Mon réseau

Mon réseau d’entreprise

15.1 La gestion des logs

Précédent   Suivant

Le log book, ou journal de bord est utilisé dans la marine pour conserver une trace de tous les événements importants. Ceci est utilisé dans le monde numérique tous les équipements vont consigner les logs de leur activité. Ainsi il est possible d’investiguer les causes ayant conduit à un problème.

Avec un système GNU/Linux, les logs sont souvent enregistrés localement dans le répertoire /var/log. Le premier fichier à vérifier, c’est syslog. Actuellement, c’est le paquet rsyslog qui fournit le service. Il est installé par défaut.

De nombreux équipement numériques, comme les matériels réseaux, les téléphones IP ne disposent pas de capacité d’enregistrement, les logs doivent dont être envoyés sur un serveur. La centralisation des logs d’un réseau est aussi fort utile pour disposer de tous les événements dans le même fichier.

Il faut configurer l’équipement pour qu’il envoie les logs au serveur désigné. Une capture tshark montre que le client envoie bien les messages au serveur. 

root@hardy:~# tshark -n -f "port syslog"
Running as user "root" and group "root". This could be dangerous.
Capturing on 'enp0s31f6'
    1 0.000000000 10.33.105.111 → 10.33.105.3 Syslog 124 GXV3140: [00:0B:82:48:C0:D0] Zero config is enabled, provision is set to tftp mode
    2 1.300595337 10.33.105.111 → 10.33.105.3 Syslog 118 GXV3140: [00:0B:82:48:C0:D0] TFTP read file 10.30.3.1/cfg000b8248c0d0 failed
    3 3.799291492 10.33.105.111 → 10.33.105.3 Syslog 125 GXV3140: [00:0B:82:48:C0:D0][1.0.1.27] TR069::DEBUG Path of external data model is
    4 3.801300801 10.33.105.111 → 10.33.105.3 Syslog 160 GXV3140: [00:0B:82:48:C0:D0][1.0.1.27] TR069::DEBUG The external data model is not available. Now using is ./dataModel

Pour que le serveur enregistre les données, il faut modifier la configuration pour ajouter l’écoute sur UDP (voire TCP). 

module(load="imudp")
input(type="imudp" port="514")

Le fichier syslog reçoit alors les logs émis vers ce serveur. 

# tail -f /var/log/syslog
Jun 1 09:51:18 10.33.105.111 GXV3140: [00:0B:82:48:C0:D0] TFTP read file 10.30.3.1/gxv3140cust failed
Jun 1 09:51:18 10.33.105.111 GXV3140: [00:0B:82:48:C0:D0] Failed in downloading gxv3140cust

Précédent   Suivant