Серверы · 3 min read · Nov 15, 2025
Как настроить сервер Rsyslog на Debian 11
Rsyslog — это бесплатное и открытое программное обеспечение для ведения журналов, которое пересылает все журналы на централизованный сервер журналов через IP-сеть. Оно помогает системным администраторам следить за всеми серверами из центральной точки. Rsyslog работает по модели клиент/сервер, он получает журналы от удаленного клиента на порту 514 по протоколу TCP/UDP.
В этом посте мы покажем вам, как настроить сервер Rsyslog на Debian 11.
Предварительные требования
- Два сервера с установленным Debian 11.
- Пароль root настроен на сервере.
Установка Rsyslog
Сначала вам нужно установить пакет сервера Rsyslog на серверной машине. Вы можете установить его, используя следующую команду:
apt-get install rsyslog -yПосле установки проверьте статус Rsyslog, используя следующую команду:
systemctl status rsyslogВы должны увидеть следующий вывод:
? rsyslog.service - System Logging Service
Loaded: loaded (/lib/systemd/system/rsyslog.service; enabled; vendor preset: enabled)
Active: active (running) since Sun 2021-10-03 13:35:32 UTC; 1h 44min ago
TriggeredBy: ? syslog.socket
Docs: man:rsyslogd(8)
man:rsyslog.conf(5)
https://www.rsyslog.com/doc/
Main PID: 283 (rsyslogd)
Tasks: 4 (limit: 2341)
Memory: 5.0M
CPU: 90ms
CGroup: /system.slice/rsyslog.service
??283 /usr/sbin/rsyslogd -n -iNONE
Oct 03 13:35:32 debian11 systemd[1]: Starting System Logging Service...
Oct 03 13:35:32 debian11 rsyslogd[283]: imuxsock: Acquired UNIX socket '/run/systemd/journal/syslog' (fd 3) from systemd. [v8.2102.0]
Oct 03 13:35:32 debian11 rsyslogd[283]: [origin software="rsyslogd" swVersion="8.2102.0" x-pid="283" x-info="https://www.rsyslog.com"] start
Oct 03 13:35:32 debian11 systemd[1]: Started System Logging Service.
Oct 03 13:35:34 debian11 systemd[1]: rsyslog.service: Sent signal SIGHUP to main process 283 (rsyslogd) on client request.
Oct 03 13:45:33 debian11 rsyslogd[283]: [origin software="rsyslogd" swVersion="8.2102.0" x-pid="283" x-info="https://www.rsyslog.com"] rsyslog>
Настройка Rsyslog
Далее вам нужно настроить Rsyslog для работы в режиме сервера. Вы можете сделать это, отредактировав основной конфигурационный файл Rsyslog:
nano /etc/rsyslog.confУберите комментарии с следующих строк:
# provides UDP syslog reception
module(load="imudp")
input(type="imudp" port="514")
# provides TCP syslog reception
module(load="imtcp")
input(type="imtcp" port="514")
Затем добавьте следующие строки, чтобы определить шаблон для хранения входящих журналов от клиентских систем:
$template remote-incoming-logs,"/var/log/%HOSTNAME%/%PROGRAMNAME%.log"
*.* ?remote-incoming-logs
Сохраните и закройте файл, затем перезапустите службу Rsyslog, чтобы применить изменения:
systemctl restart rsyslogНа этом этапе Rsyslog запущен и слушает на порту 514. Вы можете проверить это, используя следующую команду:
ss -tunlp | grep 514Вы должны увидеть следующий вывод:
udp UNCONN 0 0 0.0.0.0:514 0.0.0.0:* users:(("rsyslogd",pid=26276,fd=6))
udp UNCONN 0 0 [::]:514 [::]:* users:(("rsyslogd",pid=26276,fd=7))
tcp LISTEN 0 25 0.0.0.0:514 0.0.0.0:* users:(("rsyslogd",pid=26276,fd=8))
tcp LISTEN 0 25 [::]:514 [::]:* users:(("rsyslogd",pid=26276,fd=9))
Настройка брандмауэра для Rsyslog
Далее вам нужно разрешить порт 514 через брандмауэр UFW. Вы можете разрешить его с помощью следующей команды:
ufw allow 514/tcp
ufw allow 514/udpЗатем перезагрузите брандмауэр, чтобы применить изменения:
ufw reloadНастройка клиента Rsyslog
Далее вам нужно настроить клиента Rsyslog для отправки файлов журналов на сервер Rsyslog. Вы можете сделать это, отредактировав основной конфигурационный файл Rsyslog.
nano /etc/rsyslog.confДобавьте следующие строки в конец файла:
#Enable sending system logs over UDP to rsyslog server
*.* @rsyslog-server-ip:514
#Enable sending system logs over TCP to rsyslog server
*.* @@rsyslog-server-ip:514
Также добавьте следующие строки, чтобы установить очередь на диске, когда сервер rsyslog будет недоступен:
$ActionQueueFileName queue
$ActionQueueMaxDiskSpace 1g
$ActionQueueSaveOnShutdown on
$ActionQueueType LinkedList
$ActionResumeRetryCount -1
Сохраните и закройте файл, затем перезапустите службу Rsyslog, чтобы применить изменения:
systemctl restart rsyslogПроверьте файл журнала клиента
Все файлы журналов клиента хранятся в каталоге /var/log на серверной машине.
Вы можете проверить это с помощью следующей команды:
ls -l /var/log/Вы должны увидеть файл журнала клиента, который соответствует имени хоста клиентской системы:
alternatives.log auth.log.2.gz daemon.log debian11 dpkg.log kern.log.1 messages.1 private syslog.3.gz
clientpc auth.log.3.gz daemon.log.1 debug dpkg.log.1 kern.log.2.gz messages.2.gz runit syslog.4.gz
apt btmp daemon.log.3.gz debug.2.gz icinga2 kern.log.4.gz messages.4.gz syslog
auth.log.1 csm.log dbconfig-common debug.4.gz kern.log messages ntpstats syslog.2.gz
Как вы можете видеть, clientpc — это каталог журнала клиентской системы.
Заключение
В приведенном выше руководстве мы объяснили, как настроить сервер и клиент Rsyslog на Debian 11. Теперь вы можете контролировать своих клиентов из центрального места. Не стесняйтесь задавать мне вопросы, если у вас есть какие-либо.
Get new posts in your inbox
No spam. Unsubscribe anytime.