rsyslog
Demonio responsable de recopilar mensajes provenientes de las aplicaciones y el kernel y enviarlos a los archivos de registro, almacenados generalmente en el directorio /var/log/. Los mensaje de las aplicaciones están asociadas a unos subsistemas; auth y authpriv [para autentificación], cron [tareas programadas], demon [afecta a algún demonio], ftp [al servidor FTP], kern [proveniente del kernel], lpr [proviene del subsistema de impresión], mail [del subsistema de correo electrónico], news [mensaje del subsistema Usenet], syslog [mensajes del propio servidor syslogd], user [mensajes de usuario genérico], uucp [del servidor UUCP] y local0 a local7 [reservado para uso local] y tambien estan asociados a un nivel de prioridad: emerg [emergencia extrema del sistema], alert [alerta importante], crit [condición critica], err [error], warn [advertencia, posible error], notice [aviso importante], info [mensaje informacivo] y debug [mensaje de depuración]
Modificar el archivo:
# nano /etc/rsyslog.conf
Desconmentando las lineas:
module(load="imudp")
input(type="imudp" port="514")
module(load="imtcp")
input(type="imtcp" port="514")
Que todos los mensajes de alerta se manden a los usuarios “root” y “USER”
*.alert root,USER
Comprobar si el archivo de configuración está correcto:
# rsyslogd -N1 -f /etc/rsyslog.conf
Para que los cambios surtan efecto reiniciar el servicio:
# systemctl restart rsyslog
Verificar que el servicio rsyslog esté escuchando en los puertos especificados.
# ss -tunlp | grep 514# rsyslogd -dn
# rsyslogd -n
# rsyslogd -dn