Agenda: exercises-log-management-syslog-ng-vFR.txt

File exercises-log-management-syslog-ng-vFR.txt, 9.8 KB (added by Araud A. A. AMELINA, 5 years ago)
Line 
1% Gestion et surveillance de réseau
2---------------------------------
3
4% Utilisation de syslog-ng pour la gestion des journaux
5
6
7## Objectifs
8
9* Apprendre utiliser syslog-ng pour gérer les journaux syslogs
10
11## Notes
12
13* Les commandes précédées de "$" signifient que vous devez exécuter
14  la commande en tant qu'utilisateur général - et non en tant
15  qu'utilisateur root.
16
17* Les commandes précédées de "#" signifient que vous devez travailler
18  en tant qu'utilisateur root.
19
20* Les commandes comportant des lignes de commande plus spécifiques
21  (par exemple "rtrX>" ou "mysql>") signifient que vous exécutez
22  des commandes sur des équipements à distance, ou dans un autre
23  programme.
24
25# Exercices
26
27Veuillez identifier les participants qui utilisent le même routeur
28que vous, s'il y'en a. Constituez un groupe et faites ensemble
29l'exercice suivant. Il s'agit de désigner une personne pour se
30connecter au routeur de votre groupe, mais chacun d'entre vous
31participera à la configuration effective.
32
33# Configurez votre routeur virtuel afin qu'il envoie des messages
34  syslog à votre serveur :
35
36Vos routeurs sont capables d'envoyer des messages syslog à de multiples
37destinations, ainsi un routeur peut envoyer des messages à 4 voire 5
38destinations différentes. Nous devons donc configurer le routeur pour
39qu'il envoie des messages à chacun des PC de votre groupe.
40
41Vous allez vous connecter en SSH au routeur de votre groupe et
42effectuer les opérations suivantes :
43
44~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
45$ ssh cisco@10.10.X.254
46rtrX> enable
47rtrX# config terminal
48~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
49
50Répétez la commande "logging 10.10.X.Y" pour chaque PC de votre
51groupe.  En d'autres termes, si votre groupe est sur le routeur 6
52et que vous utilisez les PC 21, 22, 23 et 24 vous répéterez la
53commande à quatre reprises avec l'IP de chaque machine (10.10.6.21,
5410.10.6.22, et ainsi de suite).
55
56~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
57rtrX(config)# logging 10.10.X.Y
58...
59rtrX(config)# logging facility local0
60rtrX(config)# logging userinfo
61rtrX(config)# exit
62rtrX# write memory
63~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
64
65Regardons le résumé de la configuration des journaux (logs) avec 'show logging'
66
67~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
68rtrX# show logging
69~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
70
71Déconnectez-vous du routeur (exit)
72
73~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
74rtrX# exit
75~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
76
77C'est fait. Le routeur devrait maintenant envoyer des paquets UDP
78SYSLOG à votre PC sur le port 514. Pour vérifier, ouvrez une session
79sur votre PC et effectuez l'opération suivante :
80
81~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
82$ sudo -s
83# apt-get install tcpdump       (ne vous inquiétez pas si il est déjà installé)
84# tcpdump -s0 -nv -i eth0 port 514
85~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
86
87Puis demandez à une personne de votre groupe de se connecter au
88routeur et d'entrer les commandes suivantes :
89
90~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
91$ ssh cisco@10.10.X.254
92rtrX> enable
93rtrX# config terminal
94rtrX(config)# exit
95rtrX> exit
96~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
97
98Des informations de TCPDUMP devraient s'afficher sur l'écran de
99votre PC. Celles-ci devraient ressembler à ce qui suit :
100
101~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
10208:01:12.154604 IP (tos 0x0, ttl 255, id 11, offset 0, flags [none], proto UDP (17), length 138)
103    10.10.9.254.57429 > 10.10.9.36.514: SYSLOG, length: 110
104    Facility local0 (16), Severity notice (5)
105    Msg: 23: *Feb 19 08:01:10.855: %SYS-5-PRIV_AUTH_PASS: Privilege level set to 15 by cisco on vty0 (10.10.0.117)
10608:01:15.519881 IP (tos 0x0, ttl 255, id 12, offset 0, flags [none], proto UDP (17), length 130)
107    10.10.9.254.57429 > 10.10.9.36.514: SYSLOG, length: 102
108    Facility local0 (16), Severity notice (5)
109    Msg: 24: *Feb 19 08:01:14.215: %SYS-5-CONFIG_I: Configured from console by cisco on vty0 (10.10.0.117)
110~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
111
112Vous pouvez maintenant configurer le logiciel de journalisation sur
113votre PC afin qu'il reçoive ces informations et les enregistre dans
114un nouvel ensemble de fichiers :
115
116
1172. Installez syslog-ng
118
119Ces exercices s'effectuent en tant qu'utilisateur root. Si vous
120n'êtes pas un utilisateur root sur votre machine, vous pouvez le
121devenir en tapant :
122
123~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
124$ sudo -s
125# apt-get install syslog-ng-core syslog-ng
126~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
127
128# Éditez /etc/syslog-ng/syslog-ng.conf
129
130Localisez les lignes
131
132~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
133source s_src {
134   system();
135   internal();
136};
137~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
138
139et remplacez-les par :
140
141~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
142source s_src {
143   system();
144   internal();
145   udp();
146};
147~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
148
149Sauvez le fichier et quitter.
