La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

Master 1 ère année Sécurité des Systèmes Informatique 1 La journalisation syslog  syslogd est un service (ou daemon) qui journalise les événements du.

Présentations similaires


Présentation au sujet: "Master 1 ère année Sécurité des Systèmes Informatique 1 La journalisation syslog  syslogd est un service (ou daemon) qui journalise les événements du."— Transcription de la présentation:

1 Master 1 ère année Sécurité des Systèmes Informatique 1 La journalisation syslog  syslogd est un service (ou daemon) qui journalise les événements du système  Refus de connexion par su  Arrêt, redémarrage  Problème réseau  L'enregistrement des événements systèmes est géré par deux programmes : klogd et syslogd  Utilise le fichier de configuration /etc/syslog.conf  Attention! Tous les programmes tournant sur votre machine n'utilisent pas syslog.  syslogd est un service (ou daemon) qui journalise les événements du système  Refus de connexion par su  Arrêt, redémarrage  Problème réseau  L'enregistrement des événements systèmes est géré par deux programmes : klogd et syslogd  Utilise le fichier de configuration /etc/syslog.conf  Attention! Tous les programmes tournant sur votre machine n'utilisent pas syslog.

2 Master 1 ère année Sécurité des Systèmes Informatique 2 Le fichier /etc/syslog.conf Critère(catégorie.gravité) Destination # Log tous les messages du noyau vers la console. # En plus, les messages sont envoyés vers le fichier /var/log/kernel kern.* /dev/console kern.* /var/log/kernel # Log tous les messages dans le fichier messages à partir du niveau info # (il ne manque donc que debug par rapport au tableau précédent) # Sauf les messages du mail, que l'on place dans un autre fichier et les messages authpriv *.info;mail.none;authpriv.none /var/log/messages # Placer ici les messages que seul l'administrateur a le droit de voir. # authpriv donne les connexions infructueuses, les connexions avec la commande su. authpriv.* /var/log/secure # Log tous les messages de mail et les place dans le fichier maillog.. mail.* /var/log/maillog # Log tous les messages d'urgence rendant le système instable dans tous les fichiers. *.emerg * # Log les messages uucp et news dans un fichier spécial uucp,news.crit /var/log/spooler # Log tous les messages du noyau vers la console. # En plus, les messages sont envoyés vers le fichier /var/log/kernel kern.* /dev/console kern.* /var/log/kernel # Log tous les messages dans le fichier messages à partir du niveau info # (il ne manque donc que debug par rapport au tableau précédent) # Sauf les messages du mail, que l'on place dans un autre fichier et les messages authpriv *.info;mail.none;authpriv.none /var/log/messages # Placer ici les messages que seul l'administrateur a le droit de voir. # authpriv donne les connexions infructueuses, les connexions avec la commande su. authpriv.* /var/log/secure # Log tous les messages de mail et les place dans le fichier maillog.. mail.* /var/log/maillog # Log tous les messages d'urgence rendant le système instable dans tous les fichiers. *.emerg * # Log les messages uucp et news dans un fichier spécial uucp,news.crit /var/log/spooler

3 Master 1 ère année Sécurité des Systèmes Informatique 3 Critère entité.gravité kernel (kern)0correspondant au noyau système. user1correspondant au processus ne faisant pas partie de kernel. mail2correspondant au mécanisme du courrier. daemon3correspondant aux démons systèmes. auth4correspondant à l'authentification. syslog5correspondant à Syslog lui-même. lpr6correspondant aux processus d'impression. news7correspondant aux serveurs de news. uucp8correspondant aux programmes fondés sur UUCP. cron9correspondant à Cron lui-même. authpriv10correspondant à AUTH, mais n'étant pas destinés à être publics ftp11correspondant au FTP (serveur et client). ntp12correspondant aux applications NTP. local[0-7]16 à 23réservé pour des usages propres L’entité permet de préciser le type des messages. Les entités 13, 14 et 15 sont très peu utilisées.

