Syslog NG Tutojres

La gestion des journaux Informatiques TutoJRES 19 Juin 2008 - Julien Charpin Centre d'Ocanologie de Marseille - CNRS
CENTRALISATION DES LOGS AVEC SYSLOG-NG
- CENTRALISATION DES LOGS AVEC SYSLOG-NG J.Charpin TutoJRES 19/06/08-
SOMMAIRE
INTRODUCTION SYSLOG-NG
Prsentation (possibilits, tlchargement, install) Principes gnraux Configuration serveur Configuration client Installation & configuration Utilisation
PHP-SYSLOG-NG (Monitoring graphique)

CONCLUSION
SOMMAIRE
PHP-SYSLOG-NG (Monitoring graphique)

CONCLUSIONS
INTRODUCTION
POURQUOI TRACER ?
> Contexte Juridique > Contexte technique
POURQUOI CENTRALISER ?
INTRODUCTION
CONTEXTE JURIDIQUE

Aot 2004 -> Publication de la LCEN Octobre 2004 -> Publication par le CNRS de la dcision fixant un cadre rglementaire, Fvrier 2005 -> courrier adress aux Directeurs d'Unit explicitant le dispositif.
Texte officiel sur la politique de gestion des traces ->
https://intranet.cnrs.fr/extranet/cnrs/fsd/documents/Po_gest_traces.pdf
INTRODUCTION
CONTEXTE JURIDIQUE
Texte dcrivant le cadre rglementaire relatif l'utilisation et la conservation des "fichiers de journalisation" en fonction du type de service audit (postes de travail, serveurs HTTP, serveurs SMTP, quipements rseaux, applications spcifiques ...) Entre autres choses dfinit une dure de conservation maximale d'1 an.
INTRODUCTION
CONTEXTE TECHNIQUE
Situation existante :

Plusieurs serveurs Plusieurs services =>beaucoup de fichiers de logs Rationalisation lvation du niveau de scurit Simplification de la tche de l'administrateur Rpondre plus facilement une requte judiciaire ...
Solution -> Centraliser car :

INTRODUCTION
Problmatique locale au COM
Plusieurs serveurs (Samba/LDAP, HTTP, DNS, DHCP, SSH, FTP ...) 2 sites distants/600 utilisateurs Syslog-ng car possibilit de trier avec plus de finesse les diffrents logs reus sur un serveur
Solution retenue :
SOMMAIRE
Prsentation (possibilits, tlchargement, installation) Principes gnraux Configuration serveur Configuration client Installation & configuration Utilisation
PHP-SYSLOG-NG

CONCLUSION
SYSLOG-NG : Prsentation
Gestionnaire de journaux systmes de nouvelle gnration (ng = new generation), capable (entre autres) :
de filtrer les messages en utilisant les expressions rgulires d'envoyer/recevoir les logs sur le rseau via UDP ou TCP Compatible IPV6
SYSLOG-NG : Disponibilit
Sur la plupart des distributions sous forme de paquet (Debian, Red Hat, Mandriva ...) En tlchargement (format tar.gz) sur SOURCEFORGE (http://sourceforge.net/projects/syslog-ng/) ou chez BALABIT
(http://www.balabit.com/downloads/files/syslog-ng/sources/stable/)
SYSLOG-NG : Installation
Debian : apt-get install syslog-ng Red Hat : yum install syslog-ng ... Sources : ./configure, make, make install pour la version tar.gz
SOMMAIRE
PHP-SYSLOG-NG

CONCLUSION
SYSLOG-NG : Principes de base

/etc/syslog-ng/syslog-ng.conf
Ce fichier de configuration est divis en 5 parties qui sont :

options sources destinations filtres logs

la configuration repose sur la dfinition, le nommage et le paramtrage d'objets globaux, dfinis dans le fichier de conf syslog-ng.conf et qui sont :

source -> Dfinition de la provenance des messages de logs reus par syslog-ng. destination -> O et comment le message de log est-il envoy (local ou distant) ? filter -> les messages ne seront envoys vers la destination dfinie que s'ils "matchent" les rgles de filtrage dfinies. log -> dfinit le traitement de chaque message de log reu, en fonction des items source, destination et filter.
Rappel de la structure d'un message de logs :
2 types d'information sont utiliss pour caractriser un message de log :
priorit (level) : none, debug, info, notice, warning, error, crit, alert, emerg type (facilities) : authpriv, cron, daemon, kern, local0 -> local7, lpr, mail, news, syslog, user, uucp, ftp,mark
Architecture gnrale de la configuration syslog-ng :

