Rsyslog сервер можно настроить на прием лог сообщений от других хостов.
Для этого нужно просто изменить конфигурационный файл Syslog’a: /etc/rsyslog.conf
Для работы по протоколу UDP, раскоментировать строки
module(load="imudp")
input(type="imudp" port="514")
Для работы по протоколу TCP
module(load="imtcp")
input(type="imtcp" port="514")
Syslog может работать сразу по обоим протоколам. Тогда нужно раскомментировать все вышеперечисленное.
После перезагрузки службы сервер сможет принимать логи от удаленных хостов и обрабатывать их в соответствии настроенными фильтрами.
Отправка логов на удаленный Rsyslog сервер
Для отправки логов на другой сервер необходимо вместо лог файла указать конструкцию с @ или @@ (UDP или TCP) и ip-адрес сервера Syslog и порт:
Отправлять все логи на 10.10.10.1 по протоколу UDP
*.* @10.10.10.1:514
Отправлять все логи на 10.10.10.1 по протоколу TCP
*.* @@10.10.10.1:514
Еще Вы можете подробнее почитать про Syslog в этой статье.
