A veces hay cierta confusión con estos sistemas de logging implementados de las distribuciones de Linux. Veamos un pequeño resumen.
syslog. Fué el primer sistema de log consolidado, cuyo proyecto comenzó en 1980 y se extendió durante bastantes años. Sólo soporta UDP no garantizando la el almacenamiento de todos los mensajes.
syslog-ng. Se realiza a partir de 1998 y mejora las capacidades de syslog:
- Filtros basados en contenido
- Logging directamente a base de datos
- Ofrece transporte TCP
- Ofrece encreiptación TLS
rsyslog. El siseño de syslog-ng se mejoró desde 2004 con rsyslog añadiéndo las siguientes funcionalidades básicas:
- Soporte de protocolo RELP
- Soporte de operaciones en Búfer
journald. Con el nuevo systema de inicio systemd se implementa el nuevo journald como servicio y recolección de logs.
- No se almacena la información en texto plano, sino el archivos binarios aumentando la seguridad.
- Se almacena al información de manera estructurada.
- Se requiere la herramienta journalctl para interpretar los logs.
Una característica de journald es que la información se almacena de forma volátil por defecto. Se configura rsyslog para tomar los datos de journald y enviarlos al archivo /var/log para lograr la persistencia. Además permite almacenar enviar los registros a un servidor centralizado para su persistencia.
Para hacer la información persistente: