Pour installer Rsyslog sur une distribution Debian, utilisez la commande suivante :

$ sudo apt -y install rsyslog

Le fichier de paramétrage se nomme /etc/rsyslog.conf.

Afin de pouvoir récupérer les logs il faut modifier ce fichier et activer soit le protocole UDP soit le protocole TCP en décommentant les lignes suivantes :

# provides UDP syslog reception
module(load="imudp")
input(type="imudp" port="514")

ou

# provides TCP syslog reception
module(load="imtcp")
input(type="imtcp" port="10514")

Choisissez quels journaux vous voulez utiliser en commentant ou décommentant les lignes suivantes :

auth,authpriv.* /var/log/auth.log
*.*;auth,authpriv.none -/var/log/syslog
#cron.* /var/log/cron.log
daemon.* -/var/log/daemon.log
kern.* -/var/log/kern.log
lpr.* -/var/log/lpr.log
mail.* -/var/log/mail.log
user.* -/var/log/user.log
mail.info -/var/log/mail.info
mail.warn -/var/log/mail.warn
mail.err /var/log/mail.err

Pour rajouter d’autres journaux qui seront gérés par rsyslog vous devez rajouter une ligne par application.

L’exemple suivant permet de récupérer les journaux du serveur WEB Apache :

syslog.* /var/log/apache2/error.log

Rajouter les lignes suivantes si elles n’existent pas en fonction de votre choix UDP ou TCP, elles permettent d’indiquer quels réseaux pourront accéder au serveur de logs.

$AllowedSender UDP, 127.0.0.1, 192.168.1.0/24

Ou

$AllowedSender TCP, 127.0.0.1, 192.168.1.0/24

Puis vous devez redémarrer votre service :

$ sudo systemctl restart rsyslog

Vérifiez que votre service est opérationnel :

$ sudo systemctl status rsyslog