Centralisation logs
Résolu
Bonjour,
J'ai un serveur Debian Squeeze sur lequel je dois récupérer les logs de problèmes d'authentifications avec les comptes d'openldap. J'ai essayé avec rsyslog mais j'ai un peu de mal, je ne sais pas trop comment faire. Donc si vous avez quelques pistes pour pouvoir m'aider, je suis tout ouïe.
Merci d'avance.
J'ai un serveur Debian Squeeze sur lequel je dois récupérer les logs de problèmes d'authentifications avec les comptes d'openldap. J'ai essayé avec rsyslog mais j'ai un peu de mal, je ne sais pas trop comment faire. Donc si vous avez quelques pistes pour pouvoir m'aider, je suis tout ouïe.
Merci d'avance.
A voir également:
- Centralisation logs
- View recovery logs - Guide
- Ebook gratuit centralisation barbara cartland - Forum Loisirs / Divertissements
- Ebooks ✓ - Forum PDF
- Logs cbs ✓ - Forum Windows 7
- Unp system logs ✓ - Forum Windows 10
3 réponses
Tu peux configurer rsyslog pour écouter sur un port de ton choix. Il suffit ensuite de configurer tes applications de sorte à référencer la machine qui héberge le rsyslog et le port pour que ces applications écrivent dedans.
Pour permettre à rsyslog d'écouter sur le réseau, il suffit de corriger /etc/rsyslog.conf et notamment de décommenter (en supprimant le # qui les précèdent) les lignes suivantes (pour par exemple écouter sur le port 28514) :
Note que tu peux en profiter pour rediriger les logs dans un fichier de ton choix en fonction de leur nature.
Ensuite il suffit de relancer rsyslog :
Supposons que cette machine ait pour IP xx.xx.xx.xx, il suffit de configurer tes applications qui doivent logguer de l'information de sorte à ce qu'elles utilisent le logger xx.xx.xx.xx:28514 dans cet exemple.
Bonne chance
Pour permettre à rsyslog d'écouter sur le réseau, il suffit de corriger /etc/rsyslog.conf et notamment de décommenter (en supprimant le # qui les précèdent) les lignes suivantes (pour par exemple écouter sur le port 28514) :
$ModLoad imudp
$UDPServerRun 28514
Note que tu peux en profiter pour rediriger les logs dans un fichier de ton choix en fonction de leur nature.
Ensuite il suffit de relancer rsyslog :
service rsyslogd restart
Supposons que cette machine ait pour IP xx.xx.xx.xx, il suffit de configurer tes applications qui doivent logguer de l'information de sorte à ce qu'elles utilisent le logger xx.xx.xx.xx:28514 dans cet exemple.
Bonne chance
Merci pour ta réponse.
Tu veux donc dire que pour chaque poste client où l'on peut se connecter à LDAP, je dois indiquer 192.168.1.1:28514 ? J'ai vu quelque part que le port 514 marchait aussi, c'est pareil ? et où dois-je l'indiquer ?
Pour rsyslog.conf, j'ai fait ce que tu as dit et j'ai rajouté une ligne à la fin:
pour avoir les logs d'erreurs d'authentification. Avec ça, j'aurai juste les logs d'erreurs pour LDAP ou cela peut aussi m'envoyer les erreurs tels que problèmes de mdp pour aller en su ou ouverture de sessions ?
Tu veux donc dire que pour chaque poste client où l'on peut se connecter à LDAP, je dois indiquer 192.168.1.1:28514 ? J'ai vu quelque part que le port 514 marchait aussi, c'est pareil ? et où dois-je l'indiquer ?
Pour rsyslog.conf, j'ai fait ce que tu as dit et j'ai rajouté une ligne à la fin:
auth.err /var/log/err-authen.log
pour avoir les logs d'erreurs d'authentification. Avec ça, j'aurai juste les logs d'erreurs pour LDAP ou cela peut aussi m'envoyer les erreurs tels que problèmes de mdp pour aller en su ou ouverture de sessions ?
Oui le port par défaut est 514. Là c'était juste pour te montrer que tu pouvais le spécifier, mais tu peux utiliser 514 si tu préfères.
Les lignes que tu mentionnes permettent en fonction de la nature du message de log de spécifier dans quel fichier écrire le message. Pour répondre à ta question le plus simple c'est de tester. Mais tu peux toujours concentrer la surveillance sur un fichier de log en combinant tail et grep.
Par exemple pour surveiller /var/log/toto.log et n'afficher que les messages contenant ldap mais pas failure :
Bonne chance
Les lignes que tu mentionnes permettent en fonction de la nature du message de log de spécifier dans quel fichier écrire le message. Pour répondre à ta question le plus simple c'est de tester. Mais tu peux toujours concentrer la surveillance sur un fichier de log en combinant tail et grep.
Par exemple pour surveiller /var/log/toto.log et n'afficher que les messages contenant ldap mais pas failure :
tail -f /var/log/toto.log | grep -i "ldap" | grep -vi "failure"
Bonne chance