Transcript
Page 1: Master 1 ère année Sécurité des Systèmes Informatique 1 La journalisation syslog  syslogd est un service (ou daemon) qui journalise les événements du

Master 1 ère année Sécurité des Systèmes

Informatique

Master 1 ère année Sécurité des Systèmes

Informatique

11

La journalisation syslogLa journalisation syslog

syslogd est un service (ou daemon) qui journalise les événements du système Refus de connexion par su Arrêt, redémarrage Problème réseau

L'enregistrement des événements systèmes est géré par deux programmes : klogd et syslogd

Utilise le fichier de configuration /etc/syslog.confAttention! Tous les programmes tournant sur votre

machine n'utilisent pas syslog.

syslogd est un service (ou daemon) qui journalise les événements du système Refus de connexion par su Arrêt, redémarrage Problème réseau

L'enregistrement des événements systèmes est géré par deux programmes : klogd et syslogd

Utilise le fichier de configuration /etc/syslog.confAttention! Tous les programmes tournant sur votre

machine n'utilisent pas syslog.

Page 2: Master 1 ère année Sécurité des Systèmes Informatique 1 La journalisation syslog  syslogd est un service (ou daemon) qui journalise les événements du

Master 1 ère année Sécurité des Systèmes

Informatique

Master 1 ère année Sécurité des Systèmes

Informatique

22

Le fichier /etc/syslog.conf

Le fichier /etc/syslog.conf

Critère (catégorie.gravité) Destination

# Log tous les messages du noyau vers la console.

# En plus, les messages sont envoyés vers le fichier /var/log/kernelkern.*                                   /dev/consolekern.*                                   /var/log/kernel 

# Log tous les messages dans le fichier messages à partir du niveau info # (il ne manque donc que debug par rapport au tableau précédent)# Sauf les messages du mail, que l'on place dans un autre fichier et les messages authpriv*.info;mail.none;authpriv.none          /var/log/messages

# Placer ici les messages que seul l'administrateur a le droit de voir. # authpriv donne les connexions infructueuses, les connexions avec la commande su.authpriv.*                               /var/log/secure

# Log tous les messages de mail et les place dans le fichier maillog..mail.*                                   /var/log/maillog

# Log tous les messages d'urgence rendant le système instable dans tous les fichiers.*.emerg                                  *

# Log les messages uucp et news dans un fichier spécialuucp,news.crit                            /var/log/spooler

# Log tous les messages du noyau vers la console.

# En plus, les messages sont envoyés vers le fichier /var/log/kernelkern.*                                   /dev/consolekern.*                                   /var/log/kernel 

# Log tous les messages dans le fichier messages à partir du niveau info # (il ne manque donc que debug par rapport au tableau précédent)# Sauf les messages du mail, que l'on place dans un autre fichier et les messages authpriv*.info;mail.none;authpriv.none          /var/log/messages

# Placer ici les messages que seul l'administrateur a le droit de voir. # authpriv donne les connexions infructueuses, les connexions avec la commande su.authpriv.*                               /var/log/secure

# Log tous les messages de mail et les place dans le fichier maillog..mail.*                                   /var/log/maillog

# Log tous les messages d'urgence rendant le système instable dans tous les fichiers.*.emerg                                  *

# Log les messages uucp et news dans un fichier spécialuucp,news.crit                            /var/log/spooler

Page 3: Master 1 ère année Sécurité des Systèmes Informatique 1 La journalisation syslog  syslogd est un service (ou daemon) qui journalise les événements du

Master 1 ère année Sécurité des Systèmes

Informatique

Master 1 ère année Sécurité des Systèmes

Informatique

33

Critèreentité.gravité

Critèreentité.gravité

kernel (kern) 0 correspondant au noyau système.

user 1 correspondant au processus ne faisant pas partie de kernel.

mail 2 correspondant au mécanisme du courrier.

daemon 3 correspondant aux démons systèmes.

auth 4 correspondant à l'authentification.

