Im vorliegenden Kapitel wird als externer Syslog-Server beispielhaft rSyslog beschrieben.

rSyslog ist ein Open-Source-Softwaretool, das auf Linux-Computersystemen verwendet wird, um Protokollnachrichten über ein IP-Netzwerk weiterzuleiten. Es implementiert das grundlegende Syslog-Protokoll und erweitert es um inhaltsbasierte Filterung mit umfangreichen Funktionen. Das RSYSLOG-Dienstprogramm bietet verschiedene Funktionen wie Filterfähigkeiten, Warteschlangenverwaltung zur Behandlung von Offline-Ausgaben, Unterstützung verschiedener Modulausgaben, flexible Konfigurationsoptionen und die Verwendung von TCP für den Transport.

Rsyslog verwendet das BSD-Syslog-Standardprotokoll, wie in RFC 3164 definiert. Da der Text von RFC 3164 eher eine informative Beschreibung als eine Norm ist, wurden mehrere inkompatible Erweiterungen entwickelt. rSyslog unterstützt verschiedene dieser Erweiterungen (unter anderem auch RFC 5424) und erleichtert die Anpassung des Formats der weitergeleiteten Nachrichten (Quelle: https://en.wikipedia.org/wiki/Rsyslog).

Installation

Installieren Sie das rSyslog-Paket auf einem externen Server bzw. VM (z.B. auf einer Application Unit (AU)) in Abhängigkeit des eingesetzten Betriebssystems.

Starten des Dienstes:

Sie können rsyslog.service nach der Installation starten/aktivieren.

Konfiguration

Konfigurationsdatei

Die Konfiguration für rSyslog ist in der Datei /etc/rsyslog.conf gespeichert.

In /etc/rsyslog.conf sind folgende Einstellungen zum Empfang von CLIP-Ereignissen vorzunehmen:

     # provides TCP syslog reception
     $ModLoad imtcp
     $InputTCPServerRun 514

Damit wird das TCP-Plugin für den Server aktiviert und der Standard-Port 514 zum Empfang der Syslog-Nachrichten geöffnet.

Für weitere Konfigurationsmöglichkeiten wird auf die Dokumentation von rSyslog verwiesen.

Facility-Ebene

Alle von CLIP versendeten Nachrichten werden in rSyslog mit einer 'facility' von 1 (Nachrichten auf Benutzerebene) und einer 'severity' von 6 (informativ) konfiguriert.