Protokolldateien über das IP-Netzwerk an den zentralen Protokollserver weiterleitet. Es hilft Systemadministratoren, alle Server von einem zentralen Punkt aus im Auge zu behalten. Rsyslog arbeitet nach dem Client/Server-Modell und empfängt Protokolle vom Remote-Client über Port 514 über das TCP/UDP-Protokoll.
In diesem Beitrag zeigen wir Ihnen, wie Sie den Rsyslog-Server auf Debian 11 einrichten.
Voraussetzungen
- Zwei Server, die Debian 11 ausführen.
- Ein Root-Passwort ist auf dem Server konfiguriert.
Rsyslog installieren
Zuerst müssen Sie das Rsyslog-Serverpaket auf der Servermaschine installieren. Sie können es mit dem folgenden Befehl installieren:
apt-get install rsyslog -yNach der Installation überprüfen Sie den Rsyslog-Status mit dem folgenden Befehl:
systemctl status rsyslogSie sollten die folgende Ausgabe sehen:
? rsyslog.service - System Logging Service
Loaded: loaded (/lib/systemd/system/rsyslog.service; enabled; vendor preset: enabled)
Active: active (running) since Sun 2021-10-03 13:35:32 UTC; 1h 44min ago
TriggeredBy: ? syslog.socket
Docs: man:rsyslogd(8)
man:rsyslog.conf(5)
https://www.rsyslog.com/doc/
Main PID: 283 (rsyslogd)
Tasks: 4 (limit: 2341)
Memory: 5.0M
CPU: 90ms
CGroup: /system.slice/rsyslog.service
??283 /usr/sbin/rsyslogd -n -iNONE
Oct 03 13:35:32 debian11 systemd[1]: Starting System Logging Service...
Oct 03 13:35:32 debian11 rsyslogd[283]: imuxsock: Acquired UNIX socket '/run/systemd/journal/syslog' (fd 3) from systemd. [v8.2102.0]
Oct 03 13:35:32 debian11 rsyslogd[283]: [origin software="rsyslogd" swVersion="8.2102.0" x-pid="283" x-info="https://www.rsyslog.com"] start
Oct 03 13:35:32 debian11 systemd[1]: Started System Logging Service.
Oct 03 13:35:34 debian11 systemd[1]: rsyslog.service: Sent signal SIGHUP to main process 283 (rsyslogd) on client request.
Oct 03 13:45:33 debian11 rsyslogd[283]: [origin software="rsyslogd" swVersion="8.2102.0" x-pid="283" x-info="https://www.rsyslog.com"] rsyslog>
Rsyslog konfigurieren
Als nächstes müssen Sie Rsyslog so konfigurieren, dass es im Servermodus läuft. Sie können dies tun, indem Sie die Hauptkonfigurationsdatei von Rsyslog bearbeiten:
nano /etc/rsyslog.confKommentieren Sie die folgenden Zeilen aus:
# provides UDP syslog reception
module(load="imudp")
input(type="imudp" port="514")
# provides TCP syslog reception
module(load="imtcp")
input(type="imtcp" port="514")
Fügen Sie als Nächstes die folgenden Zeilen hinzu, um die Vorlage zum Speichern eingehender Protokolle von Client-Systemen zu definieren:
$template remote-incoming-logs,"/var/log/%HOSTNAME%/%PROGRAMNAME%.log"
*.* ?remote-incoming-logs
Speichern Sie die Datei und schließen Sie sie, und starten Sie dann den Rsyslog-Dienst neu, um die Änderungen anzuwenden:
systemctl restart rsyslogAn diesem Punkt ist Rsyslog gestartet und hört auf Port 514. Sie können dies mit dem folgenden Befehl überprüfen:
ss -tunlp | grep 514Sie sollten die folgende Ausgabe sehen:
udp UNCONN 0 0 0.0.0.0:514 0.0.0.0:* users:(("rsyslogd",pid=26276,fd=6))
udp UNCONN 0 0 [::]:514 [::]:* users:(("rsyslogd",pid=26276,fd=7))
tcp LISTEN 0 25 0.0.0.0:514 0.0.0.0:* users:(("rsyslogd",pid=26276,fd=8))
tcp LISTEN 0 25 [::]:514 [::]:* users:(("rsyslogd",pid=26276,fd=9))
Firewall für Rsyslog konfigurieren
Als nächstes müssen Sie Port 514 durch die UFW-Firewall zulassen. Sie können dies mit dem folgenden Befehl tun:
ufw allow 514/tcp
ufw allow 514/udpLaden Sie als Nächstes die Firewall neu, um die Änderungen anzuwenden:
ufw reloadRsyslog-Client konfigurieren
Als nächstes müssen Sie den Rsyslog-Client konfigurieren, um die Protokolldateien an den Rsyslog-Server zu senden. Sie können dies tun, indem Sie die Hauptkonfigurationsdatei von Rsyslog bearbeiten.
nano /etc/rsyslog.confFügen Sie die folgenden Zeilen am Ende der Datei hinzu:
#Enable sending system logs over UDP to rsyslog server
*.* @rsyslog-server-ip:514
#Enable sending system logs over TCP to rsyslog server
*.* @@rsyslog-server-ip:514
Fügen Sie auch die folgenden Zeilen hinzu, um die Festplattenwarteschlange festzulegen, wenn der Rsyslog-Server nicht verfügbar ist:
$ActionQueueFileName queue
$ActionQueueMaxDiskSpace 1g
$ActionQueueSaveOnShutdown on
$ActionQueueType LinkedList
$ActionResumeRetryCount -1
Speichern Sie die Datei und schließen Sie sie, und starten Sie dann den Rsyslog-Dienst neu, um die Änderungen anzuwenden:
systemctl restart rsyslogProtokolldatei des Clients überprüfen
Alle Protokolldateien des Clients werden im Verzeichnis /var/log auf der Servermaschine gespeichert.
Sie können dies mit dem folgenden Befehl überprüfen:
ls -l /var/log/Sie sollten die Protokolldatei des Clients sehen, die dem Hostnamen des Client-Systems entspricht:
alternatives.log auth.log.2.gz daemon.log debian11 dpkg.log kern.log.1 messages.1 private syslog.3.gz
clientpc auth.log.3.gz daemon.log.1 debug dpkg.log.1 kern.log.2.gz messages.2.gz runit syslog.4.gz
apt btmp daemon.log.3.gz debug.2.gz icinga2 kern.log.4.gz messages.4.gz syslog
auth.log.1 csm.log dbconfig-common debug.4.gz kern.log messages ntpstats syslog.2.gz
Wie Sie sehen können, ist clientpc das Protokollverzeichnis des Client-Systems.
Fazit
In der obigen Anleitung haben wir erklärt, wie man den Rsyslog-Server und -Client auf Debian 11 einrichtet. Sie können jetzt Ihre Clients von einem zentralen Standort aus überwachen. Zögern Sie nicht, mich zu fragen, wenn Sie Fragen haben.
Erhalte neue Beiträge in deinem Posteingang.
Kein Spam. Jederzeit abmelden.