informatique:linux:syslog
Differences
This shows you the differences between two versions of the page.
Both sides previous revisionPrevious revisionNext revision | Previous revisionLast revisionBoth sides next revision | ||
informatique:linux:syslog [2008/09/29 13:16] – mode debug + reorg pteu | informatique:linux:syslog [2020/01/23 09:03] – Diagnostique et debug pteu | ||
---|---|---|---|
Line 61: | Line 61: | ||
Exemple2 : '' | Exemple2 : '' | ||
+ | ====Diagnostique==== | ||
+ | |||
+ | On peut vérifier la configuration avec la commande : | ||
+ | <code bash> | ||
+ | rsyslogd -N1 | ||
+ | </ | ||
+ | |||
+ | Pour lancer le démon syslog en mode DEBUG, il faut spécifier l' | ||
+ | <code bash> | ||
+ | vi / | ||
+ | | ||
+ | </ | ||
=====Configuration sous Debian===== | =====Configuration sous Debian===== | ||
Line 66: | Line 78: | ||
==== Syslog centralisé ==== | ==== Syslog centralisé ==== | ||
- | Lorsqu' | + | Lorsqu' |
- | Pour que **sysklogd** accepte les logs depuis | + | Depuis Debian 8, pour activer la gestion des logs par le réseau il faut : |
- | Sous Debian on peut spécifier | + | * décommenter |
- | # vi /etc/default/syslogd | + | <code bash> |
- | # | + | # provides UDP syslog reception |
- | | + | $ModLoad imudp |
- | | + | $UDPServerRun 514 |
- | SYSLOGD=" | + | </ |
+ | * créer un fichier | ||
+ | <code bash> | ||
+ | # les logs provenant de l'IP 192.168.2.1 seront envoyés dans le fichier | ||
+ | if $fromhost-ip == ' | ||
+ | # possible aussi de filtrer par bout d'IP | ||
+ | if $fromhost-ip startswith ' | ||
+ | # et c'est tout (on ne traite plus d' | ||
+ | & ~ | ||
+ | </ | ||
+ | * redémarrer le service | ||
+ | <code bash> | ||
+ | systemctl restart rsyslog | ||
+ | </ | ||
- | Puis on le relance | + | Pour sécuriser un minimum, il faut compléter cela avec une règle iptables qui n' |
- | / | + | <code bash> |
- | | + | iptables -A INPUT -p udp -s 192.168.2.1 --dport 514 -j ACCEPT |
+ | </ | ||
- | Vérification : | + | === Exemples de filtres === |
- | ps -ef | grep syslogd | + | |
- | root | + | |
- | Bien sur, pour sécuriser le tout et éviter un DOS par flood de flux syslog depuis des machines malintentionnées, | + | <code bash> |
+ | # compare-operation : | ||
+ | # | ||
+ | # property-based filter : | ||
+ | # msg | hostname | programname | etc... | ||
+ | # cible : | ||
+ | # | ||
- | | + | # |
+ | # notation abrégée | ||
+ | # | ||
+ | :msg, contains, "iptables | ||
+ | & ~ | ||
+ | :msg, regex, "^\[ *[0-9]*\.[0-9]*\] iptables" | ||
+ | & ~ | ||
+ | # | ||
+ | # notation plus verbeuse (avec un " | ||
+ | # | ||
+ | if $msg regex '^\[ *[0-9]*\.[0-9]*\] iptables' | ||
+ | & ~ | ||
+ | |||
+ | # | ||
+ | # utilisation d'un template | ||
+ | # | ||
+ | # création du template " | ||
+ | $template OpenVPN,"/ | ||
+ | # on y tansfère tous les messages issus des processus dont le nom commence par " | ||
+ | : | ||
+ | # puis on arrête le traitement de ces messages pour éviter les doublons | ||
+ | : | ||
+ | </ | ||
==== WRT54G(L) ==== | ==== WRT54G(L) ==== | ||
Line 109: | Line 161: | ||
Voilà donc où vont être redirigés ces damned messages de log. | Voilà donc où vont être redirigés ces damned messages de log. | ||
- | |||
- | ==== Mode DEBUG ==== | ||
- | |||
- | Pour lancer le démon syslog en mode DEBUG, il faut spécifier l' | ||
- | |||
- | vi / | ||
- | | ||
=====Syntaxe avancée===== | =====Syntaxe avancée===== | ||
Line 156: | Line 201: | ||
# | # | ||
user.=warning | user.=warning | ||
+ | |||
+ | ====Log==== | ||
+ | On peut choisir la priorité syslog des journaux iptables (dans cet exemple, 4) : | ||
+ | iptables -t filter -A INPUT -j LOG --log-level=4 | ||
=====logger===== | =====logger===== | ||
Line 168: | Line 217: | ||
* http:// | * http:// | ||
+ | * https:// |
informatique/linux/syslog.txt · Last modified: 2020/09/14 08:50 by pteu