Agenda: exercises-log-management-rsyslog-vFR.txt

File exercises-log-management-rsyslog-vFR.txt, 4.6 KB (added by admin, 7 years ago)
Line 
1Gestion et surveillance de réseau
2---------------------------------
3
4Gestion des journaux, partie I: Utilisation de rsyslog
5------------------------------------------------------
6
7Notes :
8------
9* Les commandes précédées de "$" signifient que vous devez exécuter
10  la commande en tant qu'utilisateur général - et non en tant
11  qu'utilisateur root.
12
13* Les commandes précédées de "#" signifient que vous devez travailler
14  en tant qu'utilisateur root.
15
16* Les commandes comportant des lignes de commande plus spécifiques
17  (par exemple "RTR-GW>" ou "mysql>") signifient que vous exécutez
18  des commandes sur des équipements à distance, ou dans un autre
19  programme.
20
21Exercices
22---------
23
24Les routeurs sont capables d'envoyer des messages syslog vers de
25multiples destinations, de sorte que 1 routeur peut envoyer des
26messages à 4 voire 5 destinations.
27
28Nous devons par conséquent configurer le routeur pour qu'il envoie
29des messages à chacun des PC du groupe.
30
311. Configurez votre routeur virtuel afin qu'il envoie des messages
32syslog à votre serveur :
33
34Vous allez vous connecter au routeur de votre groupe et effectuer
35les opérations suivantes :
36
37        $ ssh 10.10.0.X
38        rtrX.ws.nsrc.org> enable
39        rtrX.ws.nsrc.org# config terminal
40
41        rtrX.ws.nsrc.org(config)# logging 10.10.0.Y
42
43        ... ... où 0.Y est l'IP de votre PC (groupe + numéro).
44
45        rtrX.ws.nsrc.org(config)# logging facility local5
46        rtrX.ws.nsrc.org(config)# logging userinfo
47        rtrX.ws.nsrc.org(config)# exit
48        rtrX# write memory
49
50Exécutez maintenant la commande "show logging" pour afficher le
51résumé de la configuration des journaux.
52
53Les autres participants de votre groupe procéderont de même, alors
54ne soyez pas surpris si vous voyez également d'autres destinations
55dans le résultat du "show logging".
56
57        Déconnectez-vous du routeur (exit)
58
59        rtrX# exit
60
61C'est fait. Le routeur devrait maintenant envoyer des paquets UDP
62SYSLOG à votre PC sur le port 514.
63
64Pour vérifier, ouvrez une session sur votre PC et effectuez l'opération
65suivante :
66
67        $ sudo bash
68        # tcpdump -e -s0 -ni eth0 port 514
69
70Puis demandez à une personne de votre groupe de se connecter au
71routeur et d'entrer les commandes suivantes :
72
73        $ ssh 10.10.0.X
74        rtrX.ws.nsrc.org> enable
75        rtrX.ws.nsrc.org# config terminal
76        rtrX.ws.nsrc.org(config)# exit
77        rtrX.ws.nsrc.org> exit
78
79Des informations de TCPDUMP devraient s'afficher sur l'écran de
80votre PC. Celles-ci devraient ressembler à ce qui suit :
81
82# tcpdump -n -e port 514
83
8402:20:24.942289 ca:02:0d:b3:00:08 > 52:54:4a:5e:68:77, ethertype IPv4 (0x0800),
85length 144: 10.10.0.6.63515 > 10.10.0.250.514: SYSLOG local5.notice, length: 102
8602:20:24.944376 ca:02:0d:b3:00:08 > c4:2c:03:0b:3d:3a, ethertype IPv4 (0x0800),
87length 144: 10.10.0.6.53407 > 10.10.0.241.514: SYSLOG local5.notice, length: 102
88
89Vous pouvez maintenant configurer le logiciel de journalisation sur
90votre PC afin qu'il reçoive ces informations et les enregistre dans
91un nouvel ensemble de fichiers :
92
93
942. Configurez rsyslog
95
96Éditez le fichier /etc/rsyslog.conf et modifiez les lignes suivantes :
97
98        #$ModLoad imudp
99        #$UDPServerRun 514
100
101en
102
103        $ModLoad imudp
104        $UDPServerRun 514
105
106(enlever #)
107
108Puis remplacez :
109
110        $PrivDropToUser syslog
111        $PrivDropToGroup syslog
112
113par
114
115        #$PrivDropToUser syslog
116        #$PrivDropToGroup syslog
117
118(ajouter #)
119
120Enfin ajoutez les lignes :
121
122        $template RouterLogs,"/var/log/network/%$YEAR%/%$MONTH%/%$DAY%/%HOSTNAME%-%$HOUR%.log"
123        local5.*      -?RouterLogs
124
125Sauvegardez et quittez, puis :
126
127        # mkdir /var/log/network
128        # chown syslog /var/log/network
129
1304. Redémarrez rsyslog
131
132        # service rsyslog restart
133
1346. Sur votre PC, regardez si des messages commencent à apparaître sous
135
136        /var/log/network/2011/.../
137
1387. Dans le cas contraire, essayez de vous reconnecter au routeur,
139et exécuter quelques commandes "config", puis déconnectez-vous :
140
141        # ssh 10.10.0.X
142        rtrX.ws.nsrc.org> enable
143        rtrX.ws.nsrc.org# config terminal
144        rtrX.ws.nsrc.org(config)# exit
145        rtrX.ws.nsrc.org> exit
146
147Veillez à vous déconnecter du routeur lorsque vous avez terminé.
148Si un trop grand nombre de personnes se connectent et oublient de
149se déconnecter, d'autres ne pourront pas accéder au routeur.
150
151Autres commandes à essayer lorsque vous êtes connecté(e) au routeur,
152en mode configuration :
153
154- Arrêt ou non des interfaces de bouclage (Loopback), par exemple :
155
156        rtrX# conf t
157        rtrX(config)# interface Loopback 999
158        rtrX(config-if) # shutdown
159
160        attendez quelques secondes
161
162        rtrX(config-if) # no shutdown
163
164        Puis quittez et sauvegardez la config ("write")
165
166
167Vérifiez les journaux dans /var/log/network
168
169Quelles autres commandes générant des messages syslog peuvent selon
170vous être exécutées sur le routeur (PRUDENCE !)?
171
172Pourquoi pas les listes d'accès ?
173
174Quoi d'autre ?
175
176