Log = Source + filtre + destination

<type><identifier>{ <parameters>};
1er champ : type d'objet (source, destination, filter, log) 2me champ : identifiant de l'objet (s_source1, d_network, f_filterdemo1, ...) 3me champ : liste de paramtres propres chaque type d'objet.
Liste des champs paramtres :

les drivers les expressions les flags les Macros
paramtres des objets : les drivers
propres au type d'objet source et destination permettant de spcifier des canaux de communication pour envoyer et recevoir des logs :
source : internal(), unix-stream(), udp(), tcp(), udp6(), tcp6() ... destination : file(), unix-stream(), tcp(), udp(), tcp6(), fifo(), pipe(), program() ...
paramtres des objets : les drivers
Exemple d'utilisation des drivers permettant de rcuprer les logs de 3 sources diffrentes :
sources_demo{ internal(); #logsdukernellocal unixstream("/dev/log");#logsdesservices locaux udp(ip(10.1.2.3)port(514));#logsprovenance durseau }; destinationd_tcp{...};
paramtres des objets : les expressions
propres au type filter, s'appliquent aux messages de logs reus. Elles sont construites partir de :
fonctions pr-dfinies : host(regexp), match(regexp), program(regexp), facility, level(emerg, alert, err ...), ... parenthses des oprateurs boolens : and, or, not
paramtres des objets : les expressions
exemple d'utilisation des expressions dans la construction des filtres :

filterf_demofilter1{ host("host1")andmatch("deny");}; filterf_demoregexp{ host("system.*1")andmatch("deny");};
paramtres des objets : les flags
propres l'objet log, permettent de modifier le fonctionnement type d'criture des logs :
final : ne pas envoyer le message une autre destination flow-control : arrter de lire le message provenant de cette source si la destination ne peut pas les accepter ...
paramtres des objets : les flags
Exemple d'utilisation des flags :

log{ source(s_demo); destination(d_tcp); flags(flowcontrol);};
( = les logs provenant de la source "s_demo" et envoys vers la destination "d_tcp" sont ignors si la machine dfinie dans "d_tcp" ne rpond plus)
paramtres des objets : les Macros
fonctions internes de syslog-ng qui peuvent tre utilises pour construire des noms de fichiers de destination de logs.
HOST , MONTH, DAY ...
SOMMAIRE
PHP-SYSLOG-NG

CONCLUSION
SYSLOG-NG : Config.Serveur (Options)
Syslog-ng a un certain nombre d'options permettant de dfinir le comportement vis vis du DNS, des droits et des permissions sur les fichiers et rpertoires cres ...
Pour tout savoir :
man syslog-ng.conf
Principales options :
use_dns -> demande la rsolution des noms DNS pour les machines qui envoient leurs logs, owner(...), group(...), perm(...), dir_perm(...) -> fixe la proprit et les permissions sur les fichiers et rpertoires cres, sync(...) -> permet de spcifier une taille du buffer pour diminuer l'activit du disque, ...
Exemple de dclaration d'options :

options { sync(0);#Dfinir le nombre de lignes "bufferiser" create_dirs(yes);#Autoriser syslog-ng crer des rpertoires group(adm);#les fichiers et rpertoires appartiendront au groupe adm perm(0640);#dfinition des droits sur les fichiers dir_perm(0755);#dfinition des droits sur les rpertoires use_dns(no);#Ne pas chercher rsoudre les noms DNS };
SYSLOG-NG : Config.Serveur (Sources)
Aprs les options, commence la configuration des objets globaux de syslog-ng avec la dfinition des sources
-> Dfinit la provenance des logs reus par syslog-ng

Interne (messages du kernel ...), Rseau (udp ou tcp).
SYSLOG-NG : Config.Serveur (Sources)

sources_all{ internal();#messagesinternessyslogng unixstream("/dev/log");#couterlesocket/dev/log file("proc_kmsg"log_prefix("kernel:"));#Lirele fichierproc_kmsg }; sources_network{udp();};#couterleport514/UDP sources_network1{udp(10.2.3.4);};#couterleport 514/UDPpourlesmessagesdelamachine10.2.3.4 sources_network2{tcp(port(54230);};#couterleport 54230/TCP sources_network3{tcp(ip(10.2.3.4)port(54230));}; #couterleport54230/TCPpourlamachine10.2.3.4
SYSLOG-NG : Config.Serveur (Destinations)
les destinations permettent de dfinir les fichiers ou les cibles rseaux vers lesquelles on veut crire les logs reus. Pour cela, on dispose de drivers :

