Les cours du BTS SIO

Outils pour utilisateurs

Outils du site

Piste :
reseau:syslog:installrsyslog

Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Les deux révisions précédentesRévision précédente
Prochaine révision		Révision précédente
reseau:syslog:installrsyslog [2021/11/07 22:34] – [Installation du serveur Rsyslog] techer.charles_educ-valadon-limoges.frreseau:syslog:installrsyslog [2022/12/06 23:21] (Version actuelle) – [Agent rsyslog pour Windows] techer.charles_educ-valadon-limoges.fr
Ligne 1: Ligne 1:
-====== Installation de Rsyslog sur Debian======+====== Installation et utilisation de Rsyslog sur Debian======
 ===== Installation du serveur Rsyslog ===== ===== Installation du serveur Rsyslog =====
  
Ligne 62: Ligne 62:
 $AllowedSender TCP, 127.0.0.1, 192.168.1.0/24 $AllowedSender TCP, 127.0.0.1, 192.168.1.0/24
 </code> </code>
 +
 +<WRAP center round info>
 +Pour différencier les logs reçus des ordinateurs, ajoutez les deux lignes suivantes dans la partie **rules** du fichier :
 +<code>
 +$template DynamicFile,"/var/log/syslogclients/%fromhost%-syslog.log"
 +*.* ?DynamicFile 
 +</code>
 +  * Le répertoire **syslogclients** contiendra le fichier qui sera créé pour chaque ordinateur client.
 +  * La variable **%fromhost%** contient soit le nom de l'ordinateur client soit son adresse IP.
 +</WRAP>
 +
 Puis vous devez redémarrer votre service : Puis vous devez redémarrer votre service :
 <code shell> <code shell>
Ligne 77: Ligne 88:
  
 ===== Paramétrage du client ===== ===== Paramétrage du client =====
 +<WRAP center round info>
 +Il faut vérifier que le service **rsyslog** est bien actif.
 +</WRAP>
 +
 Le fichier de paramétrage se nomme **/etc/rsyslog.conf** ou **/etc/rsyslog.d/50-default.conf** Le fichier de paramétrage se nomme **/etc/rsyslog.conf** ou **/etc/rsyslog.d/50-default.conf**
  
Ligne 99: Ligne 114:
 mail.err @@IP_SERVEUR:514 (pour TCP) mail.err @@IP_SERVEUR:514 (pour TCP)
 </code> </code>
-Vous pouvez tester les erreurs **auth** en faisant depuis un poste quelconque une connexion ssh à votre poste client en mettant volontairement un mauvais mot de passe et vous vérifierez alors que sur notre serveur de log que les erreurs sont bien remontées :+ 
 +===== Tester la remontée des logs ===== 
 +Les logs des clients et du serveur Rsyslog sont centralisés dans le répertoire **/var/log/syslogclients/** du serveur Rsyslog. 
 + 
 +Vous pouvez tester les erreurs **auth** en faisant depuis un poste quelconque une connexion ssh à votre poste client en mettant volontairement un mauvais mot de passe et vous vérifierez alors que sur notre serveur de log que les erreurs sont bien remontées
 + 
 +Utilisation de la commande **less**, de **grep** et d'une expression régulière :
 <code> <code>
-tail -f /var/log/auth.log+less /var/log/syslogclients/IPPOSTE-syslog.log | grep sshd
 </code> </code>
 +Cette commande liste la ou les connexions échouées ainsi que la connexion validée.
 +
 +En omettant la commande grep, vous obtenez l’intégralité du fichier de log de votre poste client et cela peut très rapidement être illisible.
 +
 +La commande suivante permet d'être plus sélectif dans la recherche d'informations  :
 +<code>
 +#tail /var/log/syslogclients/IPPOSTE-syslog.log |grep Failed
 +</code>
 +
 +La commande **Tail** affiche par défaut les 10 dernières lignes (les plus récentes) de votre fichier pour les services qui sot en échec.
 +
 +À partir du fichier log et des expressions régulières avec **grep** ou **sed** vous pouvez rechercher des données particulières de manière plu sélectives.
 +
 +
 +
reseau/syslog/installrsyslog.1636320869.txt.gz · Dernière modification : 2021/11/07 22:34 de techer.charles_educ-valadon-limoges.fr