configurer rsyslog pour qu'il retransmette les logs

configurer rsyslog pour qu'il retransmette les logs - réseaux et sécurité - Linux et OS Alternatifs

Marsh Posté le 12-10-2010 à 12:06:55    

Bonjour,
j'aimerais savoir comment configurer rsyslog pour qu'il retransmette les logs ( iptables ) qu'il reçoit.
je suis allé dans /etc/rsyslog.conf mais je ne vois pas ou est ce que je dois insérer l'@ IP de la machine à qui retransmettre les logs. Voici le contenu de rsyslog :  
 

Code :
  1. #  /etc/rsyslog.conf Configuration file for rsyslog v3.
  2. #
  3. #   For more information see
  4. #   /usr/share/doc/rsyslog-doc/html/rsyslog_conf.html
  7. #################
  8. #### MODULES ####
  9. #################
  11. $ModLoad imuxsock # provides support for local system logging
  12. $ModLoad imklog   # provides kernel logging support (previously done by rklogd)
  13. #$ModLoad immark  # provides --MARK-- message capability
  15. # provides UDP syslog reception
  16. #$ModLoad imudp
  17. #$UDPServerRun 514
  19. # provides TCP syslog reception
  20. #$ModLoad imtcp
  21. #$InputTCPServerRun 514
  24. ###########################
  25. #### GLOBAL DIRECTIVES ####
  26. ###########################
  28. #
  29. # Use traditional timestamp format.
  30. # To enable high precision timestamps, comment out the following line.
  31. #
  32. $ActionFileDefaultTemplate RSYSLOG_TraditionalFileFormat
  34. #
  35. # Set the default permissions for all log files.
  36. #
  37. $FileOwner root
  38. $FileGroup adm
  39. $FileCreateMode 0640
  40. $DirCreateMode 0755
  42. #
  43. # Include all config files in /etc/rsyslog.d/
  44. #
  45. $IncludeConfig /etc/rsyslog.d/*.conf
  48. ###############
  49. #### RULES ####
  50. ###############
  52. #
  53. # First some standard log files.  Log by facility.
  54. #
  55. auth,authpriv.*   /var/log/auth.log
  56. *.*;auth,authpriv.none  -/var/log/syslog
  57. #cron.*    /var/log/cron.log
  58. daemon.*   -/var/log/daemon.log
  59. kern.*    -/var/log/kern.log
  60. lpr.*    -/var/log/lpr.log
  61. mail.*    -/var/log/mail.log
  62. user.*    -/var/log/user.log
  64. #
  65. # Logging for the mail system.  Split it up so that
  66. # it is easy to write scripts to parse these files.
  67. #
  68. mail.info   -/var/log/mail.info
  69. mail.warn   -/var/log/mail.warn
  70. mail.err   /var/log/mail.err
  72. #
  73. # Logging for INN news system.
  74. #
  75. news.crit   /var/log/news/news.crit
  76. news.err   /var/log/news/news.err
  77. news.notice   -/var/log/news/news.notice
  79. #
  80. # Some "catch-all" log files.
  81. #
  82. *.=debug;\
  83. auth,authpriv.none;\
  84. news.none;mail.none -/var/log/debug
  85. *.=info;*.=notice;*.=warn;\
  86. auth,authpriv.none;\
  87. cron,daemon.none;\
  88. mail,news.none  -/var/log/messages
  90. #
  91. # Emergencies are sent to everybody logged in.
  92. #
  93. *.emerg    *
  95. #
  96. # I like to have messages displayed on the console, but only on a virtual
  97. # console I usually leave idle.
  98. #
  99. #daemon,mail.*;\
  100. # news.=crit;news.=err;news.=notice;\
  101. # *.=debug;*.=info;\
  102. # *.=notice;*.=warn /dev/tty8
  104. # The named pipe /dev/xconsole is for the 'xconsole' utility.  To use it,
  105. # you must invoke 'xconsole' with the '-file' option:
  106. #  
  107. #    $ xconsole -file /dev/xconsole [...]
  108. #
  109. # NOTE: adjust the list below, or you'll go crazy if you have a reasonably
  110. #      busy site..
  111. #
  112. daemon.*;mail.*;\
  113. news.err;\
  114. *.=debug;*.=info;\
  115. *.=notice;*.=warn |/dev/xconsole


 
Sinon est ce que il y a d'autres fichiers de conf à modifier ... ?
Merci d'avance pour votre aide.

Reply

Marsh Posté le 12-10-2010 à 12:06:55   

Reply

Marsh Posté le 13-10-2010 à 10:20:55    

j'ai eu cette réponse :
 

Code :
  1. coté client :
  2. /etc/syslog.conf ajouter la ligne suivant;
  3. *.* @nom-serveur ou son @IP
  4. redémarrer service /etc/init.d/sysklogd restart
  5. pius pour le test;
  6. logger -t test "message de test"
  7. coté serveur :
  8. tail -f /var/log/syslog
  9. tu doit recevoir message de test dans ce fichier de serveur.


 
j'ai fait cette modif :
 
# provides UDP syslog reception
$ModLoad imudp
$UDPServerRun 514
*.* @192.168.1.21
 
- J'ai décommenté les lignes en rouge
- J'ai ajouté *.* @ 192.168.1.21
 
Le problème c'est que les logs n'arrivent pas du coté serveur. D'ailleurs ils y sont non plus du coté client...
- j'ai bien testé si le client et le serveur arrivent à se pinger et c'est OK.
- les politiques iptables sont toutes ACCEPT
 
Sinon, comment vérifier si les logs vont bien vers le fichier syslog et non pas vers un autre fichier ( du type kernel.log ou autre ...) ? c'est quoi le fichier à vérifier ?
 
Merci d'avance pour votre aide.
ikuzar est actuellement connecté    Envoyer un message privé Modifier/Supprimer le message

Reply

Marsh Posté le 13-10-2010 à 12:07:49    

en fait j'ai fait une erreur bete : j'ai décommenté les lignes en rouges coté client au lieu de le faire coté serveur...

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed