Master 1 ère année Sécurité des Systèmes Informatique 1 La journalisation syslog syslogd est...
of 15/15
Master 1 ère année Sécurité des Systèmes Informatique 1 La journalisation syslog syslogd est un service (ou daemon) qui journalise les événements du système Refus de connexion par su Arrêt, redémarrage Problème réseau L'enregistrement des événements systèmes est géré par deux programmes : klogd et syslogd Utilise le fichier de configuration /etc/syslog.conf Attention! Tous les programmes tournant sur votre machine n'utilisent pas syslog.
Master 1 ère année Sécurité des Systèmes Informatique 1 La journalisation syslog syslogd est un service (ou daemon) qui journalise les événements du
Text of Master 1 ère année Sécurité des Systèmes Informatique 1 La journalisation syslog syslogd est...
Page 1
Master 1 re anne Scurit des Systmes Informatique 1 La
journalisation syslog syslogd est un service (ou daemon) qui
journalise les vnements du systme Refus de connexion par su Arrt,
redmarrage Problme rseau L'enregistrement des vnements systmes est
gr par deux programmes : klogd et syslogd Utilise le fichier de
configuration /etc/syslog.conf Attention! Tous les programmes
tournant sur votre machine n'utilisent pas syslog. syslogd est un
service (ou daemon) qui journalise les vnements du systme Refus de
connexion par su Arrt, redmarrage Problme rseau L'enregistrement
des vnements systmes est gr par deux programmes : klogd et syslogd
Utilise le fichier de configuration /etc/syslog.conf Attention!
Tous les programmes tournant sur votre machine n'utilisent pas
syslog.
Page 2
Master 1 re anne Scurit des Systmes Informatique 2 Le fichier
/etc/syslog.conf Critre(catgorie.gravit) Destination # Log tous les
messages du noyau vers la console. # En plus, les messages sont
envoys vers le fichier /var/log/kernel kern.* /dev/console kern.*
/var/log/kernel # Log tous les messages dans le fichier messages
partir du niveau info # (il ne manque donc que debug par rapport au
tableau prcdent) # Sauf les messages du mail, que l'on place dans
un autre fichier et les messages authpriv
*.info;mail.none;authpriv.none /var/log/messages # Placer ici les
messages que seul l'administrateur a le droit de voir. # authpriv
donne les connexions infructueuses, les connexions avec la commande
su. authpriv.* /var/log/secure # Log tous les messages de mail et
les place dans le fichier maillog.. mail.* /var/log/maillog # Log
tous les messages d'urgence rendant le systme instable dans tous
les fichiers. *.emerg * # Log les messages uucp et news dans un
fichier spcial uucp,news.crit /var/log/spooler # Log tous les
messages du noyau vers la console. # En plus, les messages sont
envoys vers le fichier /var/log/kernel kern.* /dev/console kern.*
/var/log/kernel # Log tous les messages dans le fichier messages
partir du niveau info # (il ne manque donc que debug par rapport au
tableau prcdent) # Sauf les messages du mail, que l'on place dans
un autre fichier et les messages authpriv
*.info;mail.none;authpriv.none /var/log/messages # Placer ici les
messages que seul l'administrateur a le droit de voir. # authpriv
donne les connexions infructueuses, les connexions avec la commande
su. authpriv.* /var/log/secure # Log tous les messages de mail et
les place dans le fichier maillog.. mail.* /var/log/maillog # Log
tous les messages d'urgence rendant le systme instable dans tous
les fichiers. *.emerg * # Log les messages uucp et news dans un
fichier spcial uucp,news.crit /var/log/spooler
Page 3
Master 1 re anne Scurit des Systmes Informatique 3 Critre
entit.gravit kernel (kern)0correspondant au noyau systme.
user1correspondant au processus ne faisant pas partie de kernel.
mail2correspondant au mcanisme du courrier. daemon3correspondant
aux dmons systmes. auth4correspondant l'authentification.
syslog5correspondant Syslog lui-mme. lpr6correspondant aux
processus d'impression. news7correspondant aux serveurs de news.
uucp8correspondant aux programmes fonds sur UUCP.
cron9correspondant Cron lui-mme. authpriv10correspondant AUTH, mais
n'tant pas destins tre publics ftp11correspondant au FTP (serveur
et client). ntp12correspondant aux applications NTP. local[0-7]16
23rserv pour des usages propres Lentit permet de prciser le type
des messages. Les entits 13, 14 et 15 sont trs peu utilises.
Page 4
Master 1 re anne Scurit des Systmes Informatique 4 Critre
entit.gravit 7debugMessages de debogage 6 infoMessages
d'information 5 noticeMessages un peu plus importants que les
messages info 4 Warning ou warnMessages d'avertissement 3
errMessages d'erreur 2 critSituation critique 1 alertSituation
critique ncessitant une intervention immdiate 0 emerg ou
panicSystme inutilisable La liste de gravit, classe de la moins
grave la plus grave. Tous les messages de svrit plus graves sont
inclus, ainsi si vous choisissez svrit err, vous avez aussi les
messages crit, alert, et emerg.
Page 5
Master 1 re anne Scurit des Systmes Informatique 5 Destination
Les actions peuvent tre de plusieurs types: Envoie dans un fichier
/ Envoie vers le syslog d'une autre machine @ Envoie dans un tube
nomm (pour le dbogage) | Envoie vers un terminal ou une console
(/dev/console) Liste d'utilisateurs Les actions peuvent tre de
plusieurs types: Envoie dans un fichier / Envoie vers le syslog
d'une autre machine @ Envoie dans un tube nomm (pour le dbogage) |
Envoie vers un terminal ou une console (/dev/console) Liste
d'utilisateurs
Page 6
Master 1 re anne Scurit des Systmes Informatique 6 Quelques
exemples kern.*/var/adm/kernel [email protected]
kern.crit/dev/console kern.info;kern.!err/var/adm/kernel-info Tous
les messages noyau sont enregistrs dans /var/adm/kernel Les
messages de niveau critique sont envoys vers finlandia Ils sont
galement crits sur la console Tous les messages noyau du niveau
info jusqu' warning inclus (ceux suprieur err sont exclus) sont
logs *.=info;*.=notice;mail.none/var/log/messages Tous les messages
de niveau info et de niveau notice sont envoys vers
/var/log/messages sauf ceux utilisant le service de courrier
kern.*/var/adm/kernel [email protected] kern.crit/dev/console
kern.info;kern.!err/var/adm/kernel-info Tous les messages noyau
sont enregistrs dans /var/adm/kernel Les messages de niveau
critique sont envoys vers finlandia Ils sont galement crits sur la
console Tous les messages noyau du niveau info jusqu' warning
inclus (ceux suprieur err sont exclus) sont logs
*.=info;*.=notice;mail.none/var/log/messages Tous les messages de
niveau info et de niveau notice sont envoys vers /var/log/messages
sauf ceux utilisant le service de courrier
Page 7
Master 1 re anne Scurit des Systmes Informatique 7 Astuce
Fonction log ajoute dans un service log() { tail 30
/var/log/$NOM_DU_SERVICE.log } La commande ci-dessous affiche les
dernires lignes du fichier log correspondant au service console
service $NOM_DU_SERVICE log Fonction log ajoute dans un service
log() { tail 30 /var/log/$NOM_DU_SERVICE.log } La commande
ci-dessous affiche les dernires lignes du fichier log correspondant
au service console service $NOM_DU_SERVICE log
Page 8
Master 1 re anne Scurit des Systmes Informatique 8 A savoir
Rcuprer les log dun routeur local7.debug/var/log/network.log La
rgle pour connatre lentit utilise est: valeur = 8 * entit + gravit
Ce qui donne une srie de valeur allant de 0 ( 8 x kernel + emerg )
191 ( 8 x local7 + debug ). Rcuprer les log dun routeur
local7.debug/var/log/network.log La rgle pour connatre lentit
utilise est: valeur = 8 * entit + gravit Ce qui donne une srie de
valeur allant de 0 ( 8 x kernel + emerg ) 191 ( 8 x local7 + debug
).
