El servidor syslog de Pandora FMS necesita un log (registro de eventos) único de almacenaje de logs en los que recibirá todos los logs provenientes de los diferentes dispositivos configurados para que posteriormente el servidor syslog los procese y los envíe a Elasticsearch.
En el caso de que no tengamos el servicio rsyslog en el servidor de Pandora FMS, habrá que instalar el mismo:
yum -y install rsyslog
Una vez instalado debemos tener correctamente configurados los siguientes parámetros en el fichero /etc/rsyslog.conf:
# Log anything (except mail) of level info or higher. # Don't log private authentication messages! *.info;mail.none;authpriv.none;cron.none /var/log/messages # Provides UDP syslog reception $ModLoad imudp $UDPServerRun 514 # Provides TCP syslog reception $ModLoad imtcp $InputTCPServerRun 514
De esta forma tendremos habilitado el puerto 514 de escucha y se escribirán todos los logs recibidos en /var/log/messages. En el caso de que queramos usar un fichero diferente, modificaremos el mismo en esa línea. En el caso de tener cortafuegos corriendo en el sistema, habrá que tener abierto ese puerto.
Una vez configurado correctamente tendremos que iniciar el servicio rsyslog.
# systemctl start rsyslog
Una vez se inicie el servicio, quedará levantado el puerto de escucha y empezaremos a recibir todos los logs que estemos enviando desde los diferentes dispositivos en la red.
tcp 0 0 0.0.0.0:514 0.0.0.0:* LISTEN 4096/rsyslogd
- Véase también:
https://pandorafms.com/manual/es/documentation/03_monitoring/09_log_monitoring