La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

INSIA SRT 3 SYSLOG. Le protocol ● En tant que protocole, Syslog se compose d'une partie cliente et d'une partie serveur ● La partie cliente émet les informations.

Publié parPhilippe Bernier Modifié depuis plus de 7 années

Présentations similaires

Présentation au sujet: "INSIA SRT 3 SYSLOG. Le protocol ● En tant que protocole, Syslog se compose d'une partie cliente et d'une partie serveur ● La partie cliente émet les informations."— Transcription de la présentation:

1 INSIA SRT 3 SYSLOG

2 Le protocol ● En tant que protocole, Syslog se compose d'une partie cliente et d'une partie serveur ● La partie cliente émet les informations sur le réseau, sur le port UDP 514 ● Le serveur collecte l'information et se charge de créer les journaux. ● Centraliser les journaux d'événements – repérer plus rapidement et efficacement les défaillances d'ordinateurs présents sur un réseau.

3 Le service ● Le service Syslog est responsable de la prise en charge des fichiers de journalisation du système ● Accepte les logs provenants – du noyau (via klogd) – de n'importe quel processus local – et de processus sur systèmes distants. ● klogd est un démon responsable d'envoyer les messages émis par le noyau linux au démon syslogd – Lancé au démarrage du system avec syslogd

4 Intérêt ● Dépannage d'à peu près n'importe quel problème système ou applicatif ● Fournit des signes clairs et de valeurs sur d'éventuels abus du système ● Finalement, quand tout a planté, fournit des données « médico- légales » cruciales

5 Le format syslog ● Un journal contient en général les infos suivantes : – Date d'émission du log – Hostname de l'équipement ayant généré le log – Information sur le processus ayant généré le log – Niveau de gravité du log – Id du processus – Corps du message Sep 14 14:09:09 machine_de_test dhcp service[warning] 110 corps du message

6 Facilités (facilities) ● Simplement des catégories de logs ● Standard : auth, authpriv, cron, dæmon, kern, lpr, mail, mark, news, syslog, user, UUCP and local0 à local7 ● Correspondent souvent à un service – auth: used for many security events. – authpriv: used for access-control-related messages. – dæmon: used by system processes and other dæmons. – kern: used for kernel messages.

7 Facilités (facilities) (suite) – mark: messages generated by syslogd itself that contain only a timestamp and the string ``--MARK--''. To specify how many minutes should transpire between marks, invoke syslogd with the -m [minutes] flag. – user: the default facility when none is specified by an application or in a selector. – local7: boot messages. – *: wildcard signifying ``any facility''. – none: wildcard signifying ``no facility''.

8 8 niveaux de gravité (priority levels) ● Pour chaque facilité, il y a 8 niveaux de gravité ● 0 Emergency (le plus grave) ● 1 Alert ● 2 Critical ● 3 Error ● 4 Warning ● 5 Notice ● 6 Informational ● 7 Debug (le moins grave) ● Normalisé : interopérabilité possible entre équipements de collecte et de génération d'alerte

9 Configurer syslog /etc/syslog.conf ● Un processus client envoie un message de log au serveur, contenant une facilité et une priorité ● A la réception, ce message est enregistré le plus souvent dans un fichier, selon sa facilité et sa priorité – C'est le processus qui décide de la facilité et du niveau de gravité – C'est syslog qui décide où est enregistré l'évènement ● Par exemple, sendmail envoie un message mail.notice ● Syslog décide d'enregistrer cet événement dans /var/log/mail mail.notice /var/log/mail SelectorAction Facility.priorityWrite message to /var/log/mail

10 Configurer Syslog : selectors ● Selector = Facility.priority ● Facilités – Plusieurs facilities possible dans un selector, ou * ou none – mail, uucp.notice – *.emerg ● Priorités – Une seule facilité possible dans un selector – Hiérarchique : spécifier une priorité ● Spécifie la priorité + toutes les priorités supérieures ● mail.notice = mail.notice, warning, err, crit, aler, emerg

11 Configurer Syslog : selectors (suite) ● = devant la priorité précise seulement la priorité – mail.=notice : seule la priorité notice est enregistrée ● ! : négation de la priorité et supérieurs – mail.!notice : toutes les priorités sauf notice et supérieurs ● Combinaison : – mail.!=notice : toutes les priorités sauf notice

12 Configurer Syslog : selectors (suite) ● Plusieurs selectors possible sur une ligne mail,uucp.notice;uucp.!=alert /var/log/mail ● Facilités mail et uucp avec priorités notice et supérieures enregistrées – Sauf priorité alert de facilité uucp ● Tous examinés les uns après les autres, sans exception – contrairement à des règles dans un firewall ● On met le selector le plus général en premier

13 Configurer Syslog : actions ● En fonction de la facilité.priorité, une action associée – Souvent, écrire l'évènement dans un fichier ● mail.notice/var/log/mail ● Eviter la synchronisation : ● mail.notice-/var/log/mail – Pas d'écriture disque à chaque enregistrement – Utilise pour les fichiers de logs à écritures fréquentes – Mais risque de pertes de données

