Différences

Ci-dessous, les différences entre deux révisions de la page.

--- reseau:syslog:installrsyslog [2021/11/07 22:13] – créée techer.charles_educ-valadon-limoges.fr
+++ reseau:syslog:installrsyslog [2022/12/06 23:21] (Version actuelle) – [Agent rsyslog pour Windows] techer.charles_educ-valadon-limoges.fr
@@ Ligne 1: / Ligne 1: @@
-====== Installation de Rsyslog sur Debian======
+====== Installation et utilisation de Rsyslog sur Debian======
+===== Installation du serveur Rsyslog =====
 Pour installer Rsyslog sur une distribution Debian, utilisez la commande suivante :
@@ Ligne 8: / Ligne 9: @@
-Le fichier de paramétrage se nomme /etc/rsyslog.conf
+Le fichier de paramétrage se nomme **/etc/rsyslog.conf**.
-Afin de pouvoir récupérer les logs il faut modifier ce fichier et activer soit le protocole UDP soit le protocole TCP en dé commentant les lignes suivantes :
+Afin de pouvoir récupérer les logs il faut modifier ce fichier et activer soit le protocole UDP soit le protocole TCP en décommentant les lignes suivantes :
+<code>
 # provides UDP syslog reception
 module(load="imudp")
 input(type="imudp" port="514")
+</code>
 ou
+<code>
 # provides TCP syslog reception
 module(load="imtcp")
 input(type="imtcp" port="10514")
-Choisissez quels journaux vous voulez utiliser en commentant ou dé-commentant les lignes suivantes :
+</code>
+<WRAP center round info>
+Pensez à changer le port par défaut.
+</WRAP>
+Choisissez quels journaux vous voulez utiliser en commentant ou décommentant les lignes suivantes :
+<code>
 auth,authpriv.* /var/log/auth.log
 *.*;auth,authpriv.none -/var/log/syslog
@@ Ligne 29: / Ligne 40: @@
 mail.warn -/var/log/mail.warn
 mail.err /var/log/mail.err
-Pour rajouter d’autres journaux qui seront gérés par rsyslog vous devez rajouter une ligne par application. L’exemple suivant permet de récupérer les journaux du serveur WEB Apache :
+</code>
+Pour rajouter d’autres journaux qui seront gérés par rsyslog vous devez rajouter une ligne par application.
+L’exemple suivant permet de récupérer les journaux du serveur WEB Apache :
+<code>
 syslog.* /var/log/apache2/error.log
+</code>
+Rajouter les lignes suivantes si elles n’existent pas en fonction de votre choix UDP ou TCP, elles permettent d’indiquer quels réseaux pourront accéder au serveur de logs.
+<code>
+$AllowedSender UDP, 127.0.0.1, 192.168.1.0/24
+</code>
+<WRAP center round info>
+Attention à bien mettre les bonnes adresses de réseaux.
+Dans cette configuration, le serveur Rsyslog reçoit les logs de l'ordinateur lui-même (127.0.0.1) et depuis les ordinateurs du réseau 192.168.1.0/24.</WRAP>
+Ou
+<code>
+$AllowedSender TCP, 127.0.0.1, 192.168.1.0/24
+</code>
+<WRAP center round info>
+Pour différencier les logs reçus des ordinateurs, ajoutez les deux lignes suivantes dans la partie **rules** du fichier :
+<code>
+$template DynamicFile,"/var/log/syslogclients/%fromhost%-syslog.log"
+*.* ?DynamicFile
+</code>
+  * Le répertoire **syslogclients** contiendra le fichier qui sera créé pour chaque ordinateur client.
+  * La variable **%fromhost%** contient soit le nom de l'ordinateur client soit son adresse IP.
+</WRAP>
+Puis vous devez redémarrer votre service :
+<code shell>
+$ sudo systemctl restart rsyslog
+</code>
+Vérifiez que votre service est opérationnel :
+<code>
+$ sudo systemctl status rsyslog
+</code>
+Pour vérifier que le serveur écoute bien le port choisi (514):
+<code shell>
+$ ss -nlu
+</code>
+===== Paramétrage du client =====
+<WRAP center round info>
+Il faut vérifier que le service **rsyslog** est bien actif.
+</WRAP>
+Le fichier de paramétrage se nomme **/etc/rsyslog.conf** ou **/etc/rsyslog.d/50-default.conf**
+Vous devez lui indiquer quels logs vous allez transmettre au serveur ainsi que l’adresse IP du serveur Rsyslog en ajoutant la ligne suivante si vous voulez remonter toutes les logs :
+<code>
+*.* @@IP_SERVEUR:10514 (pour TCP)
+*.* @IP_SERVEUR:514 (pour UDP)
+</code>
+Si vous voulez juste remonter l’authentification :
+<code>
+auth,authpriv.* @IP_SERVEUR:514 (pour UDP)
+auth,authpriv.* @@IP_SERVEUR:10514 (pour TCP)
+</code>
+Pour les mails :
+<code>
+mail.* @IP_SERVEUR:514 (pour UDP)
+mail.* @@IP_SERVEUR:514 (pour TCP)
+</code>
+ou juste les erreurs critiques ou plus pour les mails :
+<code>
+mail.err @IP_SERVEUR:514 (pour UDP)
+mail.err @@IP_SERVEUR:514 (pour TCP)
+</code>
+===== Tester la remontée des logs =====
+Les logs des clients et du serveur Rsyslog sont centralisés dans le répertoire **/var/log/syslogclients/** du serveur Rsyslog.
+Vous pouvez tester les erreurs **auth** en faisant depuis un poste quelconque une connexion ssh à votre poste client en mettant volontairement un mauvais mot de passe et vous vérifierez alors que sur notre serveur de log que les erreurs sont bien remontées.
+Utilisation de la commande **less**, de **grep** et d'une expression régulière :
+<code>
+# less /var/log/syslogclients/IPPOSTE-syslog.log | grep sshd
+</code>
+Cette commande liste la ou les connexions échouées ainsi que la connexion validée.
+En omettant la commande grep, vous obtenez l’intégralité du fichier de log de votre poste client et cela peut très rapidement être illisible.
+La commande suivante permet d'être plus sélectif dans la recherche d'informations  :
+<code>
+#tail /var/log/syslogclients/IPPOSTE-syslog.log |grep Failed
+</code>
+La commande **Tail** affiche par défaut les 10 dernières lignes (les plus récentes) de votre fichier pour les services qui sot en échec.
+À partir du fichier log et des expressions régulières avec **grep** ou **sed** vous pouvez rechercher des données particulières de manière plu sélectives.