LoriotPro NMS software Network Management Software
Newsletter | Contact | Nouvelles | Télécharger | Support | Partenaires
version française

Syslog Collector

Serveur et Agent Syslog pour Windows

Introduction

Le système Syslog fournit les mécanismes de transport et d’archivage des messages événementiels. Les messages Syslog informent les administrateurs d’équipements et de systèmes d’informations du changement d’état d’indicateurs les plus variés.
A titre d’exemple nous citerons l’activation d’une interface réseau, l’ouverture d’un lien ISDN, la réception d’un E-Mail, l’accès à une base de données etc…
Syslog
est un standard de fait pour la gestion de journaux événementiels (log) défini par le RFC3164. Il était initialement couramment utilisé sur les systèmes Unix puis s’est généralisé sur les routeurs et sur les commutateurs, plus récemment sur les Firewalls et autres organes de sécurité.

L’objectif de l’architecture de gestion de messages Syslog conçue par LUTEUS est de fournir une solution évolutive capable de prendre en charge de grande quantité de messages et d’aider les administrateurs en facilitant leur classification, leur analyse et leur traitement.

Ce produit a été imaginé à partir des constations suivantes :

  • Les administrateurs de réseaux et système doivent faire face au traitement de grande quantités de messages Syslog.
  • Ils doivent mettre en place des archivages détaillés pour pouvoir faire des recherches d’anomalies ou de tentatives d’intrusion (cas des Firewalls).
  • Ils doivent recevoir les messages les plus critiques immédiatement et consulter les moins critiques ultérieurement.
  • Ils doivent pouvoir faire des recherches à posteriori sur l’ensemble des messages avec des clés de recherche multicritères.
  • Ils doivent avoir un système centralisé pour réduire le coût des charges d’administration pour traiter l’ensemble des fichiers Syslog.
  • La centralisation doit être possible sans impact majeur sur la bande passante des liaisons réseaux de faible débit et/ou à coût élevé (liaisons Internationales).
  • Ils veulent avoir de la sécurité d’accès pour le contrôle de cette architecture.

L’architecture SYSLOG COLLECTOR et LORIOTPRO apportent des réponses à tous ces besoins.

syslog collector

Description d’architecture

L’architecture est construite autour de deux composants, les agents et le manager. Le manager est un programme fonctionnant uniquement sur notre solution de supervision LoriotPro.

Les messages Syslog sont collectés par des agents appelés dans notre terminologie « Syslog Collector Agent ». Les agents sont conçus pour collecter de grandes quantités de messages Syslog et pour procéder à des actions conditionnées par des règles de filtrage. Les messages filtrés peuvent être simplement affichés à l’écran, l’agent agit alors comme un simple serveur Syslog. Les messages peuvent être archivés localement dans des fichiers et/ou ré acheminés vers une console centrale de management LoriotPro sous forme de messages propriétaires à LoriotPro ou vers un serveur Syslog ou vers un relais Syslog ou vers un autre agent Syslog Collector. Les agents peuvent être cascadés pour former une architecture hiérarchique.

Les agents peuvent être utilisés seuls et agir comme des serveurs Syslog ou des relais Syslog. Le Syslog Manager et LoriotPro ne sont pas nécessaires dans ce cas. Les règles de filtrages sont définies par un GUI présent sur chaque agent. Les actions définies sur conditions sont soit d’afficher les événements sur la console de l’agent, soit de les sauvegarder dans des fichiers locaux soit de les renvoyer vers un autre Serveur Syslog.

Le Syslog Collector Manager est responsable de la gestion des agents à partir d’une position centrale. Les règles de filtrage sont définies sur le manager et chargées dans les agents. Le manager est aussi capable de lire la règle de filtrage courante appliquée sur un agent. Les règles sont mémorisées localement dans des fichiers texte.Le manager est capable de télécharger les fichiers Syslog présents sur le disque de l’agent. Avant de les rapatrier, les fichiers peuvent être compressés à la volée, de façon à économiser la précieuse bande passante des liaisons bas débits ou internationales. Le manager est un programme fonctionnant exclusivement sur LoriotPro dans un mode appelé Service Plug-In.
Comme nous l’avons dit précédemment, les messages envoyés par l’agent peuvent être sous un format propriétaire à notre système de supervision LoriotPro. Dans ce cas le gestionnaire d’événement de LoriotPro les reçoit et les traite. Ils sont en premier affichés sur la console d’événements et si nécessaires, ils peuvent être utilisés pour déclencher sur conditions des actions aussi variées que l’envoi d’E-Mail, le lancement d’un programme, etc.
Un synoptique du principe de l’architecture est représenté ci-après.


Les équipements à l’origine des messages Syslog (routeurs, commutateurs, système Unix, Firewall …) sont configurés pour envoyer leurs messages vers le Collecteur le plus près. Les agents filtrent les messages et les renvoient soit vers la console LoriotPro soit vers un serveur Syslog. LoriotPro et le Syslog Collector Manager sont nécessaires pour avoir une gestion centralisée des règles de filtrage. Les règles de filtrage sont poussées vers les agents après authentification réciproque.

Le concept hiérarchique et/ou distribué des agents permet aux administrateurs de concevoir une architecture adaptée à leurs contraintes de réseau et de topologie. Comme dans notre exemple ci-après une hiérarchie d’agents à deux niveaux, les messages Syslog sont collectés par zones géographiques sur des agents de niveau 2, ceux-ci renvoient les messages les plus critiques vers des agents de niveau 1 pour chaque pays puis vers une console centrale. Le trafic est optimisé car les messages ayant une signification locale sont archivés localement et ne sont pas renvoyés vers les niveaux supérieurs.

   

A propos des règles de filtrage appliquées sur les agents Syslog Collector

Les règles de filtrage sont rassemblées dans des listes de règles. Chaque règle est analysée séquentiellement en partant du haut vers le bas dans la liste. Une règle contient des conditions et des actions.

Les conditions possibles sont :
• L’adresse IP source et un masque sur cette adresse. Cela permet de prendre un host en particulier ou un réseau complet.
• Le champ « Facility » du message Syslog. 23 types sont définis par le RFC3164.
• Le champ « Level » ou niveau de sévérité qui classifie l’importance de l’événement, aussi définie dans le RFC3164.
• Une première chaîne de caractères se situant dans le corps du message Syslog.
• Et/ou une seconde chaîne de caractère se situant dans le corps du message Syslog.

Les actions possibles sont :
• Aucune action
• Le message est coloré et affiché sur la console de l’agent.
• Le message est sauvé dans un fichier local.
• Les deux dernières actions peuvent être déclenchées sur occurrence multiple.
• Le message est renvoyé vers LoriotPro dans un format LoriotPro.
• Le message est renvoyé vers un autre serveur ou relais Syslog dans un format Syslog.

Ci-dessous, l’éditeur de filtres :

syslog filters

La sécurité
La sécurité est une problématique des systèmes distribués. Les agents doivent être gérés et les logs ne doivent être collectés que par les administrateurs de la solution. Notre solution inclut un mode d’authentification propriétaire à clés privées pour prévenir le risque de piratage.

Pré requit
S’il y a peu de points de collection et si une gestion distribuée n’est pas nécessaire, seuls les agents agissant comme des serveurs Syslog sont suffisants. Les agents fonctionnent sur le système d’exploitation Microsoft Windows. Si vous ne possédez pas de console LoriotPro vous n’aurez pas à en acheter une. Le choix de la puissance du PC doit être fonction de vos besoins. Si vous compter traiter une grande quantité de messages Syslog, le PC doit être adapté en terme de CPU, de mémoire et de vitesse d’accès au réseau. Si vous compter archiver les Syslog sur fichier il faut prévoir des disques conséquents voire des systèmes d’auto archivage.

Si vous voulez bénéficier du concept hiérarchique du produit il vous faut une console LoriotPro et le Syslog Collector Manager. LoriotPro fonctionne sur Microsoft Windows 2000/XP/VISTA/2003 server. Le Syslog Collector Manager est un programme complémentaire (Plug-In) de LoriotPro et ne peut pas fonctionner indépendamment. Une station puissante est nécessaire pour LoriotPro, Pentium 4, 512 MbRam, gigas de disque et DAT pour l’archivage.

Licences
Les licences (clés d’activations) pour notre solution Syslog Collector sont associées aux agents. Chaque agent possède une clé. Cette clé est aussi utilisée dans le processus d‘authentification. Il faut acquérir une licence par agent installé. Le Manager est un Plug-In disponible gratuitement avec LoriotPro. LoriotPro est une solution de gestion et de supervision des réseaux et de système qui offre pour un prix modique de nombreuses autres fonctionnalités.

Pour plus d’informations, contactez:

LUTEUS SARL
Bâtiment : « Le Sextant »
462 rue Benjamin Delessert
BP 83, 77554 Moissy-Cramayel
FRANCE
Site Web : www.loriotpro.com
E-mail : sales@loriotpro.com

NewsletterContact | Nouvelles | Produits | Télécharger | Support | Partenaires Luteus Sarl
   
LoriotPro Search button LoriotPro SiteMap lexique © LUTEUS SARL. Tous droits réservés