Vue d'ensemble
Syslog est utilisé sur divers serveurs / périphériques pour fournir des informations système à l'administrateur système. C'est une entrée de wiki:
Syslog is a standard for computer data logging. It allows separation of the software that generates messages from the system that stores them and the software that reports and analyzes them.
Syslog can be used for computer system management and security auditing as well as generalized informational, analysis, and debugging messages. It is supported by a wide variety of devices (like printers and routers) and receivers across multiple platforms. Because of this, syslog can be used to integrate log data from many different types of systems into a central repository.
Pour exploiter cette information, on pourrait:
- Connectez-vous au serveur / périphérique. Où le comment, peut changer d'un appareil à l'autre et si possible de l'endroit où l'administrateur est en relation avec le pare-feu protégeant l'actif.
- Recherchez le fichier Syslog. Qui pourrait être dans un emplacement légèrement différent en fonction du système / périphérique utilisé. Par exemple, sous Debian, il s’agit de “/ var / log / syslog” et de DD-WRT, de “/ var / log / messages” (presque comme pour vous écarter,…).
- Utilisez un utilitaire d'affichage de fichier disponible. Encore une fois pourrait être légèrement différent en fonction de ce qui est disponible sur le système. Par exemple, sur Busybox, l’utilitaire «less» n’est pas l’implémentation complète de GNU et, en tant que tel, il manque la fonction «Scroll forward» (+ F).
L’autre solution consisterait à configurer un collecteur Syslog et à laisser les serveurs / périphériques Syslog-ing lui envoyer les événements.
Prérequis et hypothèses
- Un périphérique qui prend en charge Syslog-ing à distance. Dans cet article, nous utiliserons DD-WRT à titre d'exemple.
- Syslog utilise le port 514 UDP et, en tant que tel, il doit être accessible à partir du périphérique envoyant les informations au collecteur.
- Certains savoirs de base en réseau sont supposés.
Configurer le collecteur Syslog
Afin de collecter les événements, il est nécessaire d’avoir un serveur Syslog. Bien qu'il existe une multitude d'options comme «Kiwi» et «PRTG» pour n'en citer que quelques-unes, nous avons opté pour «Syslog Watcher».
Remarque: il est recommandé que le serveur de collecte utilise une adresse IP qui ne changera pas, soit en l'attribuant statiquement, soit en la réservant dans DHCP.
- Téléchargez la dernière version de Syslog Watcher.
- Installez-le à la manière habituelle «suivant -> suivant -> terminer».
- Ouvrez le programme à partir du “menu de démarrage”.
- Lorsque vous êtes invité à sélectionner le mode de fonctionnement, sélectionnez: «Gérer le serveur Syslog local».
- Si Windows UAC vous y invite, approuvez la demande de droits d'administration.
- Démarrez le service en cliquant sur le gros bouton «Play» en haut à gauche.
Bien que vous puissiez configurer davantage le programme, par exemple, comme indiqué dans les didacticiels vidéo, vous n’en avez pas aussi et il est prêt à être lancé.
Configurer l'expéditeur Syslog
Comme indiqué ci-dessus, nous utiliserons DD-WRT pour cet exemple. Cela dit, la connexion Syslog distante est une fonctionnalité prise en charge par la plupart des périphériques / systèmes d'exploitation qui se respectent. Consultez la documentation pour savoir comment l'installer.
Sur DD-WRT:
- Accédez à l'interface Web et sélectionnez «Services».
-
Cochez la case Activer pour «Syslogd».
Image - Dans la zone de texte Serveur distant, entrez l'adresse IP / DNS du serveur de collecte.
- Enregistrez et appliquez pour que les paramètres prennent effet.
C’est tout… votre observateur Syslog devrait commencer à être renseigné par les événements système.
Par exemple, si vous avez implémenté notre guide «Comment supprimer des publicités avec Pixelserv sur DD-WRT», vous pourrez visualiser un des exemples suivants:
N’essayez pas de faire fonctionner à distance des ponts spatiaux…: P
