rsyslog是Debian和Red Hat中的默认记录程序。
它是原始Syslog协议的扩展，具有诸如灵活配置，丰富的过滤功能和基于内容的过滤等添加功能。
就像Syslogd一样，rsyslogd守护程序可用于从程序和服务器收集日志消息，并将这些消息引导到本地日志文件，设备或者远程日志记录主机。

使用两个配置文件配置rsyslog。
第一个是/etc/rsyslog.conf：

正如我们在上面的示例中看到的，rsyslog.conf具有允许我们包含或者不包含rsyslog服务中的特定功能的模块部分：

以$modload开头的条目加载了以下模块。
目前已禁用的模块之前。

rsyslog.conf文件还包括一组全局指令，例如$failowner，为新创建的日志文件设置文件所有者，为新创建的日志文件设置组的$filegroup，它包括来自的所有配置文件指定的目录，依此类：

rsyslog.conf文件包括对/etc/rsyslog.d/50-default.conf文件的引用。
此文件定义了默认的日志记录规则。
它类似于syslog.conf：

使用规则条目指定日志记录。
在每一行上，指定了选择器(Facility.priority)和操作。
例如，考虑以下行：

kern.alert /var/log/kern.log.

以上规则指定从kern工厂的每个日志消息都具有警报优先级和更高版本的信息将被引导到/var/log/kern.log。

要将消息引导到远程日志主机，请使用@字符指定日志主机的主机名。
例如，如果我们希望将消息从上面的示例引导到远程服务器Suse1，我们将使用以下行：

kern.alert @ suse1.

这是另一个例子：

邮件。
*/var/log/mail

上面的行向始发程序标识的所有日志条目发送到与邮件相关到/var/log/mail文件。

某些消息可以由多个规则处理。
例如，另一个规则可能看起来像这个：

• .emerg *

此行将所有Emert Elem -Level消息发送到使用文本模式工具登录计算机的所有用户的控制台。
如果此行和较早的邮件。
*选择器都存在，与邮件相关的Emervel消息将被记录到/var/log/mail并显示在用户的控制台上。

确保在配置文件中更改后重新启动rsyslog服务。
我们可以使用sudo service rsyslog重新启动命令执行此操作。