syslog 5 correspondant à Syslog lui-même.

lpr 6 correspondant aux processus d'impression.

news 7 correspondant aux serveurs de news.

uucp 8 correspondant aux programmes fondés sur UUCP.

cron 9 correspondant à Cron lui-même.

authpriv 10 correspondant à AUTH, mais n'étant pas destinés à être publics

ftp 11 correspondant au FTP (serveur et client).

ntp 12 correspondant aux applications NTP.

local[0-7] 16 à 23 réservé pour des usages propres

L’entité permet de préciser le type des messages. Les entités 13, 14 et 15 sont très peu utilisées.

Page 4: Master 1 ère année Sécurité des Systèmes Informatique 1 La journalisation syslog  syslogd est un service (ou daemon) qui journalise les événements du

Master 1 ère année Sécurité des Systèmes

Informatique

Master 1 ère année Sécurité des Systèmes

Informatique

44

Critèreentité.gravité

Critèreentité.gravité

7 debug Messages de debogage

6 info Messages d'information

5 notice Messages un peu plus importants que les messages info

4 Warning ou warn Messages d'avertissement

3 err Messages d'erreur

2 crit Situation critique

1 alert Situation critique nécessitant une intervention immédiate

0 emerg ou panic Système inutilisable

La liste de gravité, classée de la  moins grave à la plus grave. Tous les messages de sévérité plus graves sont inclus, ainsi si vous choisissez sévérité err, vous avez aussi les messages crit, alert, et emerg.

Page 5: Master 1 ère année Sécurité des Systèmes Informatique 1 La journalisation syslog  syslogd est un service (ou daemon) qui journalise les événements du

Master 1 ère année Sécurité des Systèmes

Informatique

Master 1 ère année Sécurité des Systèmes

Informatique

55

DestinationDestination

Les actions peuvent être de plusieurs types:Envoie dans un fichier /Envoie vers le syslog d'une autre machine @Envoie dans un tube nommé (pour le débogage) |Envoie vers un terminal ou une console

(/dev/console)Liste d'utilisateurs

Les actions peuvent être de plusieurs types:Envoie dans un fichier /Envoie vers le syslog d'une autre machine @Envoie dans un tube nommé (pour le débogage) |Envoie vers un terminal ou une console

(/dev/console)Liste d'utilisateurs

Page 6: Master 1 ère année Sécurité des Systèmes Informatique 1 La journalisation syslog  syslogd est un service (ou daemon) qui journalise les événements du

Master 1 ère année Sécurité des Systèmes

Informatique

Master 1 ère année Sécurité des Systèmes

Informatique

66

Quelques exemplesQuelques exempleskern.* /var/adm/kernelkern.crit @finlandiakern.crit /dev/consolekern.info;kern.!err /var/adm/kernel-info

Tous les messages noyau sont enregistrés dans /var/adm/kernel

Les messages de niveau critique sont envoyés vers finlandia Ils sont également écrits sur la console Tous les messages noyau du niveau info jusqu'à warning inclus

(ceux supérieur à err sont exclus) sont logés

*.=info;*.=notice;mail.none /var/log/messages

Tous les messages de niveau info et de niveau notice sont envoyés vers /var/log/messages sauf ceux utilisant le service de courrier

kern.* /var/adm/kernelkern.crit @finlandiakern.crit /dev/consolekern.info;kern.!err /var/adm/kernel-info

Tous les messages noyau sont enregistrés dans /var/adm/kernel

Les messages de niveau critique sont envoyés vers finlandia Ils sont également écrits sur la console Tous les messages noyau du niveau info jusqu'à warning inclus

(ceux supérieur à err sont exclus) sont logés

*.=info;*.=notice;mail.none /var/log/messages

Tous les messages de niveau info et de niveau notice sont envoyés vers /var/log/messages sauf ceux utilisant le service de courrier

Page 7: Master 1 ère année Sécurité des Systèmes Informatique 1 La journalisation syslog  syslogd est un service (ou daemon) qui journalise les événements du

