Serveurs de logs

 

 

  • Qu’est-ce que des “logs”?

   Les logs représentent un historique d’événements enregistrés séquentiellement dans un fichier ou une base de données. Il sera possible de lire le fichier de logs et ainsi pouvoir facilement retrouver toutes informations (défaillance, intrusion…).

   Les logs sont répertoriés en plusieurs catégories en fonction de leurs niveaux de gravité :

Niveau de gravité Signification
0 Emerg (Emergency) Système inutilisable.
1 Alert Intervention immédiate nécessaire.
2 Crit (Critical) Erreur critique pour le système.
3 Err (Error) Erreur de fonctionnement.
4 Warning Avertissement.
5 Notice Événement normal méritant d’être signalé.
6 Info Information seulement.
7 Debug Message de mise au point.

   Le journal de logs comporte les informations suivantes :

1/ La date de l’émission du log.

2/ Son niveau de gravité.

3/ L’hostname, qui est le nom de l’équipement ayant généré le log.

4/ Une information sur le processus qui a déclenché cette émission.

5/ Un identifiant du processus qui a généré ce log.

6/ Un corps de message décrivant la raison du log.

   Il existe aussi ce qu’on appelle des “Facilités” qui permettent d’identifier les messages selon leur origine. Il en existe un total de 24:

   Il y a la possibilité de régler son serveur de log afin de récupérer uniquement les logs d’un certain niveau de gravité. Ainsi, si l’on souhaite récupérer uniquement les messages à partir de l’Avertissement en ce qui concerne les messages kernel (Niveau de gravité 4), on peut le configurer de la manière suivante :

kern.crit -/var/log/kern.log

   Si l’on veut à nouveau traiter tous les niveaux de gravités, il faudra modifier le fichier de configuration de la manière suivante :

kern.* -/var/log/kern.log

  • Exemple de remontées de log :

 

  • Avantages :

On peut facilement voir si un matériel est défaillant, savoir duquel il s’agit, et le type de problème qu’il rencontre à l’heure de l’envoie du log.

    En cas d’intrusion d’un pirate sur le réseau, on peut récupérer des traces, même si il est parvenu à effacer ses traces.

    Tous les logs seront stockés dans un seul et unique fichier (ou une base de donnée) de rapport plutôt que de recevoir un rapport pour chaque machine.

 

  • Inconvénients :

La modification du fichier de configuration peut être fastidieuse, puisqu’il faut modifier chaque facilités en fonction du niveau de gravité minimum que l’on souhaite afficher dans le fichier de logs.

Il est possible que le serveur de logs soit saturé assez rapidement en fonction du nombre de logs reçu, d’où la quasi obligation de modifier le fichier de configuration.

Il faut être capable de lire les logs et de comprendre ce qu’ils signifient afin de pouvoir régler les différentes problèmes que l’on peut voir remonter.

  • Conclusion :

Les logs sont donc un outil très pratique puisqu’il permet de facilement retrouver d’où provient une panne, la raison d’un dysfonctionnement ou tout autre information sur le réseau (à condition de bien avoir configuré son serveur de log). Il est possible de l’utiliser pour tous les services également.