¿Qué es Rsyslog?

Rsyslog es un software de código abierto utilizado en sistemas Unix y similares (como Linux) para la gestión de mensajes de registro (logs). Es una implementación moderna y mejorada del protocolo syslog tradicional.

El protocolo syslog es un estándar que permite a los sistemas enviar mensajes de registro a un servidor central. Rsyslog toma este concepto y lo lleva a un nuevo nivel, ofreciendo una serie de características avanzadas que lo hacen más potente y flexible.

¿Qué hace Rsyslog?

La función principal de Rsyslog es recopilar, filtrar, procesar y almacenar o reenviar mensajes de registro generados por el sistema operativo, las aplicaciones y los servicios.

• Recopilación: Puede recibir logs de diferentes fuentes.
• Filtrado: Permite aplicar reglas detalladas para decidir qué hacer con cada mensaje.
• Procesamiento: Puede reestructurar y preparar los mensajes para su destino.
• Almacenamiento y Reenvío: Los mensajes se pueden almacenar localmente o reenviar a un servidor central.

Características Clave de Rsyslog

Entre sus características más importantes se incluyen:

• Registro centralizado: Facilita la monitorización de logs de múltiples máquinas en un solo servidor.
• Protocolos de red: Soporta TCP, UDP y RELP para una entrega confiable de mensajes.
• Módulos de entrada y salida: Acepta logs de diversas fuentes y puede enviarlos a destinos como bases de datos (MariaDB, MySQL) o sistemas de análisis (Elasticsearch).
• Filtrado avanzado: Permite reglas complejas para el enrutamiento de mensajes.
• Manejo de colas: Evita la pérdida de mensajes si el servidor de destino no está disponible.

---

¿Cómo leo Rsyslog?

Leer los logs de rsyslog es fundamental para la administración de sistemas. La mayoría de los logs se encuentran en el directorio /var/log/.

Comandos básicos para leer logs

Estos comandos son las herramientas principales para interactuar con los archivos de log desde la terminal:

• cat /var/log/syslog: Muestra todo el contenido del archivo.
• less /var/log/syslog: Un visor interactivo para archivos grandes.
• tail /var/log/syslog: Muestra las últimas 10 líneas.
• tail -f /var/log/syslog: Sigue el archivo en tiempo real, mostrando las nuevas líneas a medida que se escriben.

Filtrar información específica con grep

Puedes usar el comando grep para buscar líneas que coincidan con un patrón:

grep "error" /var/log/syslog

Para buscar en tiempo real, combina tail -f con grep:

tail -f /var/log/syslog | grep "failed"

Ubicaciones comunes de los archivos de log

Rsyslog organiza los logs por tipo de evento en diferentes archivos:

• /var/log/syslog o /var/log/messages: Logs principales del sistema.
• /var/log/auth.log: Eventos de autenticación de usuarios.
• /var/log/kern.log: Mensajes del kernel de Linux.
• /var/log/cron.log: Mensajes de los trabajos programados con cron.