Installer Rsyslog sous debian 8

florianlaloge Cisco, Debian 8

Bonjour, toujours dans le cadre de mes projets de fin d’année, il m’était nécessaire de rassembler sur un même serveur tous les logs de mes différents équipements (vous pouvez les voir sur la première capture d’écran).

Rsyslog remplit parfaitement cette fonction et nous allons voir comment le mettre en place et comment dire à nos équipements de lui envoyer leurs logs.

I – Configuration du serveur rsyslog

Comme d’habitude on met notre système à jour :

apt-get update && apt-get upgrade

Ensuite, même si il devrait être installé, encore plus avec notre update, pour être sur:

apt-get install rsyslog

Une fois ceci fait nous allons modifier le fichier de conf de rsyslog afin que notre serveur écoute sur le port 514 en udp.
Pour cela, décommentons les lignes

nano /etc/rsyslog.conf
$ModLoad imudp
$UDPServerRun 514
Ensuite, il va nous falloir segmenter les logs des différentes machines car de base, ils iront tous dans le même fichier (/var/log/syslog), et il nous sera impossible de nous y retrouver dans les logs mélangés de plusieurs machines.
Ainsi, pour commencer, ajoutez ces lignes sous le bloc Rules dans le fichier de configuration de rsyslog
nano /etc/rsyslog.conf

$template syslog, »/var/log/clients/%fromhost%/syslog.log

*.* ?syslog

Maintenant, comme l’indique la variable %fromhost%, les différents logs prendront l’IP de la machine distante comme nom, mais, si on modifie le fichier /etc/hosts, les logs prendront le nom de l’alias que nous leurs avons mis, par exemple, dans mon cas le fichier 10.10.200.2 aura comme nom pare-feu.

nano /etc/hosts

10.10.100.7 - KiTTY
Enfin, redémarrons le service Rsyslog:

service rsyslog restart

Puis, les fichiers de log devraient commencer à apparaitre dans /var/log/clients une fois que vous aurez configuré les clients, en suivant la partie II.
Pour voir l’avancement :

ls /var/log/clients

C’est fini pour la configuration du serveur, attaquons nous aux clients !

II – Configuration des clients

A) Machines Debian

C’est très simple, modifiez le fichier /etc/rsyslog.conf et rajoutez la ligne ci-dessous à la fin du fichier

*.* @IP_Serveur :51

Puis redémarrez le service rsyslog

service rsyslog restart

B) Sur des équipements cisco

Si vous êtes en ligne de commande, passez en enable et mettez l’heure à jour

clock set 22:20:20 june 01 2017

Passez en conf t, puis activer l’horodatage

service timestamps

Ensuite, ajoutez l’ip de votre serveur rsyslog

logging 192.168.0.5

Enfin, on renseigne le log facility, afin de trier les logs

logging facility local5

Sinon, via l’interface graphique, rendez vous dans Administration < System Log < Remote Log Servers.

SG500-28 28-Port Gigabit Stackable Managed Switch - Mozilla Firefox

Ensuite, vous cliquez sur Add, puis vous rentrez les informations dans la fenêtre qui s’ouvre.

Add Remote Log Server - Mozilla Firefox

Suite à cela, vos équipements devraient envoyer leurs logs à votre serveur Rsyslog.

Si vous avez des erreurs n’hésitez pas à m’en parler en commentaire.

Ce tutoriel a été réalisé a l’aide de celui de Théo Gindre et de celui d’IT-connect

Publicité

Votre commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Gravatar
Logo WordPress.com

Vous commentez à l’aide de votre compte WordPress.com. Déconnexion /  Changer )

Photo Facebook

Vous commentez à l’aide de votre compte Facebook. Déconnexion /  Changer )

Annuler

Connexion à %s