Master 1 ère année Sécurité des Systèmes

Informatique

Master 1 ère année Sécurité des Systèmes

Informatique

77

AstuceAstuce

Fonction log ajoutée dans un service

log() { tail –30 /var/log/$NOM_DU_SERVICE.log }

La commande ci-dessous affiche les dernières lignes du fichier log correspondant au service console

service $NOM_DU_SERVICE log

Fonction log ajoutée dans un service

log() { tail –30 /var/log/$NOM_DU_SERVICE.log }

La commande ci-dessous affiche les dernières lignes du fichier log correspondant au service console

service $NOM_DU_SERVICE log

Page 8: Master 1 ère année Sécurité des Systèmes Informatique 1 La journalisation syslog  syslogd est un service (ou daemon) qui journalise les événements du

Master 1 ère année Sécurité des Systèmes

Informatique

Master 1 ère année Sécurité des Systèmes

Informatique

88

A savoirA savoir

Récupérer les log d’un routeur

local7.debug /var/log/network.log

La règle pour connaître l’entité utilisée est:

valeur = 8 * entité + gravité

Ce qui donne une série de valeur allant de 0 ( 8 x kernel + emerg ) à 191 ( 8 x local7 + debug ).

Récupérer les log d’un routeur

local7.debug /var/log/network.log

La règle pour connaître l’entité utilisée est:

valeur = 8 * entité + gravité

Ce qui donne une série de valeur allant de 0 ( 8 x kernel + emerg ) à 191 ( 8 x local7 + debug ).

Page 9: Master 1 ère année Sécurité des Systèmes Informatique 1 La journalisation syslog  syslogd est un service (ou daemon) qui journalise les événements du

Master 1 ère année Sécurité des Systèmes

Informatique

Master 1 ère année Sécurité des Systèmes

Informatique

99

Outil logwatchOutil logwatch logwatch

programme écrit en Perl analyse les logs du système et envoie un courriel à l'administrateur avec un résumé très bien structuré avec plus ou moins de détails selon vos préférences Analyser les logs du système est une tâche difficile Peu d’administrateurs prennent la peine de le faire, avec logwatch, c’est un courriel qui se lis en peu de temps

logwatch programme écrit en Perl analyse les logs du système et envoie un courriel à l'administrateur avec un résumé très bien structuré avec plus ou moins de détails selon vos préférences Analyser les logs du système est une tâche difficile Peu d’administrateurs prennent la peine de le faire, avec logwatch, c’est un courriel qui se lis en peu de temps

Page 10: Master 1 ère année Sécurité des Systèmes Informatique 1 La journalisation syslog  syslogd est un service (ou daemon) qui journalise les événements du

Master 1 ère année Sécurité des Systèmes

Informatique

Master 1 ère année Sécurité des Systèmes

Informatique

1010

Outil ksystemlogOutil ksystemlog

Ksystemlog est un outil graphique de visualisation des logs

Ksystemlog est un outil graphique de visualisation des logs

Page 11: Master 1 ère année Sécurité des Systèmes Informatique 1 La journalisation syslog  syslogd est un service (ou daemon) qui journalise les événements du

Master 1 ère année Sécurité des Systèmes

Informatique

Master 1 ère année Sécurité des Systèmes

Informatique

1111

Outil logrotateOutil logrotate

logrotate est conçu pour faciliter l'administration des systèmes qui génèrent un grand nombre de journaux.

Il automatise la permutation, la compression, la suppression et l'envoi des journaux.

Chaque journal peut être traité Quotidiennement, Hebdomadairement, Mensuellement ou quand il devient trop volumineux

logrotate est conçu pour faciliter l'administration des systèmes qui génèrent un grand nombre de journaux.

Il automatise la permutation, la compression, la suppression et l'envoi des journaux.

