====== Installation et utilisation de Rsyslog sur Debian======
===== Installation du serveur Rsyslog =====

Pour installer Rsyslog sur une distribution Debian, utilisez la commande suivante : 

<code shell>
$ sudo apt -y install rsyslog
</code>


Le fichier de paramétrage se nomme **/etc/rsyslog.conf**.

Afin de pouvoir récupérer les logs il faut modifier ce fichier et activer soit le protocole UDP soit le protocole TCP en décommentant les lignes suivantes :
<code>
# provides UDP syslog reception
module(load="imudp")
input(type="imudp" port="514")
</code>
ou
<code>
# provides TCP syslog reception
module(load="imtcp")
input(type="imtcp" port="10514")
</code>
<WRAP center round info>
Pensez à changer le port par défaut.
</WRAP>

Choisissez quels journaux vous voulez utiliser en commentant ou décommentant les lignes suivantes :
<code>
auth,authpriv.* /var/log/auth.log
*.*;auth,authpriv.none -/var/log/syslog
#cron.* /var/log/cron.log
daemon.* -/var/log/daemon.log
kern.* -/var/log/kern.log
lpr.* -/var/log/lpr.log
mail.* -/var/log/mail.log
user.* -/var/log/user.log
mail.info -/var/log/mail.info
mail.warn -/var/log/mail.warn
mail.err /var/log/mail.err
</code>

Pour rajouter d’autres journaux qui seront gérés par rsyslog vous devez rajouter une ligne par application. 

L’exemple suivant permet de récupérer les journaux du serveur WEB Apache :
<code>
syslog.* /var/log/apache2/error.log
</code>

Rajouter les lignes suivantes si elles n’existent pas en fonction de votre choix UDP ou TCP, elles permettent d’indiquer quels réseaux pourront accéder au serveur de logs.
<code>
$AllowedSender UDP, 127.0.0.1, 192.168.1.0/24
</code>
<WRAP center round info>
Attention à bien mettre les bonnes adresses de réseaux.

Dans cette configuration, le serveur Rsyslog reçoit les logs de l'ordinateur lui-même (127.0.0.1) et depuis les ordinateurs du réseau 192.168.1.0/24.</WRAP>

Ou
<code>
$AllowedSender TCP, 127.0.0.1, 192.168.1.0/24
</code>

<WRAP center round info>
Pour différencier les logs reçus des ordinateurs, ajoutez les deux lignes suivantes dans la partie **rules** du fichier :
<code>
$template DynamicFile,"/var/log/syslogclients/%fromhost%-syslog.log"
*.* ?DynamicFile 
</code>
  * Le répertoire **syslogclients** contiendra le fichier qui sera créé pour chaque ordinateur client.
  * La variable **%fromhost%** contient soit le nom de l'ordinateur client soit son adresse IP.
</WRAP>

Puis vous devez redémarrer votre service :
<code shell>
$ sudo systemctl restart rsyslog
</code>
Vérifiez que votre service est opérationnel :
<code>
$ sudo systemctl status rsyslog
</code>

Pour vérifier que le serveur écoute bien le port choisi (514):
<code shell>
$ ss -nlu
</code>

===== Paramétrage du client =====
<WRAP center round info>
Il faut vérifier que le service **rsyslog** est bien actif.
</WRAP>

Le fichier de paramétrage se nomme **/etc/rsyslog.conf** ou **/etc/rsyslog.d/50-default.conf**

Vous devez lui indiquer quels logs vous allez transmettre au serveur ainsi que l’adresse IP du serveur Rsyslog en ajoutant la ligne suivante si vous voulez remonter toutes les logs :
<code>
*.* @@IP_SERVEUR:10514 (pour TCP)
*.* @IP_SERVEUR:514 (pour UDP)
</code>
Si vous voulez juste remonter l’authentification :
<code>
auth,authpriv.* @IP_SERVEUR:514 (pour UDP)
auth,authpriv.* @@IP_SERVEUR:10514 (pour TCP)
</code>
Pour les mails :
<code>
mail.* @IP_SERVEUR:514 (pour UDP)
mail.* @@IP_SERVEUR:514 (pour TCP)
</code>
ou juste les erreurs critiques ou plus pour les mails :
<code>
mail.err @IP_SERVEUR:514 (pour UDP)
mail.err @@IP_SERVEUR:514 (pour TCP)
</code>

===== Tester la remontée des logs =====
Les logs des clients et du serveur Rsyslog sont centralisés dans le répertoire **/var/log/syslogclients/** du serveur Rsyslog.

Vous pouvez tester les erreurs **auth** en faisant depuis un poste quelconque une connexion ssh à votre poste client en mettant volontairement un mauvais mot de passe et vous vérifierez alors que sur notre serveur de log que les erreurs sont bien remontées.

Utilisation de la commande **less**, de **grep** et d'une expression régulière :
<code>
# less /var/log/syslogclients/IPPOSTE-syslog.log | grep sshd
</code>
Cette commande liste la ou les connexions échouées ainsi que la connexion validée.

En omettant la commande grep, vous obtenez l’intégralité du fichier de log de votre poste client et cela peut très rapidement être illisible.

La commande suivante permet d'être plus sélectif dans la recherche d'informations  :
<code>
#tail /var/log/syslogclients/IPPOSTE-syslog.log |grep Failed
</code>

La commande **Tail** affiche par défaut les 10 dernières lignes (les plus récentes) de votre fichier pour les services qui sot en échec.

À partir du fichier log et des expressions régulières avec **grep** ou **sed** vous pouvez rechercher des données particulières de manière plu sélectives.