150
151Maintant, créez une configuration pour nos logs d'équipement réseau:
152
153~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
154# cd /etc/syslog-ng/conf.d/
155# editor 10-network.conf
156~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
157
158Dans ce fichier, copier et coller les lignes suivantes:
159
160~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
161filter f_routers { facility(local0); };
162
163log {
164   source(s_src);
165   filter(f_routers);
166   destination(routers);
167};
168
169destination routers {
170   file("/var/log/network/$YEAR/$MONTH/$DAY/$HOST-$YEAR-$MONTH-$DAY-$HOUR.log"
171   owner(root) group(root) perm(0644) dir_perm(0755) create_dirs(yes)
172   template("$YEAR $DATE $HOST $MSG\n"));
173};
174~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
175
176Sauvez le fichier et quitter.
177
178# Créez le répertoire /var/log/network/
179
180~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
181# mkdir /var/log/network/
182~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
183
184# Redémarrez syslog-ng:
185
186~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
187# service syslog-ng restart
188~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
189
190# Tester syslog
191
192Pour s'assurer qu'il y ait des messages syslog, reconnectez vous
193au routeur et effectuez des commandes "config", puis déconnectez vous,
194c'est à dire:
195
196~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
197# ssh cisco@10.10.X.254
198rtrX> enable
199rtrX# config terminal
200rtrX(config)# exit
201rtrX> exit
202~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
203
204Veillez à vous déconnecter du routeur. Si un trop grand nombre de
205personnes se connectent et oublient de se déconnecter, d'autres ne
206pourront pas accéder au routeur.
207
208# Sur votre PC, regardez si des messages commencent à apparaître sous
209   /var/log/network/2013/.../
210
211
212~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
213$ cd /var/log/network
214$ ls
215$ cd 2016
216$ ls
217... ceci vous montrera le contenu du répertoire pour le mois en cours
218... faites 'cd' et le nom de ce répertoire
219$ ls
220... recommencer au niveau suivant (le jour du mois)
221$ ls
222~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
223
224# En cas de problème
225
226Si aucun fichier n'apparait sous le répertoire /var/log/network, alors
227une autre commande à essyer pendant qu'on est loggé sur le routeur, en
228mode configuration, est de faire un shutdown / no shutdown sur une interface
229Loopback (locale), par eemple:
230
231~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
232$ ssh cisco@rtrX
233
234rtrX> enable
235rtrX# conf t
236rtrX(config)# interface Loopback 999
237rtrX(config-if)# shutdown
238~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
239
240Attendre quelques secondes
241
242~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
243rtrX(config-if)# no shutdown
244~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
245
246Puis quitter, et sauver la configuration ("write mem"):
247
248~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
249rtrX(config-if)# exit
250rtrX(config)# exit
251rtrX# write memory
252rtr1# exit
253~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
254
255Vèrifiez les logs sous '/var/log/network'
256
257~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
258# cd /var/log/network
259# ls
260~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
261
262... suivre la hiérarchie des répertoires.
263
264Toujours pas de logs ?
265
266Essayez la commande suivante pour envoyer un message de log en local:
267
268~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
269# logger -p local0.info 'Hello World!'
270~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
271
272Si aucun fichier n'a été créé sous '/var/log/network', alors vérifier la
273configuration pour des fautes de frappe. Ne pas oublier de redémarrer le
274service syslog-ng à chaque fois que vous changez la configuration.
275
276Quelles autres commandes pouvez vous employer sur le routeur (ATTENTION!)
277qui provoqueront l'envoi de messages syslog ? Vous pouvez essayer de
278vous loger sur le router et taper un mot de passe incorrect pour "enable"
279
280Assurez-vous de faire un "ls" dans le répertoire de vos logs pour voir
281si des logs ont été créés à un moment ou un autre.