AgendaFR: fr_log-management-syslog-ng.txt

Programme Opérations de registre avancées

Utilisation de syslog-ng
------------------------

1. Installez syslog-ng :

        # apt-get install syslog-ng

2. Editez /etc/syslog-ng/syslog-ng.conf :

Repérez les lignes :

        # (this is equivalent to the "-r" syslogd flag)
        # udp();

et changez-les en :

        # (this is equivalent to the "-r" syslogd flag)
        udp();

Ajoutez en bas du fichier :

filter f_routers { facility(local5); };
log {
        source(s_all);
        filter(f_routers);
        destination(routers);
};
destination routers {
 file("/var/log/network/$YEAR/$MONTH/$DAY/$HOST-$YEAR-$MONTH-$DAY-$HOUR.log"
 owner(root) group(root) perm(0644) dir_perm(0755) create_dirs(yes)
 template("$YEAR $DATE $HOST $MSG\n"));
};

3. Créez le répertoire /var/log/network/ :

        # mkdir /var/log/network/

4. Relancez syslog-ng :

        # /etc/init.d/syslog-ng restart

5. Configurez vos routeurs virtuels pour envoyer des messages syslog à votre serveur :

Remarque : sachant que vous travaillez avec 1 routeur / 2 PC, vous devez configurer votre routeur de manière à ce qu'il puisse émettre vers 2 hôtes)

        Conseil : utilisez rancid clogin !

        rtrX# config terminal
        rtrX(config)# logging 169.223.142.X
        rtrX(config)# logging 169.223.142.Y
        rtrX(config)# logging facility local5
        rtrX(config)# logging userinfo
        rtrX(config)# exit
        rtrX# write
        ...
        rtrX# copy running-config flash:running-config

        (Remarque : X et Y sont les IP des PC - PC 1 et 2, par exemple.
        Utilisez les IP 35, 36, etc...)

        Fermez votre session sur le routeur (quittez)

6. Vérifiez sur votre PC si des messages commencent à apparaître en :

        /var/log/network/2010/02/26/...

7. Si ce n'est pas le cas, essayez d'ouvrir de nouveau une session sur le routeur et d'exécuter quelques commandes "config" avant de quitter de nouveau.