informatique:linux:syslog
Differences
This shows you the differences between two versions of the page.
Next revision | Previous revisionLast revisionBoth sides next revision | ||
informatique:linux:syslog [2008/09/22 13:22] – créée pteu | informatique:linux:syslog [2020/01/23 09:03] – Diagnostique et debug pteu | ||
---|---|---|---|
Line 61: | Line 61: | ||
Exemple2 : '' | Exemple2 : '' | ||
+ | ====Diagnostique==== | ||
+ | |||
+ | On peut vérifier la configuration avec la commande : | ||
+ | <code bash> | ||
+ | rsyslogd -N1 | ||
+ | </ | ||
+ | |||
+ | Pour lancer le démon syslog en mode DEBUG, il faut spécifier l' | ||
+ | <code bash> | ||
+ | vi / | ||
+ | | ||
+ | </ | ||
=====Configuration sous Debian===== | =====Configuration sous Debian===== | ||
- | Pour que **sysklogd** accepte les logs depuis le réseau (ce n'est pas le cas par défaut), il faut le lancer avec l' | + | ==== Syslog centralisé ==== |
- | Sous Debian on peut spécifier les options de lancement du démon en modifiant la variable '' | + | |
- | # vi / | + | |
- | # | + | |
- | # For remote UDP logging use SYSLOGD=" | + | |
- | # | + | |
- | | + | |
- | Puis on le relance : | + | Lorsqu' |
- | / | + | |
- | Restarting system log daemon.... | + | |
- | Vérification | + | Depuis Debian 8, pour activer la gestion des logs par le réseau il faut : |
- | | + | |
- | | + | <code bash> |
+ | # provides UDP syslog reception | ||
+ | $ModLoad imudp | ||
+ | $UDPServerRun 514 | ||
+ | </ | ||
+ | | ||
+ | <code bash> | ||
+ | # les logs provenant de l'IP 192.168.2.1 seront envoyés dans le fichier / | ||
+ | if $fromhost-ip == ' | ||
+ | # possible aussi de filtrer par bout d'IP | ||
+ | if $fromhost-ip startswith ' | ||
+ | # et c'est tout (on ne traite plus d' | ||
+ | & ~ | ||
+ | </ | ||
+ | * redémarrer le service | ||
+ | <code bash> | ||
+ | systemctl restart rsyslog | ||
+ | </ | ||
+ | |||
+ | Pour sécuriser un minimum, il faut compléter cela avec une règle iptables qui n' | ||
+ | <code bash> | ||
+ | iptables -A INPUT -p udp -s 192.168.2.1 --dport 514 -j ACCEPT | ||
+ | </ | ||
+ | |||
+ | === Exemples de filtres === | ||
+ | |||
+ | <code bash> | ||
+ | # compare-operation | ||
+ | # | ||
+ | # property-based filter | ||
+ | # msg | hostname | programname | etc... | ||
+ | # cible : | ||
+ | # | ||
+ | |||
+ | # | ||
+ | # notation abrégée | ||
+ | # | ||
+ | :msg, contains, " | ||
+ | & ~ | ||
+ | :msg, regex, "^\[ *[0-9]*\.[0-9]*\] iptables" | ||
+ | & ~ | ||
+ | |||
+ | # | ||
+ | # notation plus verbeuse (avec un " | ||
+ | # | ||
+ | if $msg regex '^\[ *[0-9]*\.[0-9]*\] iptables' | ||
+ | & ~ | ||
+ | |||
+ | # | ||
+ | # utilisation d'un template | ||
+ | # | ||
+ | # création du template " | ||
+ | $template OpenVPN,"/ | ||
+ | # on y tansfère tous les messages issus des processus dont le nom commence par " | ||
+ | : | ||
+ | # puis on arrête le traitement de ces messages pour éviter les doublons | ||
+ | : | ||
+ | </ | ||
+ | |||
+ | ==== WRT54G(L) ==== | ||
Avec certain équipement, | Avec certain équipement, | ||
Line 107: | Line 170: | ||
'' | '' | ||
+ | Pour reprendre l' | ||
+ | |||
+ | user.=warning | ||
+ | |||
+ | mais alors j' | ||
+ | |||
+ | # lui il récupère presque tout ! | ||
+ | *.*; | ||
+ | | ||
+ | # lui il récupère le facility user | ||
+ | user.* | ||
+ | | ||
+ | # lui je l'ai inventé pour l' | ||
+ | *.=warning | ||
+ | |||
+ | Et voici les modifications à leur apporter : | ||
+ | |||
+ | # maintenant il ne récupère plus le facility user (qui va déjà dans user.log de toute façon) | ||
+ | *.*;\ | ||
+ | | ||
+ | | ||
+ | # lui il récupère le facility user sauf la priorité warning | ||
+ | user.*; | ||
+ | | ||
+ | # lui je l'ai inventé pour l' | ||
+ | *.=warning; | ||
+ | |||
+ | Surtout, ne pas oublier de rediriger les flux de notre routeur ! | ||
+ | |||
+ | # | ||
+ | user.=warning | ||
+ | |||
+ | ====Log==== | ||
+ | On peut choisir la priorité syslog des journaux iptables (dans cet exemple, 4) : | ||
+ | iptables -t filter -A INPUT -j LOG --log-level=4 | ||
=====logger===== | =====logger===== | ||
Line 119: | Line 217: | ||
* http:// | * http:// | ||
+ | * https:// |
informatique/linux/syslog.txt · Last modified: 2020/09/14 08:50 by pteu