Gestion et surveillance de réseau --------------------------------- Gestion des journaux, partie I: Utilisation de rsyslog ------------------------------------------------------ Notes : ------ * Les commandes précédées de "$" signifient que vous devez exécuter la commande en tant qu'utilisateur général - et non en tant qu'utilisateur root. * Les commandes précédées de "#" signifient que vous devez travailler en tant qu'utilisateur root. * Les commandes comportant des lignes de commande plus spécifiques (par exemple "RTR-GW>" ou "mysql>") signifient que vous exécutez des commandes sur des équipements à distance, ou dans un autre programme. Exercices --------- Les routeurs sont capables d'envoyer des messages syslog vers de multiples destinations, de sorte que 1 routeur peut envoyer des messages à 4 voire 5 destinations. Nous devons par conséquent configurer le routeur pour qu'il envoie des messages à chacun des PC du groupe. 1. Configurez votre routeur virtuel afin qu'il envoie des messages syslog à votre serveur : Vous allez vous connecter au routeur de votre groupe et effectuer les opérations suivantes : $ ssh 10.10.0.X rtrX.ws.nsrc.org> enable rtrX.ws.nsrc.org# config terminal rtrX.ws.nsrc.org(config)# logging 10.10.0.Y ... ... où 0.Y est l'IP de votre PC (groupe + numéro). rtrX.ws.nsrc.org(config)# logging facility local5 rtrX.ws.nsrc.org(config)# logging userinfo rtrX.ws.nsrc.org(config)# exit rtrX# write memory Exécutez maintenant la commande "show logging" pour afficher le résumé de la configuration des journaux. Les autres participants de votre groupe procéderont de même, alors ne soyez pas surpris si vous voyez également d'autres destinations dans le résultat du "show logging". Déconnectez-vous du routeur (exit) rtrX# exit C'est fait. Le routeur devrait maintenant envoyer des paquets UDP SYSLOG à votre PC sur le port 514. Pour vérifier, ouvrez une session sur votre PC et effectuez l'opération suivante : $ sudo bash # tcpdump -e -s0 -ni eth0 port 514 Puis demandez à une personne de votre groupe de se connecter au routeur et d'entrer les commandes suivantes : $ ssh 10.10.0.X rtrX.ws.nsrc.org> enable rtrX.ws.nsrc.org# config terminal rtrX.ws.nsrc.org(config)# exit rtrX.ws.nsrc.org> exit Des informations de TCPDUMP devraient s'afficher sur l'écran de votre PC. Celles-ci devraient ressembler à ce qui suit : # tcpdump -n -e port 514 02:20:24.942289 ca:02:0d:b3:00:08 > 52:54:4a:5e:68:77, ethertype IPv4 (0x0800), length 144: 10.10.0.6.63515 > 10.10.0.250.514: SYSLOG local5.notice, length: 102 02:20:24.944376 ca:02:0d:b3:00:08 > c4:2c:03:0b:3d:3a, ethertype IPv4 (0x0800), length 144: 10.10.0.6.53407 > 10.10.0.241.514: SYSLOG local5.notice, length: 102 Vous pouvez maintenant configurer le logiciel de journalisation sur votre PC afin qu'il reçoive ces informations et les enregistre dans un nouvel ensemble de fichiers : 2. Configurez rsyslog Éditez le fichier /etc/rsyslog.conf et modifiez les lignes suivantes : #$ModLoad imudp #$UDPServerRun 514 en $ModLoad imudp $UDPServerRun 514 (enlever #) Puis remplacez : $PrivDropToUser syslog $PrivDropToGroup syslog par #$PrivDropToUser syslog #$PrivDropToGroup syslog (ajouter #) Enfin ajoutez les lignes : $template RouterLogs,"/var/log/network/%$YEAR%/%$MONTH%/%$DAY%/%HOSTNAME%-%$HOUR%.log" local5.* -?RouterLogs Sauvegardez et quittez, puis : # mkdir /var/log/network # chown syslog /var/log/network 4. Redémarrez rsyslog # service rsyslog restart 6. Sur votre PC, regardez si des messages commencent à apparaître sous /var/log/network/2011/.../ 7. Dans le cas contraire, essayez de vous reconnecter au routeur, et exécuter quelques commandes "config", puis déconnectez-vous : # ssh 10.10.0.X rtrX.ws.nsrc.org> enable rtrX.ws.nsrc.org# config terminal rtrX.ws.nsrc.org(config)# exit rtrX.ws.nsrc.org> exit Veillez à vous déconnecter du routeur lorsque vous avez terminé. Si un trop grand nombre de personnes se connectent et oublient de se déconnecter, d'autres ne pourront pas accéder au routeur. Autres commandes à essayer lorsque vous êtes connecté(e) au routeur, en mode configuration : - Arrêt ou non des interfaces de bouclage (Loopback), par exemple : rtrX# conf t rtrX(config)# interface Loopback 999 rtrX(config-if) # shutdown attendez quelques secondes rtrX(config-if) # no shutdown Puis quittez et sauvegardez la config ("write") Vérifiez les journaux dans /var/log/network Quelles autres commandes générant des messages syslog peuvent selon vous être exécutées sur le routeur (PRUDENCE !)? Pourquoi pas les listes d'accès ? Quoi d'autre ?