ch1 log
Centraliser les logs
1
Plan
Définitions
Objectis de la journalisation
Syslog/Syslog-ng/Rsyslog
Centralisation et gestion des logs avec rsyslog et
loganlyzer
Installation et configuration
Logwatch
Picviz
2
Introduction
Un réseau est constitué de nombreux
équipements actifs tels des switchs, des pare feu et bien sûr des postes.
Tous ces équipements génèrent des journaux
d’activité rendant compte de divers évènements
(connexions, changement d’adresse, etc…).
Ces journaux ou logs sont formatés d’une certaine
3
façon qui les rend difficilement lisibles.
Introduction
D’autre part les logs sont éparpillés sur le réseau ce
qui a pour conséquence de devoir être sur le périphérique qui émet ces logs pour les consulter.
De ces constatations on en déduit une solution
simple à savoir : la centralisation des logs sur un seul et même serveur.
Une fois le problème de la centralisation résolu il
faut ensuite en venir à l’exploitation de ces logs.
4
Définition
L'historique des événements ou de logging désigne:
une base de données de tous les événements affectant un
processus particulier (application, activité d'un réseau informatique…). Le journal (en anglais log file ou log): le fichier contenant
ces enregistrements.
Généralement datés et classés par ordre chronologique, ces
derniers permettent d'analyser pas à pas l'activité interne du processus et ses interactions avec son environnement.
5
Définitions
L'enregistrement d'un historique permet de
mettre en œuvre des fonctionnalités telles que les « derniers fichiers ouverts », les « dernières commandes tapées » ou les « dernières pages web consultées ».
6
Objectifs de la journalisation
La journalisation (en anglais logging) est une
technique importante de la sécurité informatique.
Les événements enregistrés seront les accès au
système, les modifications de fichiers, etc.
Une ligne par événement, en commençant par le
moment exact (date, heure, minute, seconde)