{"id":65,"date":"2008-08-26T09:20:21","date_gmt":"2008-08-26T07:20:21","guid":{"rendered":"http:\/\/wp1.fredptitgars.net\/index.php\/2008\/08\/26\/serveur-syslog-ng\/"},"modified":"2008-08-26T09:20:21","modified_gmt":"2008-08-26T07:20:21","slug":"serveur-syslog-ng","status":"publish","type":"post","link":"https:\/\/fredptitgars.ovh\/?p=65","title":{"rendered":"Serveur syslog-ng"},"content":{"rendered":"

Pour commencer des liens int\u00e9ressants:
\n
http:\/\/www.linux-france.org\/prj\/inetdoc\/articles\/devmgmt\/devmgmt.log.html<\/a>
\n
http:\/\/doc.ubuntu-fr.org\/syslog-ng<\/a><\/p>\n

Sur le serveur<\/h2>\n

Le choix de syslog-ng am\u00e9liore 2 \u00e9l\u00e9ments par rapport \u00e0 syslog: la s\u00e9curit\u00e9 et la non discrimination des sources. En effet Syslog-ng permet de ranger les log de chaque \u00e9quipement dans des fichiers diff\u00e9rents.<\/p>\n

La premi\u00e8re chose \u00e0 faire bine sur est d’installer syslog-ng, cette action vas remplacer (donc supprimer) le syslog de base:<\/p>\n


\napt-get install syslog-ng
\n<\/code><\/p>\n

La configuration s’effectue par l’interm\u00e9diaire du fichier:
\n
\/etc\/syslog-ng\/syslog-ng.conf<\/em><\/p>\n

Pour chaque cat\u00e9gorie de journalisation, on doit composer avec une d\u00e9finition de source, de filtre et de destination. Voici un exemple reprenant le cas du commutateur :<\/p>\n

D\u00e9finition d’une source
\n
\n source net
\n # journalisation via eth2 -> commutateur sw1
\n udp(ip(192.168.2.1));
\n <\/em>;
\n<\/code>
\nD\u00e9finition d’un filtre
\n
\n filter f_sw1
\n host(192.168.2.2) and level(info,notice,warn,crit,err);
\n <\/em>;
\n<\/code>
\nD\u00e9finition d’une destination
\n
\n destination d_net_devices
\n file(\"\/var\/log\/$HOST.log\" owner(\"root\") group(\"adm\") perm(0640));
\n <\/em>;
\n<\/code>
\nUtilisation des trois d\u00e9finitions
\n
\n log
\n source(net);
\n filter(f_sw1);
\n destination(d_net_devices);
\n <\/em>;
\n<\/code>
\nL’application de cette configuration entra\u00eene la cr\u00e9ation d’un fichier \/var\/log\/192.168.2.2.log qui re\u00e7oit tous les messages du commutateur sw1 qui a l’adresse IP 192.168.2.2.<\/p>\n

Pour notre cas, nous allons ajouter une source udp qui permet de se mettre \u00e0 l’\u00e9coute en udp([?User_Datagram_Protocol]) sur le port 514 par d\u00e9faut
\n
\nsource s_all
\n # message generated by Syslog-NG
\n internal();
\n # standard Linux log source (this is the default place for the syslog()
\n # function to send logs to)
\n unix-stream(\"\/dev\/log\");
\n # messages from the kernel
\n file(\"\/proc\/kmsg\" log_prefix(\"kernel: \"));
\n # use the following line if you want to receive remote UDP logging messages
\n # (this is equivalent to the \"-r\" syslogd flag)
\n #udp();
\n<\/em>;
\nsource s_net
\n udp();
\n<\/em>;
\n<\/code><\/p>\n

Les d\u00e9finitions \u00e0 ajouter:
\n
\n#ajout cisco
\ndestination df_cisco file(\"\/var\/log\/cisco.log\"); <\/em>;<\/p>\n

# ajout cisco
\nfilter f_cisco host(10.10.10.1); <\/em>;<\/p>\n

<\/code><\/p>\n

Et \u00e0 la fin du fichier on ajoute les lignes suivantes
\n
\n# cisco -\/var\/log\/cisco.log
\nlog
\n source(s_net);
\n filter(f_cisco);
\n destination(df_cisco);
\n<\/em>;
\n<\/code><\/p>\n

Ce qui permet \u00e0 syslog-ng d’envoyer tous les message venant de l’adresse 10.10.10.1 vers le fichier \/var\/log\/cisco.log<\/p>\n

Il ne reste plus qu’a red\u00e9marrer le serveur:
\n
\n\/etc\/init.d\/syslog-ng restart
\n<\/code><\/p>\n

sur le routeur<\/h2>\n

Voici la config:
\n
\nlogging buffered 4096 notifications
\nlogging source-interface Vlan1
\nlogging 10.10.10.3
\n<\/code><\/p>\n

nous avons d\u00e9finit la taille du buffer \u00e0 4096, le niveau est de log est 5 (notifications). Sur l’interface Vlan1. Et pour finir nous envoyons tous les log sur la machine 10.10.10.3<\/p>\n","protected":false},"excerpt":{"rendered":"

Pour commencer des liens int\u00e9ressants: http:\/\/www.linux-france.org\/prj\/inetdoc\/articles\/devmgmt\/devmgmt.log.html http:\/\/doc.ubuntu-fr.org\/syslog-ng Sur le serveur Le choix de syslog-ng am\u00e9liore 2 \u00e9l\u00e9ments par rapport \u00e0 syslog: la s\u00e9curit\u00e9 et la non discrimination des sources. En effet Syslog-ng permet de ranger les log de chaque \u00e9quipement dans des fichiers diff\u00e9rents. La premi\u00e8re chose \u00e0 faire bine sur est d’installer syslog-ng, cette […]<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[11],"tags":[],"class_list":["post-65","post","type-post","status-publish","format-standard","hentry","category-poweredge-t105"],"blocksy_meta":[],"_links":{"self":[{"href":"https:\/\/fredptitgars.ovh\/index.php?rest_route=\/wp\/v2\/posts\/65","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/fredptitgars.ovh\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/fredptitgars.ovh\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/fredptitgars.ovh\/index.php?rest_route=\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/fredptitgars.ovh\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=65"}],"version-history":[{"count":0,"href":"https:\/\/fredptitgars.ovh\/index.php?rest_route=\/wp\/v2\/posts\/65\/revisions"}],"wp:attachment":[{"href":"https:\/\/fredptitgars.ovh\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=65"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/fredptitgars.ovh\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=65"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/fredptitgars.ovh\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=65"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}