Home :

• Home
• Contact
• Lisez-moi
• Remerciements
• Traductions
• Historique
• Références
• Statistiques
• A propos

Tutorials :

• Analyse
• 
• Wireshark
• Ettercap
• Snort & BASE
• Snort_Inline & BASE
• Kismet
• 
• Surveillance
• 
• Cacti
• PHP Weathermap
• 
• Journalisation
• 
• Php-syslog-ng
• Rancid
• IPplan
• 
• Routage
• 
• Vyatta
• Quagga
• 
• VPN
• 
• OpenVPN
• 
• Telephony
• 
• Trixbox
• 
• Emulation de lien
• 
• WANem

Autre :

• Open Source
• MySQL

Réseau :

• Réseau
• Ping
• TCPdump
• Netstat
• Iperf
• CDP

OS :

• Linux ;
• Windows ;
• 
• Debian ;
• Ubuntu ;
• 
• Outils APT
• CheckInstall
• Minicom

Php Scripts :

• Temps du monde
• Menu

PHP-Syslog-NG Autre
Dernière modif: Feb 02 2008

---

Outil
Tutorial
Ergonomie
Forum


Détails Phpsyslog-ng, c'est quoi?
Captures d'écran
Prérequis
Tutorial php-syslog-ng
Clients Syslog

---

Nous allons ici vous montrer trois clients syslog communs qui peuvent envoyer des logs vers notre serveur syslog.

1. LINUX

2. WINDOWS

3. CISCO

---

1. client LINUX

Pour envoyer des logs depuis une machine Linux vers un serveur log, vous pouvez soit utiliser syslogd qui est le syslog par défaut sur une machine Linux ou syslog-ng.

- syslogd

Ouvrir le fichier /etc/syslogd.conf. Vous devez utiliser la syntaxe suivante:

facility.priorité destination

Voici quelques exemples:

*.* 10.58.1.1	# tous les logs sont déviés vers 10.58.1.1
kern.alert 10.2.5.8	# les messages "alert" et "emergencies" (urgence) généré par le noyau (kernel) sont envoyés vers 10.2.5.8.

Redémarrer le serveur:

etc/init.d/sysklogd restart

- syslog-ng

# apt-get install syslog-ng

La configuration du client syslog-ng est un peu plus difficile que celle de syslogd mais par contre elle offre bien plus de possibilités. Par exemple, l'utilisation de filtres, l'envoi de logs sur TCP ou encore l'envoi de logs encryptés vers le serveur.
Voyons comment configurer le client syslog-ng:
Ouvrez le fichier de configuration /etc/syslog-ng/syslog-ng.conf
La syntaxe est la suivante, elle se comprends par elle-même:

log { source(nom_de_la_source); filter(nom_du_filtre); destination(nom_de_la_destination); };

Voici quelques exemples:
1.
Tous les logs sont envoyés vers le serveur de log 10.13.44.44.

source s_all { internal(); unix-stream("/dev/log"); file("/proc/kmsg" log_prefix("kernel: ")); udp(); }; destination d1 { udp("10.13.44.44"); }; log { source(s_all); destination(d1); };

2.
Dans cet deuxième exemple, nous utilisons un filtre pour séléctionner quelles logs seront envoyés vers le serveur. Le filtre inclus les messages de niveau "notice", "alert" et "error". En même temps, les messages doivent provenir de la "facility" kernel, en d'autres termes venir du noyau.
Pour plus d'informations à propos de la syntaxe du message, regarder le site web linode.com .
Les logs sont envoyés sur TCP port 54321 au lieu de sur UDP port 514, qui est le paramétrage par défaut.
Bien sûr, si vous voulez changer le port utiliser pour envoyer les logs, le collecteur de log doit être capable d'écouter à ce port.

source s_all { internal(); unix-stream("/dev/log"); file("/proc/kmsg" log_prefix("kernel: ")); udp(); }; filter filtre1 { level(notice, alert, errot) and facility(kern); }; destination d1 { tcp("10.15.61.1" port (54321)); }; log { source(s_all); filter(filtre1); destination(d1); };

N'oubliez pas d'ouvrir le port TCP 54321 sur le serveur syslog. Le port doit être déclaré dans une définition de source dans le fichier /etc/syslog-ng/syslog-ng.conf (du serveur de log, pas le client). Voici un exemple:

source s_all { internal(); unix-stream("/dev/log"); file("/proc/kmsg" log_prefix("kernel: ")); udp(); tcp(port(54321)); };

Dans l'exemple illustré ci-dessous, le serveur syslog peut écouter à la fois sur les port UDP 514 et TCP 54321.

