Rsyslog Configuration · 4 min read · Oct 06, 2025

Comment installer et configurer le serveur et le client Rsyslog sur Ubuntu 24.04

Rsyslog sur Ubuntu est un démon de journalisation système puissant et flexible utilisé pour collecter, filtrer, stocker et transférer des messages de journal générés par le système d’exploitation et les applications. C’est une version améliorée du service syslog traditionnel, offrant des fonctionnalités supplémentaires telles que la journalisation haute performance, des capacités de filtrage avancées et le support de plusieurs protocoles de journalisation, y compris TCP, UDP et RELP (Reliable Event Logging Protocol). Rsyslog peut gérer des messages de journal provenant de diverses sources et les diriger vers différentes destinations comme des fichiers, des bases de données ou des serveurs distants. Il est largement utilisé dans les systèmes de journalisation centralisée pour des fins de surveillance, de dépannage et d’audit. En permettant une configuration détaillée, Rsyslog permet aux administrateurs Ubuntu de gérer efficacement les journaux système et de s’assurer que les informations importantes sont capturées et stockées en toute sécurité.

Les journaux sont très utiles pour analyser et résoudre des problèmes liés au système Linux et aux applications. Par défaut, tous les fichiers journaux sont situés dans le répertoire /var/log dans les systèmes d’exploitation basés sur Linux. Il existe plusieurs types de fichiers journaux, y compris cron, kernel, users et security, et la plupart de ces fichiers sont contrôlés par le service Rsyslog.

Dans ce tutoriel, je vais expliquer comment configurer le serveur Rsyslog sur le serveur Ubuntu 24.04.

Prérequis

  • Deux serveurs exécutant Ubuntu 24.04.
  • Une adresse IP statique 192.168.0.101 est configurée sur la machine du serveur Rsyslog et 192.168.0.102 est configurée sur la machine du client Rsyslog.
  • Un mot de passe root est configuré sur les deux serveurs.

Installer Rsyslog

Vous pouvez installer Rsyslog en exécutant la commande suivante :

apt install rsyslog -y

Après avoir installé Rsyslog, vous pouvez vérifier la version de Rsyslog avec la commande suivante :

rsyslogd -v

Vous pouvez également vérifier l’état de Rsyslog avec la commande suivante :

systemctl status rsyslog

Vous devriez voir la sortie suivante :

? rsyslog.service - Service de journalisation système
   Chargé : chargé (/lib/systemd/system/rsyslog.service; enabled; preset du fournisseur : enabled)
   Actif : actif (en cours d'exécution) depuis mar. 2024-08-22 04:28:55 UTC; 1min 31s ago
     Docs : man:rsyslogd(8)
           http://www.rsyslog.com/doc/
 PID principal : 724 (rsyslogd)
    Tâches : 4 (limite : 1114)
   CGroup : /system.slice/rsyslog.service
           ??724 /usr/sbin/rsyslogd -n

22 août 04:28:53 ubuntu2404 systemd[1]: Démarrage du service de journalisation système...
22 août 04:28:54 ubuntu2404 rsyslogd[724]: imuxsock : Socket UNIX acquis '/run/systemd/journal/syslog' (fd 3) de systemd.  [v8.32.0]
22 août 04:28:54 ubuntu2404 rsyslogd[724]: l'identifiant de groupe de rsyslogd a changé en 106
22 août 04:28:54 ubuntu2404 rsyslogd[724]: l'identifiant d'utilisateur de rsyslogd a changé en 102
22 août 04:28:54 ubuntu2404 rsyslogd[724]:  [origine logiciel="rsyslogd" swVersion="8.32.0" x-pid="724" x-info="http://www.rsyslog.com"] démarrer
22 août 04:28:55 ubuntu2404 systemd[1]: Service de journalisation système démarré.

Configurer le serveur Rsyslog

Rsyslog est maintenant installé et en cours d’exécution. Ensuite, vous devez le configurer pour qu’il fonctionne en mode serveur. Vous pouvez éditer le fichier /etc/rsyslog.conf.

nano /etc/rsyslog.conf

Tout d’abord, vous devrez définir le protocole soit UDP, soit TCP, soit les deux.