14 Configurer Syslog : actions ● Envoi possible à une machine ● *.emerg@mothership.mydomain.org – Le démon syslog sur la machine destination doit accepté les logs provenant du réseau (option -r ) ● Sauvegarde déportée indispensable à la sécurité : – Le pirate ne peut effacer ses traces sur un serveur distant – Impératif de mettre en place une sécurité basée sur ACL (TCPWrappers) sinon la machine écoute tout – Il peut être bien d'imprimer les logs sensibles – Stealth Logservers : logs envoyé à une machine sans adresse IP qui sniffe les packets

15 Configurer Syslog : actions ● On peut également envoyer à l'écran ● kern.warn;*.err;authpriv.none |/dev/console ● à un ou plusieurs utilisateurs, à l'écran, à une imprimante (/dev/lp0)

16 Tester les logs avec logger ! http://www.linuxjournal.com/article/5476

17 Résumé

Télécharger ppt "INSIA SRT 3 SYSLOG. Le protocol ● En tant que protocole, Syslog se compose d'une partie cliente et d'une partie serveur ● La partie cliente émet les informations."

Présentations similaires

Le gestion des logs Syslog

Le gestion des logs Syslog
La journalisation syslog

La journalisation syslog
Serveur de mail sous GNU/Linux Installation et configuration d’un module SMTP : Postfix Installation d’un module POP/IMAP : courier-pop Configuration d’un.

Serveur de mail sous GNU/Linux Installation et configuration d’un module SMTP : Postfix Installation d’un module POP/IMAP : courier-pop Configuration d’un.
WINS Windows Internet Name Service. What is WINS?  It does name resolution (?!) DNS resolves IP numbers and FQDN ARP resolves IP numbers and MAC addresses.

WINS Windows Internet Name Service. What is WINS?  It does name resolution (?!) DNS resolves IP numbers and FQDN ARP resolves IP numbers and MAC addresses.
Mise en place d’un système de détection d’intrusion Présenté par:  Elycheikh EL-MAALOUM  Zakaria ZEKHNINI  Mohammed RAZZOK Encadré par: : Mr. SEFRAOUI.

Mise en place d’un système de détection d’intrusion Présenté par:  Elycheikh EL-MAALOUM  Zakaria ZEKHNINI  Mohammed RAZZOK Encadré par: : Mr. SEFRAOUI.
Version du document: 1.00 Version de logiciel v3.7.1 Version CBox: C5 Téléassistance Configuration Téléopérateur Langage: Français.

Version du document: 1.00 Version de logiciel v3.7.1 Version CBox: C5 Téléassistance Configuration Téléopérateur Langage: Français.
Logiciel Assistant Gestion d’Événement Rémi Papillié (Chef d’équipe) Maxime Brodeur Xavier Pajani Gabriel Rolland David St-Jean.

Logiciel Assistant Gestion d’Événement Rémi Papillié (Chef d’équipe) Maxime Brodeur Xavier Pajani Gabriel Rolland David St-Jean.
SRT 2 DHCP. Dynamic Host Configuration Protocol ● Protocole Réseau servant à assurer la configuration automatique des paramètres IP d'une station ● Adresse.

SRT 2 DHCP. Dynamic Host Configuration Protocol ● Protocole Réseau servant à assurer la configuration automatique des paramètres IP d'une station ● Adresse.
LES FONCTIONS D'UN SYSTEME D'EXPLOITATION ● Le système d'exploitation contrôle entièrement les ressources matérielles locales. ● Il est responsable de.

LES FONCTIONS D'UN SYSTEME D'EXPLOITATION ● Le système d'exploitation contrôle entièrement les ressources matérielles locales. ● Il est responsable de.
Généralités sur les réseaux Généralités sur les réseaux informatiques.

Généralités sur les réseaux Généralités sur les réseaux informatiques.
1- Introduction 1ère partie Le langage SQL 2- Connexion 3- Structure & Contenu 4- Requêtes.

1- Introduction 1ère partie Le langage SQL 2- Connexion 3- Structure & Contenu 4- Requêtes.
Février 2006X. Belanger / Guilde Introduction à. Février 2006X. Belanger / Guilde Qu'est ce que Samba ? ● Implémentation libre du protocole CIFS/SMB (client.

Février 2006X. Belanger / Guilde Introduction à. Février 2006X. Belanger / Guilde Qu'est ce que Samba ? ● Implémentation libre du protocole CIFS/SMB (client.
Scanning. Responsable : Remy FABREGES Objectif : découvrir des failles de sécurité, s’introduire dans la passerelle Outils : nmap, rooktits.

Scanning. Responsable : Remy FABREGES Objectif : découvrir des failles de sécurité, s’introduire dans la passerelle Outils : nmap, rooktits.
 Notion de réseaux informatiques  Infrastructure d’un réseau local  Environnement matériel d’un réseau local  Catégories de réseaux  Les typologies.

 Notion de réseaux informatiques  Infrastructure d’un réseau local  Environnement matériel d’un réseau local  Catégories de réseaux  Les typologies.
Effacer la Configuration LWAPP sur un LAP

Effacer la Configuration LWAPP sur un LAP
TP4 bosio@lirmm.fr.

TP4
Utilisation du logiciel EduStat©

Utilisation du logiciel EduStat©
Windows 2003 Server Service DHCP

Windows 2003 Server Service DHCP
Outils (MailIntegration et autres)

Outils (MailIntegration et autres)
Comment corriger son code sans forcément appeler l’enseignant M2202

Comment corriger son code sans forcément appeler l’enseignant M2202

Présentations similaires

Annonces Google