Haut de la page

---

2. client WINDOWS

Les messages de log sur une machine Windows peuvent être vu dans l'observateur d'événement. Pour y accéder: clique droit sur "Poste de travail" suivi par "gérer".



Malheureusement, Windows par lui-même ne peut pas envoyer les logs générés par l'observateur d'événements vers un serveur syslog. Un outil est requis pour cette fonction, c'est le logiciel Snare. Snare développé par Alliance Interselect, est reconnu comme étant l'un des meilleurs outils gratuits pour cette fonction. C'est un logiciel open source disponible sous les termes de la licence GPL.
L'agent Snare peut être téléchargé sur le site web d' Interselect Alliance.

Installons maintenant l'outil en cliquant simplement sur l'exécutable Snare.
Débuter par paramétrer l'adresse dur serveur syslog-ng. Cliquer sur setup -> Audit Configuration.
Dans notre exemple, les serveur syslog est uk.syslog.qwerzy.com



Ensuite, paramétrer quel type de logs sera envoyé vers le serveur. Par défaut, il y a déjà quelques règles préconfigurées comme vous pouvez le voir par vous-même en bas de la capture d'écran ci-dessus.
Vous pouvez éditer une condition existante ou en créer une nouvelle.



Sur la console Snare, vous pouvez voir les logs qui vont être envoyé vers le serveur.



Une option très utile de l'agent Snare est qu'il est possible d'y accéder à distance avec une interface web.
Cliquer sur setup -> Remote Control Configuration
Essayer de laisser le port d'écoute réseau par défaut à 6161. Si vous voulez absolument le modifier, soyez sur que votre serveur n'a pas déjà besoin de ce nouveau port pour une autre application.



Maintenant, nous pouvons accéder à l'agent Snare avec un navigateur web:



Haut de la page

---

3. client CISCO>

Voici ce que vous avez à configurer sur votre switch ou router Cisco avec un logiciel de type IOS Comme vous pouvez le voir, c'est particulièrement facile:
Seul la première commande est obligatoire:

logging syslog-ip-adresse

Dis à l'équipement Cisco où envoyer les logs. Les logs peuvent être envoyés vers plusieurs serveurs syslog.
Ci-dessous, un exemple où les logs sont envoyés vers deux serveurs.

Équipement_Cisco#configure terminal
Équipement_Cisco(config)#logging 10.0.0.1
Équipement_Cisco(config)#logging 172.16.89.258

logging trap niveau

Dis à l'équipement Cisco quel type d'alerts sont envoyés. Le niveau des traps par défaut est information. Si ce mode est séléctionné ou si aucune commande de trap est configuré, les messages de type information ou plus critique comme des message d'alertes seront envoyés vers le syslog serveur mais les message de debug seront filtrés.
Soyez attentif si vous utiliser la commande "logging trap debug" parce qu'elle est susceptible d'envoyer une quantité phénoménale de log très rapidement vers le serveur syslog.
Pour plus d'informations sur les différents types de niveau de log, rendez-vous au premier point, "CLIENT LINUX".
Ci-dessous un exemple où seulement les messages critical, alerts et emergencies sont envoyés au serveur.

Équipement_Cisco#configure terminal
Équipement_Cisco(config)#logging trap critical

logging trap local[0-7]

Paramètre la facility. Les facilities valides sont local0 à local7, le défaut étant local7.
Il est intéressant de noter que les logs sont envoyés avec la faciity local uniquement. Ceci est différent des clients Linux ou UNIX où les logs sont envoyés avec un grand nombre de facility différentes en fonction de quelle partie du système elles sont originaires. (voir premier point)
Ci-dessous, un exemple où les messages de log de l'équipement Cisco sont envoyés avec une facility source de local5.

Équipement_Cisco#configure terminal
Équipement_Cisco(config)#logging facility local5

Vous pouvez voir les paramètres de logging avec la commande "show logging".
Si vous avez besoin de plus d'informations de le logging Cisco, veuillez visiter le site web de Cisco .

Haut de la page