У меня есть рабочая настройка rsyslog с CentOS в качестве сервера, и я использую Kali в качестве клиента.
Я могу использовать регистратор на Kali для отправки тестовых сообщений журнала и видеть, что сообщения журнала появляются в файле сообщений CentOS и в файлах, специфичных для объекта, которые я настроил в /вар/журнал. Все, кроме сообщений ядра.
Я вижу, что сообщения ядра появляются в Сообщения файл на CentOS, но он не записывает в ядро.log файл у меня в /вар/журнал.
Из этого я делаю вывод, что клиент Kali правильно отправляет сообщение журнала (как оно получено и представлено в файле сообщений), но я что-то упустил в rsyslog.conf файл на CentOS.
Это то, что я использую для создания сообщения журнала от Kali:
logger -t "новый тест" -p kern.err "тестирование сообщений журнала ядра"
я делаю хвост -f сообщения на CentOS, и появится сообщение журнала. Однако, когда я кот в ядро.log файл, он пустой.
Это то, что у меня есть для rsyslog.conf на машине CentOS. Любые советы приветствуются.
Вот полный файл rsyslog.conf
# файл конфигурации rsyslog
# Для получения дополнительной информации см. /usr/share/doc/rsyslog-*/rsyslog_conf.html
# Если у вас возникли проблемы, см. http://www.rsyslog.com/doc/troubleshoot.html
#### МОДУЛИ ####
# Приведенный ниже модуль imjournal теперь используется в качестве источника сообщений вместо imuxsock.
$ModLoad imuxsock # обеспечивает поддержку ведения журнала локальной системы (например, с помощью команды logger)
$ModLoad imjournal # предоставляет доступ к журналу systemd
$ModLoad imklog # читает сообщения ядра (то же самое читается из journald)
$ModLoad immark # обеспечивает возможность сообщения --MARK--
# Обеспечивает прием системного журнала UDP
#$ModLoad imudp
#$UDPServerRun 514
# Обеспечивает прием системного журнала TCP
$ModLoad imtcp
$InputTCPServerRun 514
#### ГЛОБАЛЬНЫЕ ДИРЕКТИВЫ ####
# Где разместить вспомогательные файлы
$WorkDirectory /var/lib/rsyslog
# Использовать формат временной метки по умолчанию
$ActionFileDefaultTemplate RSYSLOG_TraditionalFileFormat
# Возможность синхронизации файлов по умолчанию отключена. Эта функция обычно не требуется,
# бесполезно и резко снижает производительность
#$ActionFileEnableSync включен
# Включить все файлы конфигурации в /etc/rsyslog.d/
$IncludeConfig /etc/rsyslog.d/*.conf
# Отключаем прием сообщений через локальный лог сокет;
# локальные сообщения теперь загружаются через imjournal.
$OmitLocalВход в систему
# Файл для хранения позиции в журнале
$IMJournalStateФайл imjournal.state
#### ПРАВИЛА ####
# Записывать все сообщения ядра в консоль.
# Регистрация многих других загромождает экран.
kern.info /var/log/kernel.log
# Регистрировать что-либо (кроме почты) уровня информации или выше.
# Не регистрировать приватные сообщения аутентификации!
*.info;mail.none;authpriv.none;cron.none /var/log/messages
kern.err /var/log/kernel.log
# Доступ к файлу authpriv ограничен.
authpriv.* /var/log/secure
# Регистрируйте все почтовые сообщения в одном месте.
почта.* /var/журнал/maillog
#записать сообщение lpr в файл
#lpr.* /var/log/lpr.log
# Логируем cron
хрон.* /var/журнал/хрон
# Все получают экстренные сообщения
*.emerg :omusrmsg:*
# Сохранять ошибки новостей уровня крита и выше в специальный файл.
uucp,news.crit /var/log/spooler
# Сохраняем загрузочные сообщения также в boot.log
local7.* /var/log/boot.log
# ### начать правило переадресации ###
# Оператор между begin ... end определяет ОДНУ пересылку
# правило. Они принадлежат друг другу, НЕ разделяйте их. Если вы создаете несколько
# правила переадресации, дублировать весь блок!
# Удаленное ведение журнала (мы используем TCP для надежной доставки)
#
# Для этого действия создается очередь на диске. Если удаленный хост
# вниз, сообщения буферизируются на диск и отправляются, когда он снова поднимается.
#$ActionQueueFileName fwdRule1 # уникальный префикс имени для буферных файлов
#$ActionQueueMaxDiskSpace 1g # Ограничение на 1 ГБ места (используйте как можно больше)
#$ActionQueueSaveOnShutdown on # сохранять сообщения на диск при завершении работы
#$ActionQueueType LinkedList # запустить асинхронно
#$ActionResumeRetryCount -1 # бесконечные попытки, если хост не работает
# удаленный хост: имя/ip:порт, например. 192.168.0.1:514, порт необязательно
#*.* @@remote-host:514
# ### конец правила переадресации ###
