Receber log remoto em um servidor Rsyslog

No servidor recebendo mensagens do syslog, na porta UDP 514, você precisaria adicionar a seguinte configuração:

$ModLoad imudp
$UDPServerRun 514
$AllowedSender UDP, 10.42.0.0/15 127.0.0.1

$template RemoteStore, "/var/log/remote/%HOSTNAME%/%timegenerated:1:10:date-rfc3339%"
:source, !isequal, "localhost" -?RemoteStore
:source, isequal, "last" ~

Verifique se você permitiu os remetentes corretos ( replace 10.42.0.0/15 ), reinicie o rsyslog. Em seguida, você encontrará seus registros remotos em /var/log/remote/$hostname/YYYY-MM-DD .

Além disso, os detalhes do CentOS: há uma boa chance de o seu firewall estar ativado. Se estiver, pode estar descartando tráfego de entrada para a porta UDP 514. Verifique o status do seu firewall ( systemctl status firewall ). Se ativado, tente adicionar uma regra.

# firewall-cmd --get-default-zone
public
# firewall-cmd --zone=public --add-port=514/udp
# firewall-cmd --permanent
# firewall-cmd --reload

Você pode querer verificar o SELinux. Se estiver ativado, certifique-se de que o permita que o rsyslog receba tráfego UDP para a porta 514 .

Eu recentemente estava coçando minha cabeça neste mesmo problema. Eu tentei as duas sugestões acima de SYN - ainda sem dados. :(

No RHEL 7 eu finalmente achei que precisava adicionar uma regra "ACCEPT" em / etc / sysconfig / iptables :

-A INPUT -m state --state NEW -m udp --dport 514 -j ACCEPT

Isso deve aparecer antes de qualquer regra "REJECT" no arquivo. Uma vez que isso estava no lugar, as coisas eram de ouro! :)