Introduction
Le système Syslog fournit les
mécanismes de transport et d’archivage des messages événementiels.
Les messages Syslog informent les administrateurs d’équipements
et de systèmes d’informations du changement d’état
d’indicateurs les plus variés.
A titre d’exemple
nous citerons l’activation d’une interface réseau,
l’ouverture d’un lien ISDN, la réception d’un
E-Mail, l’accès à une base de données etc…
Syslog est un standard de fait pour la gestion de journaux événementiels
(log) défini par le RFC3164. Il était initialement couramment
utilisé sur les systèmes Unix puis s’est généralisé
sur les routeurs et sur les commutateurs, plus récemment sur
les Firewalls et autres organes de sécurité.
L’objectif de l’architecture de gestion de messages Syslog conçue par LUTEUS est de fournir une solution évolutive
capable de prendre en charge de grande quantité de messages
et d’aider les administrateurs en facilitant leur classification,
leur analyse et leur traitement.
Ce produit
a été imaginé à partir des constations
suivantes :
- Les administrateurs de réseaux et système
doivent faire face au traitement de grande quantités de messages Syslog.
- Ils doivent mettre en place des archivages détaillés pour pouvoir faire des recherches d’anomalies ou de tentatives
d’intrusion (cas des Firewalls).
- Ils doivent recevoir les messages les plus critiques immédiatement
et consulter les moins critiques ultérieurement.
- Ils doivent pouvoir faire des recherches à posteriori sur l’ensemble des messages avec des clés de recherche
multicritères.
- Ils doivent avoir un système centralisé pour
réduire le coût des charges d’administration
pour traiter l’ensemble des fichiers Syslog.
- La centralisation doit être possible sans impact majeur
sur la bande passante des liaisons réseaux de faible débit
et/ou à coût élevé (liaisons Internationales).
- Ils veulent avoir de la sécurité d’accès pour le contrôle de cette architecture.
L’architecture SYSLOG COLLECTOR et
LORIOTPRO apportent des réponses à tous ces besoins.
Description d’architecture
L’architecture est construite autour
de deux composants, les agents et le manager. Le manager est un
programme fonctionnant uniquement sur notre solution de supervision
LoriotPro.
Les messages Syslog sont collectés par
des agents appelés dans notre terminologie « Syslog
Collector Agent ». Les agents sont conçus pour collecter
de grandes quantités de messages Syslog et pour procéder
à des actions conditionnées par des règles
de filtrage. Les messages filtrés peuvent être simplement
affichés à l’écran, l’agent agit
alors comme un simple serveur Syslog. Les messages peuvent être
archivés localement dans des fichiers et/ou ré acheminés
vers une console centrale de management LoriotPro sous forme de
messages propriétaires à LoriotPro ou vers un serveur
Syslog ou vers un relais Syslog ou vers un autre agent Syslog Collector.
Les agents peuvent être cascadés pour former une architecture
hiérarchique.
Les agents peuvent être utilisés
seuls et agir comme des serveurs Syslog ou des relais Syslog. Le
Syslog Manager et LoriotPro ne sont pas nécessaires dans
ce cas. Les règles de filtrages sont définies par
un GUI présent sur chaque agent. Les actions définies
sur conditions sont soit d’afficher les événements
sur la console de l’agent, soit de les sauvegarder dans des
fichiers locaux soit de les renvoyer vers un autre Serveur Syslog.
Le Syslog Collector Manager est responsable
de la gestion des agents à partir d’une position centrale.
Les règles de filtrage sont définies sur le manager
et chargées dans les agents. Le manager est aussi capable
de lire la règle de filtrage courante appliquée sur
un agent. Les règles sont mémorisées localement
dans des fichiers texte.Le manager est capable de télécharger
les fichiers Syslog présents sur le disque de l’agent.
Avant de les rapatrier, les fichiers peuvent être compressés
à la volée, de façon à économiser
la précieuse bande passante des liaisons bas débits
ou internationales. Le manager est un programme fonctionnant exclusivement
sur LoriotPro dans un mode appelé Service Plug-In.
Comme nous l’avons dit précédemment, les messages
envoyés par l’agent peuvent être sous un format
propriétaire à notre système de supervision
LoriotPro. Dans ce cas le gestionnaire d’événement
de LoriotPro les reçoit et les traite. Ils sont en premier
affichés sur la console d’événements
et si nécessaires, ils peuvent être utilisés
pour déclencher sur conditions des actions aussi variées
que l’envoi d’E-Mail, le lancement d’un programme,
etc.
Un synoptique du principe de l’architecture est représenté
ci-après.
Les équipements à l’origine
des messages Syslog (routeurs, commutateurs, système Unix,
Firewall …) sont configurés pour envoyer leurs messages
vers le Collecteur le plus près. Les agents filtrent les
messages et les renvoient soit vers la console LoriotPro soit vers
un serveur Syslog. LoriotPro et le Syslog Collector Manager sont
nécessaires pour avoir une gestion centralisée des
règles de filtrage. Les règles de filtrage sont poussées
vers les agents après authentification réciproque.
Le concept hiérarchique
et/ou distribué des agents permet aux administrateurs de
concevoir une architecture adaptée à leurs contraintes
de réseau et de topologie. Comme dans notre exemple ci-après
une hiérarchie d’agents à deux niveaux, les
messages Syslog sont collectés par zones géographiques sur des agents de niveau 2, ceux-ci renvoient les messages les plus
critiques vers des agents de niveau 1 pour chaque pays puis vers
une console centrale. Le trafic est optimisé car les messages
ayant une signification locale sont archivés localement et
ne sont pas renvoyés vers les niveaux supérieurs. |