file() -> permet d'crire dans un fichier, program() -> permet d'appeler un programme externe (usr/bin/mysql ....), tcp(),udp() -> on envoie les logs vers une destination rseau en TCP ou en UDP, tcp6(),udp6() -> la mme chose mais IPV6.
quelques destinations classiques
destinationd_auth{file("/var/log/auth.log");} ;#criredanslefichierspcifi destinationd_syslog{file("/var/log/syslog");} ;#criredanslefichierspcifi destinationd_udp{udp("192.168.0.2");};#crirevers lamachinespcifisurport514/UDP destinationd_tcp{tcp("192.168.0.2")port(1999));} ;#crireverslamachinespcifiesurleport 1999/TCP
exemple de dfinition de destination vers une base MySQL :

program("/usr/bin/mysql -usyslogadmin -psyslogadmin syslog" template("INSERT INTO logs (host, facility, priority, level, tag, datetime, program, msg) VALUES ( '$HOST', $FACILITY, '$PRIORITY', '$LEVEL', '$TAG', '$YEAR-MONTH-$DAY' $HOUR:$MIN:$SEC', '$PROGRAM', '$MSG');\n") template-escape(yes)); }
destination d_mysql {
SYSLOG-NG : Config.Serveur (Macros)

Syslog-ng dispose d'un mcanisme de Macros qui sont substitues par leur valeur lorsqu'un message de log est trait :

HOST : donne le nom de la machine source YEAR, MONTH, DAY : donnent les informations de date STAMP : timestamp format PRIORITY : niveau de gravit du message, FACILITY : Facilit du message PROGRAM : le nom du programme qui envoie le message PID : le PID du programme qui envoie le message ...
SYSLOG-NG : Config.Serveur (Macros)
Utilisation dans la construction des noms de fichiers de destination :

destination d_archivage { file("/var/log/syslogng/$YEAR.$MONTH.$DAY/$HOST/messages") }; #crire dans `date`/`hostname`/messages destination df_facility_dot_info { file("/var/log/$FACILITY.info"); }; #crire dans un fichier nom_de_la_facilit.info
SYSLOG-NG : Config.Serveur (Filtres)

Permettent de crer des rgles de filtrage : un message de log donn ne sera dirig vers une destination donne que s'il "matche" la rgle de filtrage :
filterf_auth{facility(auth,authpriv);};#Onne gardequesilafacilitest"auth"ou"authpriv" filterf_syslog{notfacility(auth,authpriv);};#Le conraire... filterf_messages{ level(info,notice,warn) andnotfacility(cron); };#Ongardesileniveauest'info','notice'ou 'warn'etsilafacilitn'estpas'cron'
SYSLOG-NG : Config.Serveur (Log)
On peut maintenant construire les directives log. Chaque message est susceptible d'tre trait par toutes les directives log prsente dans le fichier :
log{ source(s_all);#messagesprovenantdecettesource, filter(f_auth);#sicorrespondentcefiltre, destination(d_auth);#sontenvoysverscettedest }; log{ source(s_all);#messagesprovenantdecettesource, filter(f_messages);#sicorrespondentcefiltre, destination(df_messages);#sontenvoysverscette dest };
SYSLOG-NG : Config.Serveur (Log)
Dans cet exemple on logge 2 fois le mme message de log vers 2 destinations diffrentes.
log{ source(s_network);#logsprovenantdurseau, destination(d_archivage);#sontenvoysverscette destination }; log{ source(s_network);#logsprovenantdurseau, destination(d_mysql);#sontcritsverscettebase MySQL
};
SOMMAIRE
Prsentation (possibilits, tlchargement, install) principes gnraux Configuration serveur Configuration client Installation & configuration Utilisation
PHP-SYSLOG-NG

CONCLUSION
SYSLOG-NG : Config.Client Linux

Syslog :
Configurer pour la redirection des logs (514/UDP) avec par exemple la ligne suivante dans /etc/syslog.conf :
... #Redirection vers loghost *.* @10.1.2.3 auth,authpriv.* -/var/log/syslog *.*;auth,authpriv.none -/var/log/syslog ...
On peut envoyer les logs vers une machine distante et continuer tracer dans des fichiers locaux.
SYSLOG-NG : Config.Client Linux
Syslog-ng :
1)Dfinir les sources
source s_local { unix-stream("/dev/log"); };
2)Dfinir une destination

destination d_network { udp("@loghost"); };
3)Dfinir (ventuellement) un filtre 4)Dfinir le traitement du message de log

log { source(s_local);#les logs de cette machine, destination(d_network);#seront envoys vers un serveur syslog };
SYSLOG-NG : Config.Client Windows
Observateur d'vnements -> Pas prvu par dfaut Snare (Open Source) d'Interselect Alliance -> Redirection vers Syslog ou Syslog-ng

