| 1 | Gestion et surveillance de réseau |
|---|
| 2 | --------------------------------- |
|---|
| 3 | |
|---|
| 4 | Gestion des journaux, partie I: Utilisation de rsyslog |
|---|
| 5 | ------------------------------------------------------ |
|---|
| 6 | |
|---|
| 7 | Notes : |
|---|
| 8 | ------ |
|---|
| 9 | * Les commandes précédées de "$" signifient que vous devez exécuter |
|---|
| 10 | la commande en tant qu'utilisateur général - et non en tant |
|---|
| 11 | qu'utilisateur root. |
|---|
| 12 | |
|---|
| 13 | * Les commandes précédées de "#" signifient que vous devez travailler |
|---|
| 14 | en tant qu'utilisateur root. |
|---|
| 15 | |
|---|
| 16 | * Les commandes comportant des lignes de commande plus spécifiques |
|---|
| 17 | (par exemple "RTR-GW>" ou "mysql>") signifient que vous exécutez |
|---|
| 18 | des commandes sur des équipements à distance, ou dans un autre |
|---|
| 19 | programme. |
|---|
| 20 | |
|---|
| 21 | Exercices |
|---|
| 22 | --------- |
|---|
| 23 | |
|---|
| 24 | Les routeurs sont capables d'envoyer des messages syslog vers de |
|---|
| 25 | multiples destinations, de sorte que 1 routeur peut envoyer des |
|---|
| 26 | messages à 4 voire 5 destinations. |
|---|
| 27 | |
|---|
| 28 | Nous devons par conséquent configurer le routeur pour qu'il envoie |
|---|
| 29 | des messages à chacun des PC du groupe. |
|---|
| 30 | |
|---|
| 31 | 1. Configurez votre routeur virtuel afin qu'il envoie des messages |
|---|
| 32 | syslog à votre serveur : |
|---|
| 33 | |
|---|
| 34 | Vous allez vous connecter au routeur de votre groupe et effectuer |
|---|
| 35 | les opérations suivantes : |
|---|
| 36 | |
|---|
| 37 | $ ssh 10.10.0.X |
|---|
| 38 | rtrX.ws.nsrc.org> enable |
|---|
| 39 | rtrX.ws.nsrc.org# config terminal |
|---|
| 40 | |
|---|
| 41 | rtrX.ws.nsrc.org(config)# logging 10.10.0.Y |
|---|
| 42 | |
|---|
| 43 | ... ... où 0.Y est l'IP de votre PC (groupe + numéro). |
|---|
| 44 | |
|---|
| 45 | rtrX.ws.nsrc.org(config)# logging facility local5 |
|---|
| 46 | rtrX.ws.nsrc.org(config)# logging userinfo |
|---|
| 47 | rtrX.ws.nsrc.org(config)# exit |
|---|
| 48 | rtrX# write memory |
|---|
| 49 | |
|---|
| 50 | Exécutez maintenant la commande "show logging" pour afficher le |
|---|
| 51 | résumé de la configuration des journaux. |
|---|
| 52 | |
|---|
| 53 | Les autres participants de votre groupe procéderont de même, alors |
|---|
| 54 | ne soyez pas surpris si vous voyez également d'autres destinations |
|---|
| 55 | dans le résultat du "show logging". |
|---|
| 56 | |
|---|
| 57 | Déconnectez-vous du routeur (exit) |
|---|
| 58 | |
|---|
| 59 | rtrX# exit |
|---|
| 60 | |
|---|
| 61 | C'est fait. Le routeur devrait maintenant envoyer des paquets UDP |
|---|
| 62 | SYSLOG à votre PC sur le port 514. |
|---|
| 63 | |
|---|
| 64 | Pour vérifier, ouvrez une session sur votre PC et effectuez l'opération |
|---|
| 65 | suivante : |
|---|
| 66 | |
|---|
| 67 | $ sudo bash |
|---|
| 68 | # tcpdump -e -s0 -ni eth0 port 514 |
|---|
| 69 | |
|---|
| 70 | Puis demandez à une personne de votre groupe de se connecter au |
|---|
| 71 | routeur et d'entrer les commandes suivantes : |
|---|
| 72 | |
|---|
| 73 | $ ssh 10.10.0.X |
|---|
| 74 | rtrX.ws.nsrc.org> enable |
|---|
| 75 | rtrX.ws.nsrc.org# config terminal |
|---|
| 76 | rtrX.ws.nsrc.org(config)# exit |
|---|
| 77 | rtrX.ws.nsrc.org> exit |
|---|
| 78 | |
|---|
| 79 | Des informations de TCPDUMP devraient s'afficher sur l'écran de |
|---|
| 80 | votre PC. Celles-ci devraient ressembler à ce qui suit : |
|---|
| 81 | |
|---|
| 82 | |
|---|