Pour utiliser à la fois les connexions UDP et TCP en même temps, recherchez et décommentez les lignes ci-dessous :

$ModLoad imudp
$UDPServerRun 514
$ModLoad imtcp
$InputTCPServerRun 514

Ensuite, définissez le sous-réseau spécifique, l’IP ou le domaine pour limiter l’accès comme indiqué ci-dessous :

$AllowedSender TCP, 127.0.0.1, 192.168.0.0/24, *.example.com
$AllowedSender UDP, 127.0.0.1, 192.168.0.0/24, *.example.com

Ensuite, vous devez créer un modèle pour indiquer au serveur Rsyslog comment stocker les messages syslog entrants. Ajoutez les lignes suivantes juste avant la section DIRECTIVES GLOBAL :

$template remote-incoming-logs, "/var/log/%HOSTNAME%/%PROGRAMNAME%.log" 
*.* ?remote-incoming-logs

Enregistrez et fermez le fichier lorsque vous avez terminé. Ensuite, vérifiez la configuration de Rsyslog pour toute erreur de syntaxe avec la commande suivante :

rsyslogd -f /etc/rsyslog.conf -N1

Vous devriez voir la sortie suivante :

rsyslogd : version 8.32.0, exécution de validation de configuration (niveau 1), configuration principale /etc/rsyslog.conf
rsyslogd : Fin de l'exécution de validation de configuration. Au revoir.

Enfin, redémarrez le service Rsyslog avec la commande suivante :

systemctl restart rsyslog

Maintenant, vérifiez que Rsyslog écoute sur TCP/UDP avec la commande suivante :

netstat -4altunp | grep 514

Vous devriez obtenir la sortie suivante :

tcp        0      0 0.0.0.0:514             0.0.0.0:*               LISTEN      1332/rsyslogd       
udp        0      0 0.0.0.0:514             0.0.0.0:*                           1332/rsyslogd

Configurer le client Rsyslog

Le serveur Rsyslog est installé et configuré pour recevoir des journaux de machines distantes.

Maintenant, vous devez configurer le client Rsyslog pour envoyer des messages syslog au serveur Rsyslog distant.

Connectez-vous à la machine cliente et ouvrez le fichier de configuration Rsyslog comme indiqué ci-dessous :

nano /etc/rsyslog.conf

Ajoutez les lignes suivantes à la fin du fichier :

##Activer l'envoi de journaux via UDP ajoutez la ligne suivante :

*.* @192.168.0.101:514


##Activer l'envoi de journaux via TCP ajoutez la ligne suivante :

*.* @@192.168.0.101:514

##Définir la file d'attente sur disque lorsque le serveur rsyslog sera hors service :

$ActionQueueFileName queue
$ActionQueueMaxDiskSpace 1g
$ActionQueueSaveOnShutdown on
$ActionQueueType LinkedList
$ActionResumeRetryCount -1

Enregistrez et fermez le fichier. Ensuite, redémarrez le serveur Rsyslog pour appliquer les modifications de configuration :

systemtcl restart rsyslog

Voir le journal du client

À ce stade, le client Rsyslog est configuré pour envoyer ses journaux au serveur Rsyslog.

Connectez-vous au serveur Rsyslog et vérifiez le répertoire /var/log. Vous devriez voir l’entrée avec le nom d’hôte de vos machines clientes, y compris plusieurs fichiers journaux :

ls /var/log/rsyslog-client/

Sortie :

CRON.log  kernel.log  rsyslogd-2039.log  rsyslogd.log  sudo.log  wpa_supplicant.log

Conclusion

Dans l’article ci-dessus, nous avons appris comment installer et configurer le serveur Rsyslog sur un serveur Ubuntu 24.04 et comment configurer le client Rsyslog pour envoyer des journaux au serveur Rsyslog. N’hésitez pas à me poser des questions si vous en avez.

Share: X/Twitter LinkedIn
#Rsyslog Configuration

Recevez de nouveaux articles dans votre boîte de réception.

Aucun spam. Désabonnez-vous à tout moment.