Clients NT/2000/XP/2003 Spcification du serveur et du port via l'interface web d'administration sur port 6161
SYSLOG-NG : Config.Client Windows

Windows (Sortie Snare) :
Wed Jan 30 15:10:33 2008 593 Security charpin.j User Success Audit PORT-JULIEN Suivi dtaill Un processus est termin : Id. du processus : 864 Nom du fichier image : C:\WINDOWS\system32\cmd.exe Utilisateur : charpin.j Domaine : PORT-JULIEN Id. d'ouv. de session : (0x0,0x21AEDA) 0 Jan 30 15:10:39 139.124.2.9 MSWinEventLog 1 Application 2 Wed Jan 30 15:10:31 2008 108 SNARE Unknown User N/A Information PORT-JULIEN None The service was stopped. 0
PHP-SYSLOG-NG
Outil Graphique de surveillance des LOGS
SOMMAIRE
Prsentation (possibilits, tlchargement, install) principes gnraux Configuration serveur Configuration client Installation & configuration Utilisation
PHP-SYSLOG-NG

CONCLUSION
PHP-SYSLOG-NG : Principe de fonctionnement
PHP-SYSLOG-NG
GNRALITS
GNU Gnral Public Licence V2 http://code.google.com/p/php-syslogng/downloads/list Version (Mai 2008) : php-syslog-ng-2.9.8
TLCHARGEMENT
PHP-SYSLOG-NG
PREREQUIS

MySQL 5.x PHP 5 :

php5 php5-cli (fournit l'interprteur /usr/bin/php5) php5-gd (module de manipulation des images) php5-mysql (module de connexion avec MySQL)
PERL
PHP-SYSLOG-NG
PREREQUIS
Modifier Configuration de PHP -> /etc/php5/apache2/php.ini (sous Debian) :

memory_limit = 128M max_execution_time = 300
PHP-SYSLOG-NG : Installation
Le fichier tar.gz tlcharg est dcompresser et dcompacter dans le rpertoire contenant les documents du site web (/var/www par exemple). Pas de paquetage Red Hat ou Debian ce jour Configurer Apache pour :
Crer un site virtuel configurer Apache pour avoir accs http://localhost/php-syslog-ng/
ou
Un fichier plac dans $INSTALL/scripts/logrotate.d est copier dans /etc/logrotate.d/phpsyslog-ng/ (rotation des fichiers de logs des oprations de php-syslog-ng dans le rpertoire /var/log/php-syslogng)
le fichier $INSTALL/scripts/crontab contient des lignes rajouter dans la crontab de root pour maintenir jour la base MySQL cree.

logrotate.php reloadcache.php squeezedb.php
PHP-SYSLOG-NG : Configuration
Se connecter sur http://localhost/php-syslog-ng/ pour :
Crer une base de donnes "syslog" avec les comptes utilisateurs adquats paramtrer le site (mot de passe admin, adresse ...)
PHP-SYSLOG-NG : Configuration
source s_network {udp()}; ... destination d_mysql { program("/usr/bin/mysql -usyslogadmin -psyslogadmin syslog" template("INSERT INTO logs (host, facility, priority, level, tag, datetime, program, msg) VALUES ( '$HOST', $FACILITY, '$PRIORITY', '$LEVEL', '$TAG', '$YEAR-MONTH-$DAY' $HOUR:$MIN:$SEC', '$PROGRAM', '$MSG');\n") template-escape(yes)); } log {source(s_network); destination(d_archivage); };#Ces 2 destinations, log {source(s_network); destination(d_mysql); }; #sont utilises pour les messages de log provenant du rseau.
CONCLUSION
Avantages :

Compatibilit avec le syslog classique Plus grande souplesse de configuration notion de filtre permet de trier plus en dtail ses messages de logs Avec PHP-Syslog-ng, peuvent tre trs utile pour l'analyse d'incidents posteriori Prise en mains Attention ne pas trop "clater" les traces
Inconvnients

Syslog NG Tutojres

Загружено:

Сведения о документе

Оригинальное название

Авторское право

Доступные форматы

Поделиться этим документом

Поделиться или встроить документ

Параметры публикации

Этот документ был вам полезен?

Это неприемлемый материал?

