Bem, vejo algumas pessoas verificando essa questão e descobri como fazer isso. Então eu vou fazer um pequeno guia para iniciantes rsyslog.
Se você quiser apenas encaminhar dados do syslog para um servidor remoto:
Adicione esta linha ao final de /etc/rsyslog.d/50-default.conf (com base no protocolo):
UDP: *.* @remoteserverIP:PORT #usually port 514
TCP: *.* @@remoteserverIP:PORT #usually port 514
Adicione essas linhas a um arquivo .conf criado em /etc/rsyslog.d/
$ModLoad imfile
$InputFileName /var/log/test #change this to desired input
$InputFileTag test #change filetag
$InputFileStateFile stat-test
$InputFileSeverity info #log severity
InputRunFileMonitor
*.* @remoteserverIP:PORT #change to remote server
Reinicie o rsyslog
sudo service rsyslog restart
Em seguida, no servidor remoto (registro), você precisa editar o arquivo /etc/rsyslog.conf para ouvir o tráfego. A parte superior do arquivo terá estas seções:
# provides UDP syslog reception
#$ModLoad imudp
#$UDPServerRun 514
# provides TCP syslog reception
#$ModLoad imtcp
#$InputTCPServerRun 514
Remova o comentário da seção referente ao protocolo apropriado.
No final do arquivo, você provavelmente desejará incluir algum tipo de modelo de filtragem para que os logs sejam analisados em arquivos com base em sua origem. Aqui está um exemplo:
$template FILENAME,"/var/log/%fromhost-ip%/access.log
*.* ?FILENAME
Salve o arquivo e reinicie o serviço nesta máquina.
Espero que isso funcione para todos vocês!