Les journaux
Administration des Systèmes UNIX
Noureddine GRASSA ISET MAHDIA
Septembre 2009
e Lazure
Administrer a posteriori
Contrôler le bon fonctionnement Garder une trace des événements Être alerté rapidement d'un incident Remonter à la cause d'un problème Sensibiliser les usagers
inique Lazure
Éthique / Jurisprudence
Adminsys est censé archiver les logs :
<< un certain temps >>
<< pour une certaine granularité >> !
Adminsys s'intéresse au bon fonctionnement Pas aux contenus (exemple du mail)
e Lazure
Stratégie de traitement des journaux
En rapport avec la stratégie de sécurité :
➢ Tout effacer
➢ Archiver
➢ Régulièrement
➢ Occasionnellement : disk full
➢ Faire des rotations
Dans tous les cas : AUTOMATISER
inique Lazure
Principe de syslog
Réception des messages (sur /dev/klog) en provenance
➢ Du système
➢ Des applications
➢ D'autres machines
Traitement en fonction de sa configuration
➢ Ignore
➢ Stockage dans un fichier : journal
➢ Transmet à une autre machine
e Lazure
Installation de syslog
Logiciels :
➢ Démon syslogd à lancer par init
➢ Configuration dans /etc/syslog.conf
➢ openlog & al. : bibliothèque
➢ Commande shell :
polo% logger blabla
inique Lazure
Les émetteurs de messages
kern noyau
mail sendmail & al.
daemon les démons
auth les commandes d'authentification
lpr gestion d'imprimante
News Usenet
cron crond
mark interne à syslog : imprime la date
local0-7 8 types de messages locaux
ftp démon FTP
user par défaut
e Lazure
Sévérité des messages
emerg Situations catastrophiques alert Situations urgentes
crit Conditions critiques
err Autres erreurs
warning Messages d'avertissement
notice Mériterait une étude approfondie
info Message à caractère informatif
debug Pour le débogage uniquement
inique Lazure
Syntaxe de syslog.conf
<selecteur_min> <TAB> <action>
<selecteur_min> ::= <service>.<severite>
::= *.<severite> none ::= <service>.* none ::= *.*
<action> ::= <nom_fichier>
::= @hostname ::= @IP
::= user1,user2…
::= *
e Lazure
Règles exécutées
Si le message est au moins de même sévérité Si l'émetteur matche le programme
Plusieurs règles pour plusieurs actions
Toutes les règles du fichier sont évaluées
inique Lazure
Console d'exploitation
Exploitation en grand site :
journaux imprimés en continu pupitreurs présents 24h/24
Configuré dans /etc/syslog.conf
*.* /dev/lpr
*.* /dev/tty12
e Lazure
Quelques spécificités
RedHat : plus de finesse dans les sélecteurs
*.=info mail.debug;mail.!err …
klogd : intermédiaire entre le noyau et syslog (?)
FreeBSD : encore une autre syntaxe pour les sélecteurs Mandrake : bavard +++
Chaque distribution propose une organisation des fichiers
inique Lazure
Journalisation distante
Une bonne stratégie de sécurité
cracker% rm -rf /var/log
Tous les messages sur une seule machine :
➢ À protéger et à surveiller
➢ Facilité d'administration
syslog 514/udp
e Lazure
Archivage des journaux
Logrotate (made in RedHat)
Newsyslog (freeBSD) = syslog + logrotate /etc/logrotate.conf
compress
var/log/messages { rotate 5
weekly
postrotate
/sbin/kill –HUP `cat /var/pid/syslogd`
endscript
inique Lazure
