configurer rsyslog pour qu'il retransmette les logs

configurer rsyslog pour qu'il retransmette les logs - réseaux et sécurité - Linux et OS Alternatifs

Marsh Posté le 12-10-2010 à 12:06:55    

Bonjour,
j'aimerais savoir comment configurer rsyslog pour qu'il retransmette les logs ( iptables ) qu'il reçoit.
je suis allé dans /etc/rsyslog.conf mais je ne vois pas ou est ce que je dois insérer l'@ IP de la machine à qui retransmettre les logs. Voici le contenu de rsyslog :  
 

Code :
  1. #  /etc/rsyslog.conf Configuration file for rsyslog v3.
  2. #
  3. #   For more information see
  4. #   /usr/share/doc/rsyslog-doc/html/rsyslog_conf.html
  5. #################
  6. #### MODULES ####
  7. #################
  8. $ModLoad imuxsock # provides support for local system logging
  9. $ModLoad imklog   # provides kernel logging support (previously done by rklogd)
  10. #$ModLoad immark  # provides --MARK-- message capability
  11. # provides UDP syslog reception
  12. #$ModLoad imudp
  13. #$UDPServerRun 514
  14. # provides TCP syslog reception
  15. #$ModLoad imtcp
  16. #$InputTCPServerRun 514
  17. ###########################
  18. #### GLOBAL DIRECTIVES ####
  19. ###########################
  20. #
  21. # Use traditional timestamp format.
  22. # To enable high precision timestamps, comment out the following line.
  23. #
  24. $ActionFileDefaultTemplate RSYSLOG_TraditionalFileFormat
  25. #
  26. # Set the default permissions for all log files.
  27. #
  28. $FileOwner root
  29. $FileGroup adm
  30. $FileCreateMode 0640
  31. $DirCreateMode 0755
  32. #
  33. # Include all config files in /etc/rsyslog.d/
  34. #
  35. $IncludeConfig /etc/rsyslog.d/*.conf
  36. ###############
  37. #### RULES ####
  38. ###############
  39. #
  40. # First some standard log files.  Log by facility.
  41. #
  42. auth,authpriv.*   /var/log/auth.log
  43. *.*;auth,authpriv.none  -/var/log/syslog
  44. #cron.*    /var/log/cron.log
  45. daemon.*   -/var/log/daemon.log
  46. kern.*    -/var/log/kern.log
  47. lpr.*    -/var/log/lpr.log
  48. mail.*    -/var/log/mail.log
  49. user.*    -/var/log/user.log
  50. #
  51. # Logging for the mail system.  Split it up so that
  52. # it is easy to write scripts to parse these files.
  53. #
  54. mail.info   -/var/log/mail.info
  55. mail.warn   -/var/log/mail.warn
  56. mail.err   /var/log/mail.err
  57. #
  58. # Logging for INN news system.
  59. #
  60. news.crit   /var/log/news/news.crit
  61. news.err   /var/log/news/news.err
  62. news.notice   -/var/log/news/news.notice
  63. #
  64. # Some "catch-all" log files.
  65. #
  66. *.=debug;\
  67. auth,authpriv.none;\
  68. news.none;mail.none -/var/log/debug
  69. *.=info;*.=notice;*.=warn;\
  70. auth,authpriv.none;\
  71. cron,daemon.none;\
  72. mail,news.none  -/var/log/messages
  73. #
  74. # Emergencies are sent to everybody logged in.
  75. #
  76. *.emerg    *
  77. #
  78. # I like to have messages displayed on the console, but only on a virtual
  79. # console I usually leave idle.
  80. #
  81. #daemon,mail.*;\
  82. # news.=crit;news.=err;news.=notice;\
  83. # *.=debug;*.=info;\
  84. # *.=notice;*.=warn /dev/tty8
  85. # The named pipe /dev/xconsole is for the 'xconsole' utility.  To use it,
  86. # you must invoke 'xconsole' with the '-file' option:
  87. #  
  88. #    $ xconsole -file /dev/xconsole [...]
  89. #
  90. # NOTE: adjust the list below, or you'll go crazy if you have a reasonably
  91. #      busy site..
  92. #
  93. daemon.*;mail.*;\
  94. news.err;\
  95. *.=debug;*.=info;\
  96. *.=notice;*.=warn |/dev/xconsole


 
Sinon est ce que il y a d'autres fichiers de conf à modifier ... ?
Merci d'avance pour votre aide.

Reply

Marsh Posté le 12-10-2010 à 12:06:55   

Reply

Marsh Posté le 13-10-2010 à 10:20:55    

j'ai eu cette réponse :
 

Code :
  1. coté client :
  2. /etc/syslog.conf ajouter la ligne suivant;
  3. *.* @nom-serveur ou son @IP
  4. redémarrer service /etc/init.d/sysklogd restart
  5. pius pour le test;
  6. logger -t test "message de test"
  7. coté serveur :
  8. tail -f /var/log/syslog
  9. tu doit recevoir message de test dans ce fichier de serveur.


 
j'ai fait cette modif :
 
# provides UDP syslog reception
$ModLoad imudp
$UDPServerRun 514

*.* @192.168.1.21
 
- J'ai décommenté les lignes en rouge
- J'ai ajouté *.* @ 192.168.1.21
 
Le problème c'est que les logs n'arrivent pas du coté serveur. D'ailleurs ils y sont non plus du coté client...
- j'ai bien testé si le client et le serveur arrivent à se pinger et c'est OK.
- les politiques iptables sont toutes ACCEPT
 
Sinon, comment vérifier si les logs vont bien vers le fichier syslog et non pas vers un autre fichier ( du type kernel.log ou autre ...) ? c'est quoi le fichier à vérifier ?
 
Merci d'avance pour votre aide.
ikuzar est actuellement connecté    Envoyer un message privé Modifier/Supprimer le message

Reply

Marsh Posté le 13-10-2010 à 12:07:49    

en fait j'ai fait une erreur bete : j'ai décommenté les lignes en rouges coté client au lieu de le faire coté serveur...

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed