Agenda: exercises-log-management-rsyslog-vFR.txt

File exercises-log-management-rsyslog-vFR.txt, 4.5 KB (added by admin, 7 years ago)
Line 
1Gestion et surveillance de réseau
2---------------------------------
3
4Gestion des journaux, partie I: Utilisation de rsyslog
5------------------------------------------------------
6
7Notes :
8------
9* Les commandes précédées de "$" signifient que vous devez exécuter
10  la commande en tant qu'utilisateur général - et non en tant
11  qu'utilisateur root.
12
13* Les commandes précédées de "#" signifient que vous devez travailler
14  en tant qu'utilisateur root.
15
16* Les commandes comportant des lignes de commande plus spécifiques
17  (par exemple "RTR-GW>" ou "mysql>") signifient que vous exécutez
18  des commandes sur des équipements à distance, ou dans un autre
19  programme.
20
21Exercices
22---------
23
24Les routeurs sont capables d'envoyer des messages syslog vers de
25multiples destinations, de sorte que 1 routeur peut envoyer des
26messages à 4 voire 5 destinations.
27
28Nous devons par conséquent configurer le routeur pour qu'il envoie
29des messages à chacun des PC du groupe.
30
311. Configurez votre routeur virtuel afin qu'il envoie des messages
32syslog à votre serveur :
33
34Vous allez vous connecter au routeur de votre groupe et effectuer
35les opérations suivantes :
36
37        $ ssh 10.10.0.X
38        rtrX.ws.nsrc.org> enable
39        rtrX.ws.nsrc.org# config terminal
40
41        rtrX.ws.nsrc.org(config)# logging 10.10.0.Y
42
43        ... ... où 0.Y est l'IP de votre PC (groupe + numéro).
44
45        rtrX.ws.nsrc.org(config)# logging facility local5
46        rtrX.ws.nsrc.org(config)# logging userinfo
47        rtrX.ws.nsrc.org(config)# exit
48        rtrX# write memory
49
50Exécutez maintenant la commande "show logging" pour afficher le
51résumé de la configuration des journaux.
52
53Les autres participants de votre groupe procéderont de même, alors
54ne soyez pas surpris si vous voyez également d'autres destinations
55dans le résultat du "show logging".
56
57        Déconnectez-vous du routeur (exit)
58
59        rtrX# exit
60
61C'est fait. Le routeur devrait maintenant envoyer des paquets UDP
62SYSLOG à votre PC sur le port 514.
63
64Pour vérifier, ouvrez une session sur votre PC et effectuez l'opération
65suivante :
66
67        $ sudo bash
68        # tcpdump -e -s0 -ni eth0 port 514
69
70Puis demandez à une personne de votre groupe de se connecter au
71routeur et d'entrer les commandes suivantes :
72
73        $ ssh 10.10.0.X
74        rtrX.ws.nsrc.org> enable
75        rtrX.ws.nsrc.org# config terminal
76        rtrX.ws.nsrc.org(config)# exit
77        rtrX.ws.nsrc.org> exit
78
79Des informations de TCPDUMP devraient s'afficher sur l'écran de
80votre PC. Celles-ci devraient ressembler à ce qui suit :
81
82
8302:20:24.942289 ca:02:0d:b3:00:08 > 52:54:4a:5e:68:77, ethertype IPv4 (0x0800),
84length 144: 10.10.0.6.63515 > 10.10.0.250.514: SYSLOG local5.notice, length: 102
8502:20:24.944376 ca:02:0d:b3:00:08 > c4:2c:03:0b:3d:3a, ethertype IPv4 (0x0800),
86length 144: 10.10.0.6.53407 > 10.10.0.241.514: SYSLOG local5.notice, length: 102
87
88Vous pouvez maintenant configurer le logiciel de journalisation sur
89votre PC afin qu'il reçoive ces informations et les enregistre dans
90un nouvel ensemble de fichiers :
91
92
932. Configurez rsyslog
94
95Éditez le fichier /etc/rsyslog.conf et modifiez les lignes suivantes :
96
97        #$ModLoad imudp
98        #$UDPServerRun 514
99
100en
101
102        $ModLoad imudp
103        $UDPServerRun 514
104
105(remove #)
106
107Puis remplacez :
108
109        $PrivDropToUser syslog
110        $PrivDropToGroup syslog
111
112par
113
114        #$PrivDropToUser syslog
115        #$PrivDropToGroup syslog
116
117Enfin ajoutez les lignes :
118
119        $template RouterLogs,"/var/log/network/%$YEAR%/%$MONTH%/%$DAY%/%HOSTNAME%-%$HOUR%.log"
120        local5.*      -?RouterLogs
121
122Sauvegardez et quittez, puis :
123
124        # mkdir /var/log/network
125        # chown syslog /var/log/network
126
1274. Redémarrez rsyslog
128
129        # service rsyslog restart
130
1316. Sur votre PC, regardez si des messages commencent à apparaître sous
132
133        /var/log/network/2011/.../
134
1357. Dans le cas contraire, essayez de vous reconnecter au routeur,
136et exécuter quelques commandes "config", puis déconnectez-vous :
137
138        # ssh 10.10.0.X
139        rtrX.ws.nsrc.org> enable
140        rtrX.ws.nsrc.org# config terminal
141        rtrX.ws.nsrc.org(config)# exit
142        rtrX.ws.nsrc.org> exit
143
144Veillez à vous déconnecter du routeur lorsque vous avez terminé.
145Si un trop grand nombre de personnes se connectent et oublient de
146se déconnecter, d'autres ne pourront pas accéder au routeur.
147
148Autres commandes à essayer lorsque vous êtes connecté(e) au routeur,
149en mode configuration :
150
151- Arrêt ou non des interfaces de bouclage (Loopback), par exemple :
152
153        rtrX# conf t
154        rtrX(config)# interface Loopback 999
155        rtrX(config-if) # shutdown
156
157        attendez quelques secondes
158
159        rtrX(config-if) # no shutdown
160
161        Puis quittez et sauvegardez la config ("write")
162
163
164Vérifiez les journaux dans /var/log/network
165
166Quelles autres commandes générant des messages syslog peuvent selon
167vous être exécutées sur le routeur (PRUDENCE !)?
168
169Pourquoi pas les listes d'accès ?
170
171Quoi d'autre ?
172
173