Rsyslog configuración · 3 min read · Nov 15, 2025
Cómo configurar un servidor Rsyslog en Debian 11
Rsyslog es un software de registro gratuito y de código abierto que reenvía todos los archivos de registro al servidor de registro centralizado a través de la red IP. Ayuda a los administradores del sistema a supervisar todos los servidores desde un punto central. Rsyslog funciona en un modelo cliente/servidor, recibe registros del cliente remoto en el puerto 514 a través del protocolo TCP/UDP.
En esta publicación, te mostraremos cómo configurar el servidor Rsyslog en Debian 11.
Requisitos previos
- Dos servidores que ejecuten Debian 11.
- Una contraseña de root configurada en el servidor.
Instalar Rsyslog
Primero, necesitarás instalar el paquete del servidor Rsyslog en la máquina del servidor. Puedes instalarlo usando el siguiente comando:
apt-get install rsyslog -yDespués de la instalación, verifica el estado de Rsyslog usando el siguiente comando:
systemctl status rsyslogDeberías ver la siguiente salida:
? rsyslog.service - Servicio de Registro del Sistema
Cargado: cargado (/lib/systemd/system/rsyslog.service; habilitado; preset del proveedor: habilitado)
Activo: activo (ejecutándose) desde dom 2021-10-03 13:35:32 UTC; hace 1h 44min
TriggeredBy: ? syslog.socket
Docs: man:rsyslogd(8)
man:rsyslog.conf(5)
https://www.rsyslog.com/doc/
PID principal: 283 (rsyslogd)
Tareas: 4 (límite: 2341)
Memoria: 5.0M
CPU: 90ms
CGroup: /system.slice/rsyslog.service
??283 /usr/sbin/rsyslogd -n -iNONE
Oct 03 13:35:32 debian11 systemd[1]: Iniciando Servicio de Registro del Sistema...
Oct 03 13:35:32 debian11 rsyslogd[283]: imuxsock: Adquirido socket UNIX '/run/systemd/journal/syslog' (fd 3) de systemd. [v8.2102.0]
Oct 03 13:35:32 debian11 rsyslogd[283]: [origen software="rsyslogd" swVersion="8.2102.0" x-pid="283" x-info="https://www.rsyslog.com"] inicio
Oct 03 13:35:32 debian11 systemd[1]: Servicio de Registro del Sistema iniciado.
Oct 03 13:35:34 debian11 systemd[1]: rsyslog.service: Enviado señal SIGHUP al proceso principal 283 (rsyslogd) a solicitud del cliente.
Oct 03 13:45:33 debian11 rsyslogd[283]: [origen software="rsyslogd" swVersion="8.2102.0" x-pid="283" x-info="https://www.rsyslog.com"] rsyslog>
Configurar Rsyslog
A continuación, necesitarás configurar Rsyslog para que funcione en modo servidor. Puedes hacerlo editando el archivo de configuración principal de Rsyslog:
nano /etc/rsyslog.confDescomenta las siguientes líneas:
# proporciona recepción de syslog UDP
module(load="imudp")
input(type="imudp" port="514")
# proporciona recepción de syslog TCP
module(load="imtcp")
input(type="imtcp" port="514")
A continuación, agrega las siguientes líneas para definir la plantilla para almacenar los registros entrantes de los sistemas cliente:
$template remote-incoming-logs,"/var/log/%HOSTNAME%/%PROGRAMNAME%.log"
*.* ?remote-incoming-logs
Guarda y cierra el archivo, luego reinicia el servicio Rsyslog para aplicar los cambios:
systemctl restart rsyslogEn este punto, Rsyslog está iniciado y escucha en el puerto 514. Puedes verificarlo usando el siguiente comando:
ss -tunlp | grep 514Deberías ver la siguiente salida:
udp UNCONN 0 0 0.0.0.0:514 0.0.0.0:* users:(("rsyslogd",pid=26276,fd=6))
udp UNCONN 0 0 [::]:514 [::]:* users:(("rsyslogd",pid=26276,fd=7))
tcp LISTEN 0 25 0.0.0.0:514 0.0.0.0:* users:(("rsyslogd",pid=26276,fd=8))
tcp LISTEN 0 25 [::]:514 [::]:* users:(("rsyslogd",pid=26276,fd=9))
Configurar el Firewall para Rsyslog
A continuación, necesitarás permitir el puerto 514 a través del firewall UFW. Puedes permitirlo con el siguiente comando:
ufw allow 514/tcp
ufw allow 514/udpA continuación, recarga el firewall para aplicar los cambios:
ufw reloadConfigurar el Cliente Rsyslog
A continuación, necesitarás configurar el cliente Rsyslog para enviar los archivos de registro al servidor Rsyslog. Puedes hacerlo editando el archivo de configuración principal de Rsyslog.
nano /etc/rsyslog.confAgrega las siguientes líneas al final del archivo:
#Habilitar el envío de registros del sistema a través de UDP al servidor rsyslog
*.* @rsyslog-server-ip:514
#Habilitar el envío de registros del sistema a través de TCP al servidor rsyslog
*.* @@rsyslog-server-ip:514
Además, agrega las siguientes líneas para establecer la cola en disco cuando el servidor rsyslog esté inactivo:
$ActionQueueFileName queue
$ActionQueueMaxDiskSpace 1g
$ActionQueueSaveOnShutdown on
$ActionQueueType LinkedList
$ActionResumeRetryCount -1
Guarda y cierra el archivo, luego reinicia el servicio Rsyslog para aplicar los cambios:
systemctl restart rsyslogVerificar el Archivo de Registro del Cliente
Todos los archivos de registro del cliente se almacenan en el directorio /var/log en la máquina del servidor.
Puedes verificarlo con el siguiente comando:
ls -l /var/log/Deberías ver el archivo de registro del cliente que corresponde al nombre de host del sistema cliente:
alternatives.log auth.log.2.gz daemon.log debian11 dpkg.log kern.log.1 messages.1 private syslog.3.gz
clientpc auth.log.3.gz daemon.log.1 debug dpkg.log.1 kern.log.2.gz messages.2.gz runit syslog.4.gz
apt btmp daemon.log.3.gz debug.2.gz icinga2 kern.log.4.gz messages.4.gz syslog
auth.log.1 csm.log dbconfig-common debug.4.gz kern.log messages ntpstats syslog.2.gz
Como puedes ver, clientpc es el directorio de registro del sistema del cliente.
Conclusión
En la guía anterior, explicamos cómo configurar el servidor y el cliente Rsyslog en Debian 11. Ahora puedes monitorear a tus clientes desde la ubicación central. No dudes en preguntarme si tienes alguna pregunta.
Recibe nuevas publicaciones en tu bandeja de entrada.
No spam. Cancela la suscripción en cualquier momento.