Centralisation logs
Résolu/Fermé
charlesk14
Messages postés
19
Date d'inscription
mardi 5 novembre 2013
Statut
Membre
Dernière intervention
25 mars 2014
-
5 nov. 2013 à 19:28
mamiemando Messages postés 33433 Date d'inscription jeudi 12 mai 2005 Statut Modérateur Dernière intervention 17 décembre 2024 - 7 nov. 2013 à 08:03
mamiemando Messages postés 33433 Date d'inscription jeudi 12 mai 2005 Statut Modérateur Dernière intervention 17 décembre 2024 - 7 nov. 2013 à 08:03
3 réponses
mamiemando
Messages postés
33433
Date d'inscription
jeudi 12 mai 2005
Statut
Modérateur
Dernière intervention
17 décembre 2024
7 809
6 nov. 2013 à 00:54
6 nov. 2013 à 00:54
Tu peux configurer rsyslog pour écouter sur un port de ton choix. Il suffit ensuite de configurer tes applications de sorte à référencer la machine qui héberge le rsyslog et le port pour que ces applications écrivent dedans.
Pour permettre à rsyslog d'écouter sur le réseau, il suffit de corriger /etc/rsyslog.conf et notamment de décommenter (en supprimant le # qui les précèdent) les lignes suivantes (pour par exemple écouter sur le port 28514) :
Note que tu peux en profiter pour rediriger les logs dans un fichier de ton choix en fonction de leur nature.
Ensuite il suffit de relancer rsyslog :
Supposons que cette machine ait pour IP xx.xx.xx.xx, il suffit de configurer tes applications qui doivent logguer de l'information de sorte à ce qu'elles utilisent le logger xx.xx.xx.xx:28514 dans cet exemple.
Bonne chance
Pour permettre à rsyslog d'écouter sur le réseau, il suffit de corriger /etc/rsyslog.conf et notamment de décommenter (en supprimant le # qui les précèdent) les lignes suivantes (pour par exemple écouter sur le port 28514) :
$ModLoad imudp
$UDPServerRun 28514
Note que tu peux en profiter pour rediriger les logs dans un fichier de ton choix en fonction de leur nature.
Ensuite il suffit de relancer rsyslog :
service rsyslogd restart
Supposons que cette machine ait pour IP xx.xx.xx.xx, il suffit de configurer tes applications qui doivent logguer de l'information de sorte à ce qu'elles utilisent le logger xx.xx.xx.xx:28514 dans cet exemple.
Bonne chance
charlesk14
Messages postés
19
Date d'inscription
mardi 5 novembre 2013
Statut
Membre
Dernière intervention
25 mars 2014
Modifié par mamiemando le 7/11/2013 à 08:03
Modifié par mamiemando le 7/11/2013 à 08:03
Merci pour ta réponse.
Tu veux donc dire que pour chaque poste client où l'on peut se connecter à LDAP, je dois indiquer 192.168.1.1:28514 ? J'ai vu quelque part que le port 514 marchait aussi, c'est pareil ? et où dois-je l'indiquer ?
Pour rsyslog.conf, j'ai fait ce que tu as dit et j'ai rajouté une ligne à la fin:
pour avoir les logs d'erreurs d'authentification. Avec ça, j'aurai juste les logs d'erreurs pour LDAP ou cela peut aussi m'envoyer les erreurs tels que problèmes de mdp pour aller en su ou ouverture de sessions ?
Tu veux donc dire que pour chaque poste client où l'on peut se connecter à LDAP, je dois indiquer 192.168.1.1:28514 ? J'ai vu quelque part que le port 514 marchait aussi, c'est pareil ? et où dois-je l'indiquer ?
Pour rsyslog.conf, j'ai fait ce que tu as dit et j'ai rajouté une ligne à la fin:
auth.err /var/log/err-authen.log
pour avoir les logs d'erreurs d'authentification. Avec ça, j'aurai juste les logs d'erreurs pour LDAP ou cela peut aussi m'envoyer les erreurs tels que problèmes de mdp pour aller en su ou ouverture de sessions ?
mamiemando
Messages postés
33433
Date d'inscription
jeudi 12 mai 2005
Statut
Modérateur
Dernière intervention
17 décembre 2024
7 809
Modifié par mamiemando le 7/11/2013 à 08:03
Modifié par mamiemando le 7/11/2013 à 08:03
Oui le port par défaut est 514. Là c'était juste pour te montrer que tu pouvais le spécifier, mais tu peux utiliser 514 si tu préfères.
Les lignes que tu mentionnes permettent en fonction de la nature du message de log de spécifier dans quel fichier écrire le message. Pour répondre à ta question le plus simple c'est de tester. Mais tu peux toujours concentrer la surveillance sur un fichier de log en combinant tail et grep.
Par exemple pour surveiller /var/log/toto.log et n'afficher que les messages contenant ldap mais pas failure :
Bonne chance
Les lignes que tu mentionnes permettent en fonction de la nature du message de log de spécifier dans quel fichier écrire le message. Pour répondre à ta question le plus simple c'est de tester. Mais tu peux toujours concentrer la surveillance sur un fichier de log en combinant tail et grep.
Par exemple pour surveiller /var/log/toto.log et n'afficher que les messages contenant ldap mais pas failure :
tail -f /var/log/toto.log | grep -i "ldap" | grep -vi "failure"
Bonne chance