Chaque journal peut être traité Quotidiennement, Hebdomadairement, Mensuellement ou quand il devient trop volumineux

Page 12: Master 1 ère année Sécurité des Systèmes Informatique 1 La journalisation syslog  syslogd est un service (ou daemon) qui journalise les événements du

Master 1 ère année Sécurité des Systèmes

Informatique

Master 1 ère année Sécurité des Systèmes

Informatique

1212

syslog-ng syslog-ng

syslog-ng essaye de rajouter les manques de syslogd :

Une configuration puissante Un tri des messages par leur contenu La portabilité Une meilleure redirection des messages sur le réseau La possibilité de le mettre en cage (chroot) UDP et TCP utilisés pour le transport des journaux Chiffrer et authentifier le trafic réseau Compresser les journaux

syslog-ng essaye de rajouter les manques de syslogd :

Une configuration puissante Un tri des messages par leur contenu La portabilité Une meilleure redirection des messages sur le réseau La possibilité de le mettre en cage (chroot) UDP et TCP utilisés pour le transport des journaux Chiffrer et authentifier le trafic réseau Compresser les journaux

Page 13: Master 1 ère année Sécurité des Systèmes Informatique 1 La journalisation syslog  syslogd est un service (ou daemon) qui journalise les événements du

Master 1 ère année Sécurité des Systèmes

Informatique

Master 1 ère année Sécurité des Systèmes

Informatique

1313

syslog-ng syslog-ngDans Syslog-ng le chemin des messages (ou la route des

messages) consiste en une ou plusieurs sources, une ou plusieures règles de filtrage et une ou plusieures destinations (trappes). Un message rentre dans syslog-ng par l'une de ses sources, si ce message correspond au règles de filtrages, il part alors vers l'une des destinations.

Source

Destination

Filtre

Dans Syslog-ng le chemin des messages (ou la route des messages) consiste en une ou plusieurs sources, une ou plusieures règles de filtrage et une ou plusieures destinations (trappes). Un message rentre dans syslog-ng par l'une de ses sources, si ce message correspond au règles de filtrages, il part alors vers l'une des destinations.

Source

Destination

Filtre

Page 14: Master 1 ère année Sécurité des Systèmes Informatique 1 La journalisation syslog  syslogd est un service (ou daemon) qui journalise les événements du

Master 1 ère année Sécurité des Systèmes

Informatique

Master 1 ère année Sécurité des Systèmes

Informatique

1414

Configuration de syslog-ngConfiguration de syslog-ng Les sources, les destinations et les filtres sont liés ensemble grâce à

la commande suivante :

log{ source s1;source s2; ... filter f1; filter f2; ... destination d1; destination d2; ... };

Les messages peuvent provenir de n'importe laquelle des sources, et doivent passer tous les filtres énumérés (ce qui équivaut à un ET) pour être envoyés vers toutes les destinations.

Exemple

source s_network { udp( port(514)); };filter f_lan3 { netmask("192.168.1.3/255.255.248.0"); };destination d_lan3 { file("/var/log/lan3.log"); };log { source(s_network); filter(f_lan3);

destination(d_lan3); };

Les sources, les destinations et les filtres sont liés ensemble grâce à la commande suivante :

log{ source s1;source s2; ... filter f1; filter f2; ... destination d1; destination d2; ... };

Les messages peuvent provenir de n'importe laquelle des sources, et doivent passer tous les filtres énumérés (ce qui équivaut à un ET) pour être envoyés vers toutes les destinations.

Exemple

source s_network { udp( port(514)); };filter f_lan3 { netmask("192.168.1.3/255.255.248.0"); };destination d_lan3 { file("/var/log/lan3.log"); };log { source(s_network); filter(f_lan3);

destination(d_lan3); };

Page 15: Master 1 ère année Sécurité des Systèmes Informatique 1 La journalisation syslog  syslogd est un service (ou daemon) qui journalise les événements du

Master 1 ère année Sécurité des Systèmes

Informatique

Master 1 ère année Sécurité des Systèmes

Informatique

1515

syslog-ng syslog-ng


Recommended