Page 9
Master 1 re anne Scurit des Systmes Informatique 9 Outil
logwatch logwatch programme crit en Perl analyse les logs du systme
et envoie un courriel l'administrateur avec un rsum trs bien
structur avec plus ou moins de dtails selon vos prfrences Analyser
les logs du systme est une tche difficile Peu dadministrateurs
prennent la peine de le faire, avec logwatch, cest un courriel qui
se lis en peu de temps logwatch programme crit en Perl analyse les
logs du systme et envoie un courriel l'administrateur avec un rsum
trs bien structur avec plus ou moins de dtails selon vos prfrences
Analyser les logs du systme est une tche difficile Peu
dadministrateurs prennent la peine de le faire, avec logwatch, cest
un courriel qui se lis en peu de temps
Page 10
Master 1 re anne Scurit des Systmes Informatique 10 Outil
ksystemlog Ksystemlog est un outil graphique de visualisation des
logs Ksystemlog est un outil graphique de visualisation des
logs
Page 11
Master 1 re anne Scurit des Systmes Informatique 11 Outil
logrotate logrotate est conu pour faciliter l'administration des
systmes qui gnrent un grand nombre de journaux. Il automatise la
permutation, la compression, la suppression et l'envoi des
journaux. Chaque journal peut tre trait Quotidiennement,
Hebdomadairement, Mensuellement ou quand il devient trop volumineux
logrotate est conu pour faciliter l'administration des systmes qui
gnrent un grand nombre de journaux. Il automatise la permutation,
la compression, la suppression et l'envoi des journaux. Chaque
journal peut tre trait Quotidiennement, Hebdomadairement,
Mensuellement ou quand il devient trop volumineux
Page 12
Master 1 re anne Scurit des Systmes Informatique 12 syslog-ng
syslog-ng essaye de rajouter les manques de syslogd : Une
configuration puissante Un tri des messages par leur contenu La
portabilit Une meilleure redirection des messages sur le rseau La
possibilit de le mettre en cage (chroot) UDP et TCP utiliss pour le
transport des journaux Chiffrer et authentifier le trafic rseau
Compresser les journaux syslog-ng essaye de rajouter les manques de
syslogd : Une configuration puissante Un tri des messages par leur
contenu La portabilit Une meilleure redirection des messages sur le
rseau La possibilit de le mettre en cage (chroot) UDP et TCP
utiliss pour le transport des journaux Chiffrer et authentifier le
trafic rseau Compresser les journaux
Page 13
Master 1 re anne Scurit des Systmes Informatique 13 syslog-ng
Dans Syslog-ng le chemin des messages (ou la route des messages)
consiste en une ou plusieurs sources, une ou plusieures rgles de
filtrage et une ou plusieures destinations (trappes). Un message
rentre dans syslog-ng par l'une de ses sources, si ce message
correspond au rgles de filtrages, il part alors vers l'une des
destinations. Source Destination Filtre Dans Syslog-ng le chemin
des messages (ou la route des messages) consiste en une ou
plusieurs sources, une ou plusieures rgles de filtrage et une ou
plusieures destinations (trappes). Un message rentre dans syslog-ng
par l'une de ses sources, si ce message correspond au rgles de
filtrages, il part alors vers l'une des destinations. Source
Destination Filtre
Page 14
Master 1 re anne Scurit des Systmes Informatique 14
Configuration de syslog-ng Les sources, les destinations et les
filtres sont lis ensemble grce la commande suivante : log{ source
s1;source s2;... filter f1; filter f2;... destination d1;
destination d2;... }; Les messages peuvent provenir de n'importe
laquelle des sources, et doivent passer tous les filtres numrs (ce
qui quivaut un ET) pour tre envoys vers toutes les destinations.
Exemple source s_network { udp( port(514)); }; filter f_lan3 {
netmask("192.168.1.3/255.255.248.0"); }; destination d_lan3 {
file("/var/log/lan3.log"); }; log { source(s_network);
filter(f_lan3); destination(d_lan3); }; Les sources, les
destinations et les filtres sont lis ensemble grce la commande
suivante : log{ source s1;source s2;... filter f1; filter f2;...
destination d1; destination d2;... }; Les messages peuvent provenir
de n'importe laquelle des sources, et doivent passer tous les
filtres numrs (ce qui quivaut un ET) pour tre envoys vers toutes
les destinations. Exemple source s_network { udp( port(514)); };
filter f_lan3 { netmask("192.168.1.3/255.255.248.0"); };
destination d_lan3 { file("/var/log/lan3.log"); }; log {
source(s_network); filter(f_lan3); destination(d_lan3); };
Page 15
Master 1 re anne Scurit des Systmes Informatique 15
syslog-ng
![Syslog ve Sistem Kayitlari - seminer.linux.org.tr · syslogd(8) ve klogd(8). 4 MAYIS 2003 ISTANBUL Linux Kullanıcıları Derneği 4 Syslogd ... Dec 24 16:26:12 infinity login(pam_unix)[942]:](https://img.pdfslide.net/doc/110x75/5f6af0e76efd6373a23ce2d9/syslog-ve-sistem-kayitlari-syslogd8-ve-klogd8-4-mayis-2003-istanbul-linux.jpg?t=1680152089)
