Le système d'exploitation GNU-Linux/Les fichiers journaux syslog

Un livre de Wikilivres.
Aller à : navigation, rechercher


  1. Qu'est-ce qu'un système d'exploitation ?
  2. Unix et Linux
  3. Partitionnement du disque
  4. Installation
    1. Installer Debian via le réseau
  5. Utilisateur Unix, l'interface console
    1. Le login
    2. Commandes de base
    3. L'aide en ligne man
    4. L'éditeur de texte vi
    5. Les shells
    6. La complétion
    7. Les jokers
    8. Les répertoires importants
    9. Redirection des entrées/sorties
    10. Invoquer un programme en tâche de fond
    11. Propriétaires et droits d'accès
    12. Processus
    13. Locale
  6. Administration du système
    1. Configuration du réseau
    2. Les utilisateurs et groupes
    3. Le processus d'initialisation
    4. Les systèmes de fichiers
    5. Le système virtuel /proc
    6. Les périphériques /dev
    7. L'ordonnanceur de travaux cron
    8. Le backup : tar et gzip
    9. ghost avec partimage
    10. sauvegarde de fichiers avec rsync
    11. Les fichiers journaux syslog
    12. Installation de nouveaux logiciels
    13. Le noyau Linux et les modules
    14. Autres commandes utiles
    15. Installation RAID1 logiciel + LVM + XFS
    16. Scripts de surveillance
    17. Réseaux sans fil
  7. Administration des services réseaux
    1. Le serveur de noms BIND
    2. Le serveur de configuration réseau DHCP
    3. Le serveur de shell distant SSH
    4. Le partage de fichiers Samba
    5. Le partage de fichiers NFS
    6. Le serveur d'impression CUPS
    7. Le serveur de fichiers FTP
    8. Le serveur Web Apache
    9. La base de données MySQL
    10. Le serveur de mails Postfix
    11. Les annuaires LDAP
    12. L'outil d'administration Webmin
    13. La supervision
  8. Sécurisation d'un serveur Linux
    1. Installation d'un service en mode chroot
    2. Protection avec iptables
  9. Médiagraphie
  10. Auteurs


Syslog[modifier | modifier le wikicode]

syslog est un daemon dédié à l'enregistrement des journaux (log) Les journaux log sont stockés dans le répertoire /var/log/

Voici le contenu du repertoire /var/log



un journal log est un fichier texte dont les évènements sont enregistrés, un par ligne.


« Extrait de fichier syslog - les messages sont enregistrés avec la date et l'heure de l'évènement »
Fichier sysloggif.gif


Dans chaque ligne d'évènement on distingue :

  • La date à laquelle l'évènement a été déclenché
  • Le processus déclencheur de l'évènement
  • Le processus ayant demandé l'ajout du message correspondant au log
  • Le niveau de gravité du message (priority)

TP : afficher les dernières procédures de login, l'heure des tentatives, si elle ont échoué ou réussi.

 #tail -f /var/log/auth.log

le fichier log /var/log/auth.log est le journal des authentifications.

 Important : l'heure du système doit être à la bonne heure et à la bonne date, sinon la datation   
 des messages est éronnée, ce qui complique, si besoin est, la recherche d'anomalies de fonction-
 nement du système dans les messages enregistrés dans les fichiers log.     

syslog possède un fichier de configuration syslog.conf, il est stocké dans le répertoire /etc . On peut modifier ce fichier pour l'adapter à nos besoins en messages d'évènements survenus sur le système : envoi de mail, authentification, etc...

Ce fichier est un fichier texte, dont chaque ligne est séparée en deux parties :

  • 1ère partie : (le ou) les processus demandeurs (séparés par un point virgule) suivi d'un point et de leur niveau de priorité : <dispositif>.<niveau>

<dispositif> est appelé facility <niveau> est appelé priority, c'est le niveau de criticité du log. Exemple : panic, error, warning, debug, info...

  • 2ème partie : le fichier log correspondant (qui reçoit le message et l'ajoute à la liste de ses messages) : <fichier de log>


« Voici un exemple de fichier /etc/syslog.conf »
Fichier syslogconfgif.gif
link={{{link}}}À faire...

expliquer en détail la syntaxe du fichier

link={{{link}}}À faire...

lister les différents fichiers de log et leur utilité

link={{{link}}}À faire...

parler des outils de surveillance et d'analyse des logs : swatch, logwatch, logreport ...

Swatch[modifier | modifier le wikicode]

L'utilitaire swatch peut surveiller un fichier de log et réaliser une action s'il voit passer un mot-clé.

Exemple de fichier de configuration /root/.swatchrc :

#
# A appeler avec la ligne suivante :
#
# swatch --config-file=/root/.swatchrc --tail-file=/var/log/auth.log
#

watchfor        /FAILED/
               echo red
               #mail addresses=alex\@localhost,subject=Alerte AUTH
               exec /usr/bin/zenity --error --text "$_"

watchfor        /Successful/
               echo green

Le Serveur de log[modifier | modifier le wikicode]

On peut être amené à créer un serveur de log si on possède plusieurs serveurs dont on souhaite centraliser les log, par mesure de sécurité ou par commodité (facilité de consultation, d'archivage, etc...)

Si on monte un serveur de log, il suffit d'ajouter :

  • côté serveurs envoyant les messages de log :----> une ligne dans le fichier syslog.conf de chaque serveur en mentionnant les processus envoyant les messages (exemple : *.* pour tous) et le nom du serveur de log ou son adresse IP précédée de @, comme ainsi :
 *.*         @log_server ou           
 *.*         @192.168.30.221  ou      
 mail.inf    @log_server   (stocke les log d'envoi de mail)
  • côté serveur de log :----> l'option SYSLOGD ="-r" dans le fichier /etc/default/syslogd


Schéma de réseau avec Serveur de log
Schema Logservergif.gif
Extrait du fichier syslogd d'un serveur non dédié au log - la commande SYSLOGD n'est pas activée
Fichier syslogdgif.gif

La commande logger[modifier | modifier le wikicode]

La commande logger permet d'envoyer un message à syslog même connecté en utilisateur

 $ logger -p auth.info -t unnom "mon message à envoyer"

-t permet d'ajouter unnom, un tag c'est un mot quelqconque pour signer le message

Le programme logrotate[modifier | modifier le wikicode]

logrotate est un fichier texte situé dans etc/, il sert à configurer 'la politique des rotations' des logs. Effectivement, il faut supprimer les anciens fichiers log, sinon on risque une saturation du disque. Pour cela on peut programmer des rotations de logs qui se traduisent par l'archivage des fichiers log assez récents et la suppression des anciens, et ceci avec une périodicité bien définie.

La page man de logrotate donne toute la syntaxe et les mots clé.

Les lignes importantes à configurer du fichier /etc/logrotate.conf:

  • monthly : tourner les logs tous les mois (enlever le weekly existant dans le fichier de configuration par défaut Debian)
  • rotate n : conserver n fichiers (ici un fichier par mois [mettre 60, soit 5 ans])
  • create : créer un nouveau fichier de log
  • compress : compresser le fichier tourné

Pour tester vos fichiers de configuration logrotate.conf (et donc de logrotate.d/*) taper : /usr/sbin/logrotate -dv /etc/logrotate.conf.

link={{{link}}}À faire...

extrait du fichier logrotate.conf

link={{{link}}}À faire...

parler du répertoire /etc/logrotate.d