Serveur Rsyslog · 3 min read · Nov 15, 2025

Comment configurer un serveur Rsyslog sur Debian 11

Rsyslog est un logiciel de journalisation gratuit et open-source qui transfère tous les fichiers journaux vers le serveur de journalisation centralisé via le réseau IP. Il aide les administrateurs système à garder un œil sur tous les serveurs depuis un point central. Rsyslog fonctionne selon un modèle client/serveur, il reçoit des journaux du client distant sur le port 514 via le protocole TCP/UDP.

Dans cet article, nous allons vous montrer comment configurer le serveur Rsyslog sur Debian 11.

Prérequis

  • Deux serveurs exécutant Debian 11.
  • Un mot de passe root est configuré sur le serveur.

Installer Rsyslog

Tout d’abord, vous devrez installer le paquet serveur Rsyslog sur la machine serveur. Vous pouvez l’installer en utilisant la commande suivante :

apt-get install rsyslog -y

Après l’installation, vérifiez l’état de Rsyslog en utilisant la commande suivante :

systemctl status rsyslog

Vous devriez voir la sortie suivante :

? rsyslog.service - Service de journalisation système
     Loaded: loaded (/lib/systemd/system/rsyslog.service; enabled; vendor preset: enabled)
     Active: active (running) since Sun 2021-10-03 13:35:32 UTC; 1h 44min ago
TriggeredBy: ? syslog.socket
       Docs: man:rsyslogd(8)
             man:rsyslog.conf(5)
             https://www.rsyslog.com/doc/
   Main PID: 283 (rsyslogd)
      Tasks: 4 (limit: 2341)
     Memory: 5.0M
        CPU: 90ms
     CGroup: /system.slice/rsyslog.service
             ??283 /usr/sbin/rsyslogd -n -iNONE

Oct 03 13:35:32 debian11 systemd[1]: Starting Service de journalisation système...
Oct 03 13:35:32 debian11 rsyslogd[283]: imuxsock: Acquired UNIX socket '/run/systemd/journal/syslog' (fd 3) from systemd.  [v8.2102.0]
Oct 03 13:35:32 debian11 rsyslogd[283]: [origin software="rsyslogd" swVersion="8.2102.0" x-pid="283" x-info="https://www.rsyslog.com"] start
Oct 03 13:35:32 debian11 systemd[1]: Started Service de journalisation système.
Oct 03 13:35:34 debian11 systemd[1]: rsyslog.service: Sent signal SIGHUP to main process 283 (rsyslogd) on client request.
Oct 03 13:45:33 debian11 rsyslogd[283]: [origin software="rsyslogd" swVersion="8.2102.0" x-pid="283" x-info="https://www.rsyslog.com"] rsyslog>

Configurer Rsyslog

Ensuite, vous devrez configurer Rsyslog pour fonctionner en mode serveur. Vous pouvez le faire en éditant le fichier de configuration principal de Rsyslog :

nano /etc/rsyslog.conf

Décommentez les lignes suivantes :

# provides UDP syslog reception
module(load="imudp")
input(type="imudp" port="514")

# provides TCP syslog reception
module(load="imtcp")
input(type="imtcp" port="514")

Ensuite, ajoutez les lignes suivantes pour définir le modèle pour stocker les journaux entrants des systèmes clients :

$template remote-incoming-logs,"/var/log/%HOSTNAME%/%PROGRAMNAME%.log"
*.* ?remote-incoming-logs

Enregistrez et fermez le fichier, puis redémarrez le service Rsyslog pour appliquer les modifications :

systemctl restart rsyslog

À ce stade, Rsyslog est démarré et écoute sur le port 514. Vous pouvez le vérifier en utilisant la commande suivante :

ss -tunlp | grep 514

Vous devriez voir la sortie suivante :

udp   UNCONN 0      0                              0.0.0.0:514       0.0.0.0:*    users:(("rsyslogd",pid=26276,fd=6))                                                                                                                                                                                                                                                                             
udp   UNCONN 0      0                                 [::]:514          [::]:*    users:(("rsyslogd",pid=26276,fd=7))                                                                                                                                                                                                                                                                             
tcp   LISTEN 0      25                             0.0.0.0:514       0.0.0.0:*    users:(("rsyslogd",pid=26276,fd=8))                                                                                                                                                                                                                                                                             
tcp   LISTEN 0      25                                [::]:514          [::]:*    users:(("rsyslogd",pid=26276,fd=9))

Configurer le pare-feu pour Rsyslog

Ensuite, vous devrez autoriser le port 514 à travers le pare-feu UFW. Vous pouvez l’autoriser avec la commande suivante :

ufw allow 514/tcp  
ufw allow 514/udp

Ensuite, rechargez le pare-feu pour appliquer les modifications :

ufw reload

Configurer le client Rsyslog

Ensuite, vous devrez configurer le client Rsyslog pour envoyer les fichiers journaux au serveur Rsyslog. Vous pouvez le faire en éditant le fichier de configuration principal de Rsyslog.

nano /etc/rsyslog.conf

Ajoutez les lignes suivantes à la fin du fichier :

#Activer l'envoi des journaux système via UDP au serveur rsyslog
*.* @rsyslog-server-ip:514

#Activer l'envoi des journaux système via TCP au serveur rsyslog
*.* @@rsyslog-server-ip:514

Ajoutez également les lignes suivantes pour définir la file d’attente sur disque lorsque le serveur rsyslog sera hors ligne :

$ActionQueueFileName queue
$ActionQueueMaxDiskSpace 1g
$ActionQueueSaveOnShutdown on
$ActionQueueType LinkedList
$ActionResumeRetryCount -1

Enregistrez et fermez le fichier, puis redémarrez le service Rsyslog pour appliquer les modifications :

systemctl restart rsyslog

Vérifier le fichier journal du client

Tous les fichiers journaux des clients sont stockés dans le répertoire /var/log sur la machine serveur.

Vous pouvez le vérifier avec la commande suivante :

ls -l /var/log/

Vous devriez voir le fichier journal du client qui correspond au nom d’hôte du système client :

alternatives.log    auth.log.2.gz  daemon.log   debian11    dpkg.log    kern.log.1  messages.1  private syslog.3.gz
clientpc            auth.log.3.gz  daemon.log.1     debug   dpkg.log.1  kern.log.2.gz  messages.2.gz  runit syslog.4.gz
apt     btmp    daemon.log.3.gz  debug.2.gz icinga2     kern.log.4.gz  messages.4.gz  syslog
auth.log.1  csm.log dbconfig-common  debug.4.gz kern.log    messages    ntpstats    syslog.2.gz

Comme vous pouvez le voir, clientpc est le répertoire journal du système client.

Conclusion

Dans le guide ci-dessus, nous avons expliqué comment configurer le serveur et le client Rsyslog sur Debian 11. Vous pouvez maintenant surveiller vos clients depuis un emplacement central. N’hésitez pas à me poser des questions si vous en avez.

Share: X/Twitter LinkedIn
#Serveur Rsyslog

Recevez de nouveaux articles dans votre boîte de réception.

Aucun spam. Désabonnez-vous à tout moment.