Tutoriel syslog

«Syslog est un moyen de consolider les journaux de divers systèmes à un serveur Syslog distant. Le serveur syslog a trois composants clés. Le premier est un auditeur qui utilise UDP sur le port 514 pour collecter des données syslog. Vient ensuite la base de données qui stocke les données Syslog générées, et enfin, le logiciel de gestion et de filtrage qui permet de filtrer les données Syslog pour un dépannage rapide.

En tant qu'administrateur système, comprendre comment fonctionne Syslog et comment configurer les machines clients pour canaliser leurs données syslog sur le serveur distant est utile. Ce guide traite de Syslog dans Linux et propose des étapes pour consolider les journaux à une machine distante."

Comprendre Syslog

Syslog est un protocole qui communique à l'aide du port 514 via UDP et permet aux hôtes de transmettre des journaux aux serveurs Syslog sur les réseaux IP. Le travail du serveur syslog est de surveiller et de répondre aux notifications syslog qu'il reçoit.

Grâce à cela, un administrateur peut avoir un contrôle central des journaux de divers clients, de sorte qu'il peut rapidement retracer une erreur dans la machine d'un client et, en fonction du message du journal généré, dépanner.

Les clients syslog génèrent des messages syslog qu'ils envoient au serveur syslog. Le message a trois pièces clés.

1. Priorité - Il représente la gravité et l'installation du message. La valeur de priorité dicte la priorité du journal donné. L'utiliser, vous pouvez filtrer les journaux en fonction de la valeur de priorité.
2. Entête - Il représente l'horodatage du journal et le nom de la machine hôte / client envoyant le message du journal.
3. Message - Il représente le message du journal réel qu'un administrateur affichera lors du dépannage d'une erreur. Le message comprend des détails tels que les adresses IP hôte, la gravité et le message de l'événement.

Ayons un exemple de message syslog et identifions ses différentes parties.

<34> 2 2022-10-3T10: 30: 35.004Z Linuxhint Su - ID12 - Bom'Su Root 'Échec pour LinuxHint sur / Dev / PTS / 4

Dans ce qui précède, nous partirons de la gauche. Le 34 représente la valeur prioritaire du message. 2 est le numéro de version pour le message du journal. À côté se trouve le Horodatage ISO, suivi par le nom d'hôte. Ensuite, nous avons le spécifique application qui a déclenché l'erreur et son Piquer. Enfin, nous avons l'ID de message de l'événement et le message du journal.

Travailler avec syslog

Chaque système génère des journaux pour les événements qui provoquent une erreur, comme la fermeture aléatoire d'une application. Les journaux de la machine locale sont stockés dans le / var / log, et vous pouvez lister le contenu pour voir les différents

Fichiers journaux et répertoires de votre système à l'aide du Commande LS.

Vous noteras dans l'image ci-dessus que nous avons le fichier journal appelé syslog. Il contient les journaux de votre système; Dans ce cas, c'est pour les systèmes Ubuntu / Debian. Pour Chapeau rouge, Vous pouvez trouver messages au lieu de syslog.

Pour afficher les journaux du système, ouvrez le fichier journal en temps réel à l'aide du commande de queue. Pour Debian / Ubuntu, utilisez la commande ci-dessous.

$ sudo tail -f / var / log / syslog

Pour les machines clients, les règles pour l'envoi du syslog sont contenues dans le rsyslog fichier de configuration. Vous devez modifier ce fichier de configuration pour définir une machine pour transmettre ses fichiers journaux sur un serveur Syslog donné.

Travailler avec le fichier de configuration RSYSLOG

Vous pouvez afficher ce fichier de configuration à l'aide d'un éditeur de choix. Ouvrez-le en utilisant le nano éditeur.

$ sudo nano / etc / rsyslog.confli

Vous trouverez ci-dessous à quoi ressemble le fichier de configuration.

Toutes les règles définies pour votre syslog seront contenues dans ce fichier, y compris le serveur syslog et son adresse IP. Créons un serveur syslog dans une machine distante et transmettant les journaux de notre machine client.

Configuration d'un serveur syslog

Pour cet exemple, nous utilisons Ubuntu 22.04 comme notre serveur.

Tout d'abord, assurez-vous d'avoir le rsyslog installé en vérifiant sa version. Si ce n'est pas installé, installez-le en utilisant APT.

$ rsyslogd -v

La prochaine chose est d'ouvrir le fichier de configuration RSYSLOG à l'aide de l'éditeur Nano.

$ sudo nano / etc / rsyslog.confli

Localisez le module et l'entrée pour TCP. Ensuite, les désomner en supprimant le # et ajouter la ligne ci-dessous pour que votre fichier de configuration apparaisse comme celui de l'image ci-dessous.

$ Template File Name »/ var / log /% Hostname% / syslog.enregistrer"
*.* ?NOM DE FICHIER

Une fois que vous avez édité le fichier de configuration, redémarrez le rsyslog

$ sudo systemctl redémarrer rsyslog.service

La dernière étape consiste à vérifier que RSYSLOG est actif et écoute sur le port UDP 514. Utilisez la commande ci-dessous pour vérifier.

$ sudo netstat -pnlt

Configuration du client

Ouvrez la machine client et vérifiez qu'il a rsyslog en vérifiant la version.

Ensuite, ouvrez le fichier de configuration RSYSLOG.

$ sudo nano / etc / rsyslog.confli

Une fois qu'il s'ouvre, ajoutez l'adresse IP de votre serveur en utilisant le format ci-dessous.

*.* @@: 514

Redémarrer et activer le rsyslog

$ sudo systemctl redémarrer rsyslog
$ sudo systemctl activer rsyslog

Tissons le syslog en enregistrant un message aléatoire qui devrait réfléchir sur le serveur Syslog client.

Ouvrez le client distant et affichez le syslog du client en temps réel. De l'image ci-dessous, nous pouvons voir le message enregistré du client confirmant que notre serveur distant syslog fonctionne.

Conclure

Ce guide a présenté un tutoriel pratique sur le démarrage avec Syslog. Nous avons vu comment lire un message syslog et configurer une architecture client-serveur pour syslog. C'est ça.