Авторское право:

Доступные форматы

Syslog NG Tutojres

Загружено:

Авторское право:

Доступные форматы

La gestion des journaux Informatiques TutoJRES 19 Juin 2008 - Julien Charpin Centre d'Ocanologie de Marseille - CNRS

CENTRALISATION DES LOGS AVEC SYSLOG-NG

- CENTRALISATION DES LOGS AVEC SYSLOG-NG J.Charpin TutoJRES 19/06/08-

PHP-SYSLOG-NG (Monitoring graphique)

- CENTRALISATION DES LOGS AVEC SYSLOG-NG J.Charpin TutoJRES 19/06/08-

PHP-SYSLOG-NG (Monitoring graphique)

- CENTRALISATION DES LOGS AVEC SYSLOG-NG J.Charpin TutoJRES 19/06/08-

> Contexte Juridique > Contexte technique

- CENTRALISATION DES LOGS AVEC SYSLOG-NG J.Charpin TutoJRES 19/06/08-

Texte officiel sur la politique de gestion des traces ->

- CENTRALISATION DES LOGS AVEC SYSLOG-NG J.Charpin TutoJRES 19/06/08-

- CENTRALISATION DES LOGS AVEC SYSLOG-NG J.Charpin TutoJRES 19/06/08-

Solution -> Centraliser car :

- CENTRALISATION DES LOGS AVEC SYSLOG-NG J.Charpin TutoJRES 19/06/08-

- CENTRALISATION DES LOGS AVEC SYSLOG-NG J.Charpin TutoJRES 19/06/08-

- CENTRALISATION DES LOGS AVEC SYSLOG-NG J.Charpin TutoJRES 19/06/08-

- CENTRALISATION DES LOGS AVEC SYSLOG-NG J.Charpin TutoJRES 19/06/08-

- CENTRALISATION DES LOGS AVEC SYSLOG-NG J.Charpin TutoJRES 19/06/08-

- CENTRALISATION DES LOGS AVEC SYSLOG-NG J.Charpin TutoJRES 19/06/08-

- CENTRALISATION DES LOGS AVEC SYSLOG-NG J.Charpin TutoJRES 19/06/08-

SYSLOG-NG : Principes de base

Ce fichier de configuration est divis en 5 parties qui sont :

options sources destinations filtres logs

- CENTRALISATION DES LOGS AVEC SYSLOG-NG J.Charpin TutoJRES 19/06/08-

SYSLOG-NG : Principes de base

- CENTRALISATION DES LOGS AVEC SYSLOG-NG J.Charpin TutoJRES 19/06/08-

SYSLOG-NG : Principes de base

Rappel de la structure d'un message de logs :

2 types d'information sont utiliss pour caractriser un message de log :

- CENTRALISATION DES LOGS AVEC SYSLOG-NG J.Charpin TutoJRES 19/06/08-

SYSLOG-NG : Principes de base

Architecture gnrale de la configuration syslog-ng :

- CENTRALISATION DES LOGS AVEC SYSLOG-NG J.Charpin TutoJRES 19/06/08-

SYSLOG-NG : Principes de base

- CENTRALISATION DES LOGS AVEC SYSLOG-NG J.Charpin TutoJRES 19/06/08-

SYSLOG-NG : Principes de base

Liste des champs paramtres :

les drivers les expressions les flags les Macros

- CENTRALISATION DES LOGS AVEC SYSLOG-NG J.Charpin TutoJRES 19/06/08-

SYSLOG-NG : Principes de base

paramtres des objets : les drivers

- CENTRALISATION DES LOGS AVEC SYSLOG-NG J.Charpin TutoJRES 19/06/08-

SYSLOG-NG : Principes de base

paramtres des objets : les drivers

- CENTRALISATION DES LOGS AVEC SYSLOG-NG J.Charpin TutoJRES 19/06/08-

SYSLOG-NG : Principes de base

paramtres des objets : les expressions

- CENTRALISATION DES LOGS AVEC SYSLOG-NG J.Charpin TutoJRES 19/06/08-

SYSLOG-NG : Principes de base

paramtres des objets : les expressions

exemple d'utilisation des expressions dans la construction des filtres :

- CENTRALISATION DES LOGS AVEC SYSLOG-NG J.Charpin TutoJRES 19/06/08-

SYSLOG-NG : Principes de base

paramtres des objets : les flags

- CENTRALISATION DES LOGS AVEC SYSLOG-NG J.Charpin TutoJRES 19/06/08-

SYSLOG-NG : Principes de base

paramtres des objets : les flags

Exemple d'utilisation des flags :

- CENTRALISATION DES LOGS AVEC SYSLOG-NG J.Charpin TutoJRES 19/06/08-

SYSLOG-NG : Principes de base

paramtres des objets : les Macros

HOST , MONTH, DAY ...

- CENTRALISATION DES LOGS AVEC SYSLOG-NG J.Charpin TutoJRES 19/06/08-