Le système d'exploitation GNU-Linux/Les fichiers journaux syslog

Un livre de Wikilivres.



Syslog[modifier | modifier le wikicode]

syslog est un daemon dédié à l'enregistrement des journaux (log) Les journaux log sont stockés dans le répertoire /var/log/

Voici le contenu du répertoire /var/log



un journal log est un fichier texte dont les évènements sont enregistrés, un par ligne.


« Extrait de fichier syslog - les messages sont enregistrés avec la date et l'heure de l'évènement »


Dans chaque ligne d'évènement on distingue :

  • La date à laquelle l'évènement a été déclenché
  • Le processus déclencheur de l'évènement
  • Le processus ayant demandé l'ajout du message correspondant au log
  • Le niveau de gravité du message (priority)

TP : afficher les dernières procédures de login, l'heure des tentatives, si elles ont échoué ou réussi.

 #tail -f /var/log/auth.log

le fichier log /var/log/auth.log est le journal des authentifications.

 Important : l'heure du système doit être à la bonne heure et à la bonne date, sinon la datation   
 des messages est éronnée, ce qui complique, si besoin est, la recherche d'anomalies de fonction-
 nement du système dans les messages enregistrés dans les fichiers log.     

syslog possède un fichier de configuration syslog.conf, il est stocké dans le répertoire /etc . On peut modifier ce fichier pour l'adapter à nos besoins en messages d'évènements survenus sur le système : envoi de mail, authentification, etc...

Ce fichier est un fichier texte, dont chaque ligne est séparée en deux parties :

  • 1ère partie : (le ou) les processus demandeurs (séparés par un point virgule) suivi d'un point et de leur niveau de priorité : <dispositif>.<niveau>

<dispositif> est appelé facility <niveau> est appelé priority, c'est le niveau de criticité du log. Exemple : panic, error, warning, debug, info...

  • 2ème partie : le fichier log correspondant (qui reçoit le message et l'ajoute à la liste de ses messages) : <fichier de log>


« Voici un exemple de fichier /etc/syslog.conf »
À faire...link={{{link}}}

expliquer en détail la syntaxe du fichier

À faire...link={{{link}}}

lister les différents fichiers de log et leur utilité

À faire...link={{{link}}}

parler des outils de surveillance et d'analyse des logs : swatch, logwatch, logreport ...

Swatch[modifier | modifier le wikicode]

L'utilitaire swatch peut surveiller un fichier de log et réaliser une action s'il voit passer un mot-clé.

Exemple de fichier de configuration /root/.swatchrc :

#
# À appeler avec la ligne suivante :
#
# swatch --config-file=/root/.swatchrc --tail-file=/var/log/auth.log
#

watchfor        /FAILED/
               echo red
               #mail addresses=alex\@localhost,subject=Alerte AUTH
               exec /usr/bin/zenity --error --text "$_"

watchfor        /Successful/
               echo green

Le Serveur de log[modifier | modifier le wikicode]

On peut être amené à créer un serveur de log si on possède plusieurs serveurs dont on souhaite centraliser les log, par mesure de sécurité ou par commodité (facilité de consultation, d'archivage, etc...)

Si on monte un serveur de log, il suffit d'ajouter :

  • côté serveurs envoyant les messages de log :----> une ligne dans le fichier syslog.conf de chaque serveur en mentionnant les processus envoyant les messages (exemple : *.* pour tous) et le nom du serveur de log ou son adresse IP précédée de @, comme ainsi :
 *.*         @log_server ou           
 *.*         @192.168.30.221  ou      
 mail.inf    @log_server   (stocke les log d'envoi de mail)
  • côté serveur de log :----> l'option SYSLOGD ="-r" dans le fichier /etc/default/syslogd


Schéma de réseau avec Serveur de log
Extrait du fichier syslogd d'un serveur non dédié au log - la commande SYSLOGD n'est pas activée

La commande logger[modifier | modifier le wikicode]

La commande logger permet d'envoyer un message à syslog même connecté en utilisateur

 $ logger -p auth.info -t unnom "mon message à envoyer"

-t permet d'ajouter unnom, un tag c'est un mot quelconque pour signer le message

Le programme logrotate[modifier | modifier le wikicode]

logrotate est un fichier texte situé dans etc/, il sert à configurer 'la politique des rotations' des logs. Effectivement, il faut supprimer les anciens fichiers log, sinon on risque une saturation du disque. Pour cela on peut programmer des rotations de logs qui se traduisent par l'archivage des fichiers log assez récents et la suppression des anciens, et ceci avec une périodicité bien définie.

La page man de logrotate donne toute la syntaxe et les mots clé.

Les lignes importantes à configurer du fichier /etc/logrotate.conf:

  • monthly : tourner les logs tous les mois (enlever le weekly existant dans le fichier de configuration par défaut Debian)
  • rotate n : conserver n fichiers (ici un fichier par mois [mettre 60, soit 5 ans])
  • create : créer un nouveau fichier de log
  • compress : compresser le fichier tourné

Pour tester vos fichiers de configuration logrotate.conf (et donc de logrotate.d/*) taper : /usr/sbin/logrotate -dv /etc/logrotate.conf.

À faire...link={{{link}}}

extrait du fichier logrotate.conf

À faire...link={{{link}}}

parler du répertoire /etc/logrotate.d