| 83 | 02:20:24.942289 ca:02:0d:b3:00:08 > 52:54:4a:5e:68:77, ethertype IPv4 (0x0800), |
|---|
| 84 | length 144: 10.10.0.6.63515 > 10.10.0.250.514: SYSLOG local5.notice, length: 102 |
|---|
| 85 | 02:20:24.944376 ca:02:0d:b3:00:08 > c4:2c:03:0b:3d:3a, ethertype IPv4 (0x0800), |
|---|
| 86 | length 144: 10.10.0.6.53407 > 10.10.0.241.514: SYSLOG local5.notice, length: 102 |
|---|
| 87 | |
|---|
| 88 | Vous pouvez maintenant configurer le logiciel de journalisation sur |
|---|
| 89 | votre PC afin qu'il reçoive ces informations et les enregistre dans |
|---|
| 90 | un nouvel ensemble de fichiers : |
|---|
| 91 | |
|---|
| 92 | |
|---|
| 93 | 2. Configurez rsyslog |
|---|
| 94 | |
|---|
| 95 | Éditez le fichier /etc/rsyslog.conf et modifiez les lignes suivantes : |
|---|
| 96 | |
|---|
| 97 | #$ModLoad imudp |
|---|
| 98 | #$UDPServerRun 514 |
|---|
| 99 | |
|---|
| 100 | en |
|---|
| 101 | |
|---|
| 102 | $ModLoad imudp |
|---|
| 103 | $UDPServerRun 514 |
|---|
| 104 | |
|---|
| 105 | (remove #) |
|---|
| 106 | |
|---|
| 107 | Puis remplacez : |
|---|
| 108 | |
|---|
| 109 | $PrivDropToUser syslog |
|---|
| 110 | $PrivDropToGroup syslog |
|---|
| 111 | |
|---|
| 112 | par |
|---|
| 113 | |
|---|
| 114 | #$PrivDropToUser syslog |
|---|
| 115 | #$PrivDropToGroup syslog |
|---|
| 116 | |
|---|
| 117 | Enfin ajoutez les lignes : |
|---|
| 118 | |
|---|
| 119 | $template RouterLogs,"/var/log/network/%$YEAR%/%$MONTH%/%$DAY%/%HOSTNAME%-%$HOUR%.log" |
|---|
| 120 | local5.* -?RouterLogs |
|---|
| 121 | |
|---|
| 122 | Sauvegardez et quittez, puis : |
|---|
| 123 | |
|---|
| 124 | # mkdir /var/log/network |
|---|
| 125 | # chown syslog /var/log/network |
|---|
| 126 | |
|---|
| 127 | 4. Redémarrez rsyslog |
|---|
| 128 | |
|---|
| 129 | # service rsyslog restart |
|---|
| 130 | |
|---|
| 131 | 6. Sur votre PC, regardez si des messages commencent à apparaître sous |
|---|
| 132 | |
|---|
| 133 | /var/log/network/2011/.../ |
|---|
| 134 | |
|---|
| 135 | 7. Dans le cas contraire, essayez de vous reconnecter au routeur, |
|---|
| 136 | et exécuter quelques commandes "config", puis déconnectez-vous : |
|---|
| 137 | |
|---|
| 138 | # ssh 10.10.0.X |
|---|
| 139 | rtrX.ws.nsrc.org> enable |
|---|
| 140 | rtrX.ws.nsrc.org# config terminal |
|---|
| 141 | rtrX.ws.nsrc.org(config)# exit |
|---|
| 142 | rtrX.ws.nsrc.org> exit |
|---|
| 143 | |
|---|
| 144 | Veillez à vous déconnecter du routeur lorsque vous avez terminé. |
|---|
| 145 | Si un trop grand nombre de personnes se connectent et oublient de |
|---|
| 146 | se déconnecter, d'autres ne pourront pas accéder au routeur. |
|---|
| 147 | |
|---|
| 148 | Autres commandes à essayer lorsque vous êtes connecté(e) au routeur, |
|---|
| 149 | en mode configuration : |
|---|
| 150 | |
|---|
| 151 | - Arrêt ou non des interfaces de bouclage (Loopback), par exemple : |
|---|
| 152 | |
|---|
| 153 | rtrX# conf t |
|---|
| 154 | rtrX(config)# interface Loopback 999 |
|---|
| 155 | rtrX(config-if) # shutdown |
|---|
| 156 | |
|---|
| 157 | attendez quelques secondes |
|---|
| 158 | |
|---|
| 159 | rtrX(config-if) # no shutdown |
|---|
| 160 | |
|---|
| 161 | Puis quittez et sauvegardez la config ("write") |
|---|
| 162 | |
|---|
| 163 | |
|---|
| 164 | Vérifiez les journaux dans /var/log/network |
|---|
| 165 | |
|---|
| 166 | Quelles autres commandes générant des messages syslog peuvent selon |
|---|
| 167 | vous être exécutées sur le routeur (PRUDENCE !)? |
|---|
| 168 | |
|---|
| 169 | Pourquoi pas les listes d'accès ? |
|---|
| 170 | |
|---|
| 171 | Quoi d'autre ? |
|---|
| 172 | |
|---|
| 173 | |
|---|