Différences

Ci-dessous, les différences entre deux révisions de la page.

--- reseau:syslog:installrsyslog [2021/11/07 22:23] – techer.charles_educ-valadon-limoges.fr
+++ reseau:syslog:installrsyslog [2022/12/06 23:21] (Version actuelle) – [Agent rsyslog pour Windows] techer.charles_educ-valadon-limoges.fr
@@ Ligne 1: / Ligne 1: @@
-====== Installation de Rsyslog sur Debian======
+====== Installation et utilisation de Rsyslog sur Debian======
+===== Installation du serveur Rsyslog =====
 Pour installer Rsyslog sur une distribution Debian, utilisez la commande suivante :
@@ Ligne 22: / Ligne 23: @@
 input(type="imtcp" port="10514")
 </code>
+<WRAP center round info>
+Pensez à changer le port par défaut.
+</WRAP>
 Choisissez quels journaux vous voulez utiliser en commentant ou décommentant les lignes suivantes :
@@ Ligne 49: / Ligne 53: @@
 $AllowedSender UDP, 127.0.0.1, 192.168.1.0/24
 </code>
+<WRAP center round info>
+Attention à bien mettre les bonnes adresses de réseaux.
+Dans cette configuration, le serveur Rsyslog reçoit les logs de l'ordinateur lui-même (127.0.0.1) et depuis les ordinateurs du réseau 192.168.1.0/24.</WRAP>
 Ou
 <code>
 $AllowedSender TCP, 127.0.0.1, 192.168.1.0/24
 </code>
+<WRAP center round info>
+Pour différencier les logs reçus des ordinateurs, ajoutez les deux lignes suivantes dans la partie **rules** du fichier :
+<code>
+$template DynamicFile,"/var/log/syslogclients/%fromhost%-syslog.log"
+*.* ?DynamicFile
+</code>
+  * Le répertoire **syslogclients** contiendra le fichier qui sera créé pour chaque ordinateur client.
+  * La variable **%fromhost%** contient soit le nom de l'ordinateur client soit son adresse IP.
+</WRAP>
 Puis vous devez redémarrer votre service :
 <code shell>
@@ Ligne 66: / Ligne 86: @@
 $ ss -nlu
 </code>
+===== Paramétrage du client =====
+<WRAP center round info>
+Il faut vérifier que le service **rsyslog** est bien actif.
+</WRAP>
+Le fichier de paramétrage se nomme **/etc/rsyslog.conf** ou **/etc/rsyslog.d/50-default.conf**
+Vous devez lui indiquer quels logs vous allez transmettre au serveur ainsi que l’adresse IP du serveur Rsyslog en ajoutant la ligne suivante si vous voulez remonter toutes les logs :
+<code>
+*.* @@IP_SERVEUR:10514 (pour TCP)
+*.* @IP_SERVEUR:514 (pour UDP)
+</code>
+Si vous voulez juste remonter l’authentification :
+<code>
+auth,authpriv.* @IP_SERVEUR:514 (pour UDP)
+auth,authpriv.* @@IP_SERVEUR:10514 (pour TCP)
+</code>
+Pour les mails :
+<code>
+mail.* @IP_SERVEUR:514 (pour UDP)
+mail.* @@IP_SERVEUR:514 (pour TCP)
+</code>
+ou juste les erreurs critiques ou plus pour les mails :
+<code>
+mail.err @IP_SERVEUR:514 (pour UDP)
+mail.err @@IP_SERVEUR:514 (pour TCP)
+</code>
+===== Tester la remontée des logs =====
+Les logs des clients et du serveur Rsyslog sont centralisés dans le répertoire **/var/log/syslogclients/** du serveur Rsyslog.
+Vous pouvez tester les erreurs **auth** en faisant depuis un poste quelconque une connexion ssh à votre poste client en mettant volontairement un mauvais mot de passe et vous vérifierez alors que sur notre serveur de log que les erreurs sont bien remontées.
+Utilisation de la commande **less**, de **grep** et d'une expression régulière :
+<code>
+# less /var/log/syslogclients/IPPOSTE-syslog.log | grep sshd
+</code>
+Cette commande liste la ou les connexions échouées ainsi que la connexion validée.
+En omettant la commande grep, vous obtenez l’intégralité du fichier de log de votre poste client et cela peut très rapidement être illisible.
+La commande suivante permet d'être plus sélectif dans la recherche d'informations  :
+<code>
+#tail /var/log/syslogclients/IPPOSTE-syslog.log |grep Failed
+</code>
+La commande **Tail** affiche par défaut les 10 dernières lignes (les plus récentes) de votre fichier pour les services qui sot en échec.
+À partir du fichier log et des expressions régulières avec **grep** ou **sed** vous pouvez rechercher des données particulières de manière plu sélectives.