Les items abordés
- Client Centos7
- Client Windows Server/Win10
- Client NAS NetApp
- Client vSphère ESX VMware
- Client vCenter VMware
- Complément Rsyslog
- Service Apache et Rsyslog
- Service Mariadb,MySQL et Rsyslog
- Service Notification GrayLOG
1°) Création d’un « Tube » Syslog UDP
Création d’une entrée « INPUTS »
Définir « Syslog UDP »
2°) Client Linux Centos7
[root@centos ~]# cd /etc/ [root@centos ~]# ls -al |grep syslog -rw-r--r-- 1 root root 3256 16 mai 2018 rsyslog.conf drwxr-xr-x. 2 root root 25 16 avril 2018 rsyslog.d
[root@centos ~]# vi rsyslog.conf Ajouter à la fin du fichier *.* @192.168.1.148:5140 ;RSYSLOG_SyslogProtocol23Format
[root@centos ~]# systemctl restart rsyslog
Coté Serveur
[root@superlog ~]# yum install tcpdump
On regarde si les trames udp passe entre les deux machines
[root@Superlog ~]# tcpdump -i ens192 -n | grep IP_Machine_Cliente
Les trames de communication entre superlog et la machine cliente (Centos7) vont apparaitre
3°) Client Windows Serveur / Windsows7 – 10
Télécharger le freeware EvtSys (32bits ou 64bits)
Dézipper l’archive sur C:\
Exécuter un terminal DOS en mode Administrateur
C:\>cd 64-Bit-LP C:-Bit-LP>evtsys.exe -i -h superlog.house.cpb
Dans la base de Registre on devrait retrouver différentes clefs
Modifier le port UDP 514 vers UDP5140
Il est possible de charger le Port UDP directement via la commande suivante
C:-Bit-LP>evtsys.exe -i -h Superlog.house.cpb -p 5140
Lancement du Service
C:-Bit-LP>net start evtsys Le service Eventlog to Syslog démarre. Le service Eventlog to Syslog a démarré.
4°) Client NAS NetApp (ex: nas1.house.cpb)
Pour l’accès au fichier de configuration Syslog sur les NAS NetAPP, il faut monter le système en partage CIFS.
Monter le partage \\nas1.house.cpb\c$ sur l’explorateur de fichier windows.
Copier le fichier « syslog.conf.sample » en « syslog.conf » situé sur /etc.
Editer le fichier syslog.conf et ajouter à la fin du fichier « *.* @Superlog »
Editer le fichier hosts et ajouter à la fin du fichier « 192.168.1.48 Superlog »
Vérifions la réception des trames sur le serveur Superlog.
[root@Superlog ~]# tcpdump -vv -i ens192 -X port 514 -c 10
Le Syslog NetApp envoi les trames uniquement sur le Port 514.
Sur le Serveur GrayLOG
Faire un transfert de port pour l’ajout des trames 514/udp vers 5410/upd
[root@Superlog ~]# firewall-cmd --zone=public --add-forward-port=port=514:proto=udp:toport=5140 --permanent [root@Superlog ~]# firewall-cmd --reload
5°) Client Serveur ESXi VMWare (ex: esi01.house.cpb)
Se connecter à l’interface Web du Serveur ESXi
Vérifier/Démarrer le service Syslog
6°) Client Serveur Vcenter VMWare (ex: vcenter01.house.cpb)
Se connecter sur l’Appliance VMWare Vsphere
Ennoyer un test message en cliquant sur l’onglet « ENVOYER UN MESSAGE DE TEST »
7°) Complément pour les nouveaux paquets Rsyslog
[root@cento7-1]# cd /etc/yum.repos.d [root@cento7-1]# vi rsyslog.repo [rsyslog_v8_nightly] name=Adiscon CentOS-$releasever - nightly packages for $basearch baseurl=http://rpms.adiscon.com/v8-stable-nightly/epel-$releasever/$basearch enabled=1 gpgcheck=0 gpgkey=http://rpms.adiscon.com/RPM-GPG-KEY-Adiscon protect=1
[root@cento7-1]# yum install rsyslog [root@cento7-1]# systemctl enable rsyslog
[root@cento7-1]# vi /etc/rsyslog.conf *.* 192.168.1.148:5140;RSYSLOG_SyslogProtocol23Format
[root@cento7-1]# systemctl start rsyslog
8°) Intégrer les Logs Apache dans Rsyslog/Graylog
Editer le fichier de conf SITE sur /etc/httpd/conf.d
Ajouter les lignes suivantes
## Passage des log vers Rsyslog ErrorLog "|/usr/bin/logger -t apache -p local6.info" CustomLog "|/usr/bin/logger -t apache -p local6.info" combined
Sauvegarder et redémarrer le service apache et le service syslog
[root@cento7-1]# service httpd restart [root@cento7-1]# service rsyslog restart
9°) Intégrer les Logs Mariadb,Mysql dans Rsyslog/Graylog
Editer le fichier /etc/my.cnf et ajouter les lignes suivantes.
###### Collect des logs via Rsyslog log_error=/var/log/mariadb/mysql_error.log general_log_file = /var/log/mariadb/mysql.log general_log = 1
Redémarrer le service mariadb
[root@cento7-1]# service mariadb restart [root@cento7-1]# tail -f mariadb/mariadb.log
Editer le fichier de conf Rsyslog /etc/rsyslog.conf et ajouter les lignes suivantes.
module(load="imfile" PollingInterval="1") input(type="imfile" File="/var/log/mariadb/mysql.log" stateFile="statefile-mysql-general" Tag="mysql-general" Severity="warning" Facility="local1")
Redémarrer le service Rsyslog
[root@cento7-1]# service rsyslog restart
Côté Graylog
Ajouter la rotation des logs
[root@cento7-1]# yum install gzip
Editer le fichier /etc/logrotate.conf et ajouter les lignes suivantes
/var/log/mariadb/*.log { daily rotate 8 compress delaycompress missingok notifempty size 1M create 440 root root }
Lancer la rotation des logs en ligne de commande pour test
[root@cento7-1]# logrotate -f /etc/logrotate.conf
10°) Ajout de règle d’alerte par notification de mail
Exemple une alerte concernant l’arrêt d’un service (ex vmtools)
Création d’un Stream pour encapsuler nos critères
Création d’une condition sur le stream
Création d’une notification mail via la condition sur le stream « Service Stoppé »
11°) Information – Code Syslog
| Codes de gravité | |||
| Code | Gravité | Mot-clé | Description |
| 0 | Emergency | emerg (panic) | Système inutilisable. |
| 1 | Alert | alert | Une intervention immédiate est nécessaire. |
| 2 | Critical | crit | Erreur critique pour le système. |
| 3 | Error | err (error) | Erreur de fonctionnement. |
| 4 | Warning | warn (warning) | Avertissement (une erreur peut intervenir si aucune action n’est prise). |
| 5 | Notice | notice | Événement normal méritant d’être signalé. |
| 6 | Informational | info | Pour information. |
| 7 | Debugging | debug | Message de mise au point. |
Views: 31