4 Master 1 ère année Sécurité des Systèmes Informatique 4 Critère entité.gravité 7debugMessages de debogage 6 infoMessages d'information 5 noticeMessages un peu plus importants que les messages info 4 Warning ou warnMessages d'avertissement 3 errMessages d'erreur 2 critSituation critique 1 alertSituation critique nécessitant une intervention immédiate 0 emerg ou panicSystème inutilisable La liste de gravité, classée de la moins grave à la plus grave. Tous les messages de sévérité plus graves sont inclus, ainsi si vous choisissez sévérité err, vous avez aussi les messages crit, alert, et emerg.

5 Master 1 ère année Sécurité des Systèmes Informatique 5 Destination  Les actions peuvent être de plusieurs types:  Envoie dans un fichier /  Envoie vers le syslog d'une autre  Envoie dans un tube nommé (pour le débogage) |  Envoie vers un terminal ou une console (/dev/console)  Liste d'utilisateurs  Les actions peuvent être de plusieurs types:  Envoie dans un fichier /  Envoie vers le syslog d'une autre  Envoie dans un tube nommé (pour le débogage) |  Envoie vers un terminal ou une console (/dev/console)  Liste d'utilisateurs

6 Master 1 ère année Sécurité des Systèmes Informatique 6 Quelques exemples kern.*/var/adm/kernel kern.crit/dev/console kern.info;kern.!err/var/adm/kernel-info  Tous les messages noyau sont enregistrés dans /var/adm/kernel  Les messages de niveau critique sont envoyés vers finlandia  Ils sont également écrits sur la console  Tous les messages noyau du niveau info jusqu'à warning inclus (ceux supérieur à err sont exclus) sont logés *.=info;*.=notice;mail.none/var/log/messages  Tous les messages de niveau info et de niveau notice sont envoyés vers /var/log/messages sauf ceux utilisant le service de courrier kern.*/var/adm/kernel kern.crit/dev/console kern.info;kern.!err/var/adm/kernel-info  Tous les messages noyau sont enregistrés dans /var/adm/kernel  Les messages de niveau critique sont envoyés vers finlandia  Ils sont également écrits sur la console  Tous les messages noyau du niveau info jusqu'à warning inclus (ceux supérieur à err sont exclus) sont logés *.=info;*.=notice;mail.none/var/log/messages  Tous les messages de niveau info et de niveau notice sont envoyés vers /var/log/messages sauf ceux utilisant le service de courrier

7 Master 1 ère année Sécurité des Systèmes Informatique 7 Astuce  Fonction log ajoutée dans un service log() { tail –30 /var/log/$NOM_DU_SERVICE.log }  La commande ci-dessous affiche les dernières lignes du fichier log correspondant au service console service $NOM_DU_SERVICE log  Fonction log ajoutée dans un service log() { tail –30 /var/log/$NOM_DU_SERVICE.log }  La commande ci-dessous affiche les dernières lignes du fichier log correspondant au service console service $NOM_DU_SERVICE log

8 Master 1 ère année Sécurité des Systèmes Informatique 8 A savoir  Récupérer les log d’un routeur local7.debug/var/log/network.log  La règle pour connaître l’entité utilisée est: valeur = 8 * entité + gravité Ce qui donne une série de valeur allant de 0 ( 8 x kernel + emerg ) à 191 ( 8 x local7 + debug ).  Récupérer les log d’un routeur local7.debug/var/log/network.log  La règle pour connaître l’entité utilisée est: valeur = 8 * entité + gravité Ce qui donne une série de valeur allant de 0 ( 8 x kernel + emerg ) à 191 ( 8 x local7 + debug ).

9 Master 1 ère année Sécurité des Systèmes Informatique 9 Outil logwatch  logwatch  programme écrit en Perl  analyse les logs du système et envoie un courriel à l'administrateur avec un résumé très bien structuré  avec plus ou moins de détails selon vos préférences  Analyser les logs du système est une tâche difficile  Peu d’administrateurs prennent la peine de le faire, avec logwatch, c’est un courriel qui se lis en peu de temps  logwatch  programme écrit en Perl  analyse les logs du système et envoie un courriel à l'administrateur avec un résumé très bien structuré  avec plus ou moins de détails selon vos préférences  Analyser les logs du système est une tâche difficile  Peu d’administrateurs prennent la peine de le faire, avec logwatch, c’est un courriel qui se lis en peu de temps

10 Master 1 ère année Sécurité des Systèmes Informatique 10 Outil ksystemlog  Ksystemlog est un outil graphique de visualisation des logs  Ksystemlog est un outil graphique de visualisation des logs

11 Master 1 ère année Sécurité des Systèmes Informatique 11 Outil logrotate  logrotate est conçu pour faciliter l'administration des systèmes qui génèrent un grand nombre de journaux.  Il automatise  la permutation,  la compression,  la suppression  et l'envoi des journaux.  Chaque journal peut être traité  Quotidiennement,  Hebdomadairement,  Mensuellement  ou quand il devient trop volumineux  logrotate est conçu pour faciliter l'administration des systèmes qui génèrent un grand nombre de journaux.  Il automatise  la permutation,  la compression,  la suppression  et l'envoi des journaux.  Chaque journal peut être traité  Quotidiennement,  Hebdomadairement,  Mensuellement  ou quand il devient trop volumineux

12 Master 1 ère année Sécurité des Systèmes Informatique 12 syslog-ng syslog-ng essaye de rajouter les manques de syslogd :  Une configuration puissante  Un tri des messages par leur contenu  La portabilité  Une meilleure redirection des messages sur le réseau  La possibilité de le mettre en cage (chroot)  UDP et TCP utilisés pour le transport des journaux  Chiffrer et authentifier le trafic réseau  Compresser les journaux syslog-ng essaye de rajouter les manques de syslogd :  Une configuration puissante  Un tri des messages par leur contenu  La portabilité  Une meilleure redirection des messages sur le réseau  La possibilité de le mettre en cage (chroot)  UDP et TCP utilisés pour le transport des journaux  Chiffrer et authentifier le trafic réseau  Compresser les journaux

13 Master 1 ère année Sécurité des Systèmes Informatique 13 syslog-ng Dans Syslog-ng le chemin des messages (ou la route des messages) consiste en une ou plusieurs sources, une ou plusieures règles de filtrage et une ou plusieures destinations (trappes). Un message rentre dans syslog-ng par l'une de ses sources, si ce message correspond au règles de filtrages, il part alors vers l'une des destinations.  Source  Destination  Filtre Dans Syslog-ng le chemin des messages (ou la route des messages) consiste en une ou plusieurs sources, une ou plusieures règles de filtrage et une ou plusieures destinations (trappes). Un message rentre dans syslog-ng par l'une de ses sources, si ce message correspond au règles de filtrages, il part alors vers l'une des destinations.  Source  Destination  Filtre

14 Master 1 ère année Sécurité des Systèmes Informatique 14 Configuration de syslog-ng  Les sources, les destinations et les filtres sont liés ensemble grâce à la commande suivante : log{ source s1;source s2;... filter f1; filter f2;... destination d1; destination d2;... };  Les messages peuvent provenir de n'importe laquelle des sources, et doivent passer tous les filtres énumérés (ce qui équivaut à un ET) pour être envoyés vers toutes les destinations.  Exemple source s_network { udp( port(514)); }; filter f_lan3 { netmask(" / "); }; destination d_lan3 { file("/var/log/lan3.log"); }; log { source(s_network); filter(f_lan3); destination(d_lan3); };  Les sources, les destinations et les filtres sont liés ensemble grâce à la commande suivante : log{ source s1;source s2;... filter f1; filter f2;... destination d1; destination d2;... };  Les messages peuvent provenir de n'importe laquelle des sources, et doivent passer tous les filtres énumérés (ce qui équivaut à un ET) pour être envoyés vers toutes les destinations.  Exemple source s_network { udp( port(514)); }; filter f_lan3 { netmask(" / "); }; destination d_lan3 { file("/var/log/lan3.log"); }; log { source(s_network); filter(f_lan3); destination(d_lan3); };

15 Master 1 ère année Sécurité des Systèmes Informatique 15 syslog-ng


Télécharger ppt "Master 1 ère année Sécurité des Systèmes Informatique 1 La journalisation syslog  syslogd est un service (ou daemon) qui journalise les événements du."

Présentations similaires


Annonces Google