Différences

Ci-dessous, les différences entre deux révisions de la page.

--- configuration_de_la_collecte_de_logs_avec_rsyslog [2023/01/07 18:13] – [Topologie du LAB] superadmin
+++ configuration_de_la_collecte_de_logs_avec_rsyslog [2023/09/14 17:11] (Version actuelle) – [Configuration côté serveur] superadmin
@@ Ligne 6: / Ligne 6: @@
 RSyslog est un outil client-serveur permettant d'envoyer et recevoir des logs, généralement intégré par défaut aux distributions Linux modernes. On le configure par le biais du fichier **/etc/rsyslog.conf** que ce soit côté client ou côté serveur.
-===== Topologie du LAB =====
+===== Topologie du lab =====
 Dans ce tutoriel, nous aurons 2 machines sous Debian 11. L'une enverra ses logs (le client), et l'autre les recevra (le serveur) :
-{{::rsyslogtutotopo.png?400|Architecture du LAB : client et serveur Rsyslog}}
+{{ ::rsyslogtutotopo.png?400 |Architecture du lab : client et serveur Rsyslog}}
 ===== Pré-requis =====
 Dans le cadre de ce tutoriel, nous aurons seulement besoin de 2 machines sous Linux (Debian, CentOS, ou RHEL de préférence) sur le même réseau IP.
-===== Mise en place =====
+===== Instructions =====
 ==== Configuration côté serveur ====
@@ Ligne 20: / Ligne 20: @@
 Ouvrir le fichier **/etc/rsyslog.conf** avec un éditeur de texte pour le modifier :
-<code>nano /etc/rsyslog/conf </code>
+<code>nano /etc/rsyslog.conf </code>
 Décommenter ou ajouter les instructions suivantes pour activer la réception des logs en UDP :
@@ Ligne 38: / Ligne 38: @@
 Ci-dessus, on indique que les logs reçus par le serveur seront stockés dans un sous-répertoire spécifique de **/var/log** en fonction de la machine émettrice. La variable **%HOSTNAME%** correspond au nom du client qui envoie les logs et **%PROGRAMNAME%**, à celui du programme qui produit les logs.
-Enfin, pour sécuriser davantage le système, il est possible de whitelister les hôtes, les réseaux, ou les domaines autorisés à envoyer des logs au serveur (en précisant les protocoles utilisés) :
+:?: Par défaut, si rien n'est paramétré, les logs sont stockés dans le répertoire ''/var/log/messages'' du serveur.
-<code>  </code>
+On peut aussi ajouter des exceptions à la règle. Par exemple, pour envoyer tous les journaux dans **/var/log/** sauf ceux provenants de la machine **debian03** (envoyés alors dans ''/var/log/messages'') :
+<code>:source, !isequal, "debian03" *.* ?remote-incoming-logs</code>
+Enfin, pour sécuriser davantage le système, il est possible de whitelister les hôtes, les réseaux, ou les domaines autorisés à envoyer des logs au serveur (une ligne par protocole) :
+<code>$AllowedSender UDP, 127.0.0.1/24, 192.168.1.0/24, *.nocterie.local
+$AllowedSender TCP, 127.0.0.1/24, 192.168.1.20/24, *.nocterie.local </code>
+:?: Il peut y avoir plusieurs hôtes, réseaux, où domaines par ligne.
 Une fois ceci fait, on peut activer le service rsyslog au démarrage de la machine et le lancer :
@@ Ligne 114: / Ligne 122: @@
 :!: Remplacer ''fichier.log'' par le nom du fichier à lire
-Ici le fichier surveillé est **systemd.log**, qui retrace les démarrages et les arrêts de services sur la machine cliente. On peut y voir que le service Bluetooth vient d'être redémarré (la réception est quasi instantanée) :
+Ici le fichier surveillé est **systemd.log**, qui retrace les démarrages et les arrêts de services sur la machine cliente. On peut y voir que le service Bluetooth vient d'être redémarré (en quasi instantané) :
-{{::rsyslogtuto4.png?600|}}
+{{::rsyslogtuto4.png?600|Contenu du fichier systemd.log du client en direct}}
 ===== Sources =====