Serveur de logs.

windows-syslogserver

Mise en place d’un serveur Rsyslog sous Debian.

Rsyslog est un serveur qui permet la centralisation de journaux afin de rendre ceux-ci plus facilement consultable et de moins encombrer le réseau.

Le serveur fonctionne en deux parties, un serveur ainsi qu’un client.

Le client peut-être soit à installer manuellement soit déjà présent dans certains systèmes tel que les routeurs, téléphones IP et autres périphériques réseaux.

Il y a différents «types» de logs, sous Linux quand on parle de gestion de logs, les facilites sont des catégories dans lesquelles les logs vont se « ranger » afin de mieux les archiver et les trier. Parmi ces facilites, on retrouve par exemple :

  • auth : Utilisé pour des évènements concernant la sécurité ou l’authentification à travers des applications d’accès (type SSH).
  • authpriv : Utilisé pour les messages relatifs au contrôle d’accès.
  • daemon : Utilisé par les différents processus systèmes et d’application.
  • kern : Utilisé pour les messages concernant le kernel.
  • mail : Utilisé pour les évènements des services mail.
  • user : Facilite par défaut quand aucune n’est spécifiée.
  • local7 : Utilisé pour les messages du boot.
  • * : Désigne toutes les facilites, par soucis de simplicité c’est ce que nous avons spécifié lors de notre première règle de redirection des logs un peu plus haut.
  • none : Désigne aucune facilites.

En plus de ces facilites, nous retrouvons pour chaque facilites un niveau de gravité (appelé Priorité) qui va du plus grave à la simple information :

  • Emerg : Urgence, système inutilisable.
  • Alert : Alerte. Intervention immédiate nécessaire.
  • Crit : Erreur système critique.
  • Err : Erreur de fonctionnement.
  • Warning : Avertissement.
  • Notice : Évènement normaux devant être signalé.
  • Info : Pour information.
  • Debug : Message de débogage.

I-Configuration du serveur.

Pour commencer il faut un système comportant un LAMP fonctionnel (pour une supervision visuelle).

La configuration du serveur est très simple :

# apt-get install rsyslog rsyslog-mysql

Il faut éditer le fichier /etc/rsyslog.conf :

Supprimez les commentaires sur les entrées suivantes afin de permettre la réception de syslog via le protocole TCP et UDP.

 

#provide UDP syslog reception (port de réception UDP)

$ModLoad imudp

$UDPServerRun 514

# provide TCP syslog reception (port de réception TCP)

$ModLoad imtcp

$InputTCPServerRun 514

 

Le serveur est désormais prêt à recevoir des paquets syslog via le port TCP/UDP 514.

Nous activerons ces 2 protocoles parce qu’en fonction de l’implémentation de syslog, il ne sera pas toujours possible de recourir au protocole TCP.

 

I-Configuration du client.

Au niveau du client, il faut aller dans ce même fichier puis, pour rediriger tous les logs sur le serveur, ajouter cette ligne à la fin du fichier :

*.* @IP_SERVER:514

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *