pteuz Wiki

User Tools

Site Tools

You are here: start » informatique » linux » syslog
Trace:
informatique:linux:syslog

Differences

This shows you the differences between two versions of the page.

Link to this comparison view

Both sides previous revisionPrevious revision
Next revision		Previous revision
Next revisionBoth sides next revision
informatique:linux:syslog [2013/10/14 20:44] – external edit 127.0.0.1informatique:linux:syslog [2016/12/30 07:21] – [Syslog centralisé] pteu
Line 66: Line 66:
 ==== Syslog centralisé ==== ==== Syslog centralisé ====
  
-Lorsqu'on a un parc qui grossi il devient très utile de centraliser les log des différents équipements sur une seule machine. C'est possible en configurant syslog pour qu'il accepte les messages venant du réseau.+Lorsqu'on a un parc qui grossi il devient très utile de centraliser les logs des différents équipements sur une seule machine. C'est possible en configurant syslog pour qu'il accepte les messages venant du réseau.
  
-Pour que **sysklogd** accepte les logs depuis le réseau (ce n'est pas le cas par défaut), il faut le lancer avec l'option %%-r%%. +Depuis Debian 8, pour activer la gestion des logs par le réseau il faut : 
-Sous Debian on peut spécifier les options de lancement du démon en modifiant la variable ''SYSLOGD'' dans ''/etc/default/syslogd'' (qui est utilisé par le script de lancement ''/etc/init.d/sysklogd''+  * décommenter les 2 lignes suivantes dans ''/etc/rsyslog.conf''
-  # vi /etc/default/syslogd +<code bash> 
-   # +provides UDP syslog reception 
-   # For remote UDP logging use SYSLOGD="-r" +$ModLoad imudp 
-   # +$UDPServerRun 514 
-   SYSLOGD="-r" +</code> 
- +  * créer un fichier dans ''/etc/rsyslog.d/'' , par exemple ''test.conf'' et y définir où stocker les logs que l'on va recevoir 
-Puis on le relance : +<code bash> 
-  /etc/init.d/sysklogd restart +# les logs provenant de l'IP 192.168.2.1 seront envoyés dans le fichier /var/log/test.log 
-  Restarting system log daemon.... +if $fromhost-ip == '192.168.2.1' then /var/log/test.log 
- +# et c'est tout (on ne traite plus d'autres règles pour ces logs) 
-Vérification +& ~ 
-  ps -ef | grep syslogd +</code> 
-  root     14634      0 23:08 ?        00:00:00 /sbin/syslogd -r +  * redémarrer le service 
- +<code bash> 
-Bien sur, pour sécuriser le tout et éviter un DOS par flood de flux syslog depuis des machines malintentionnées, il faut complèter celà avec une règle iptables qui n'accepte les sockets udp/514 que depuis des machines bien identifiées, par exemple le poste 192.168.2.1 : +systemctl restart rsyslog 
- +</code>
-  iptables -A INPUT -p udp -s 192.168.2.1 --dport 514 -j ACCEPT+
  
 +Pour sécuriser un minimum, il faut compléter cela avec une règle iptables qui n'accepte les sockets udp/514 que depuis notre machine :
 +<code bash>
 +iptables -A INPUT -p udp -s 192.168.2.1 --dport 514 -j ACCEPT
 +</code>
  
 ==== WRT54G(L) ==== ==== WRT54G(L) ====
informatique/linux/syslog.txt · Last modified: 2020/09/14 08:50 by pteu