|
|
Manuel de l'administrateur | Table des matières |
|
|
LoriotPro est un serveur syslog capable de recevoir les messages syslog envoyés par les systèmes (linux et unix) ainsi que par les équipements réseaux et de sécurité.
Les messages syslog peuvent être filtrés par Loriotpro en fonction de divers conditions et déclencher des actions pour informer l’administrateur de défauts de fonctionnement ou de tentatives d’intrusion.
Le système syslog est une solution type client serveur avec des mecanismes de gestions de fichiers d’historique (log). La gestion des événements Syslog est un standard de-facto défini par le RFC3164. Syslog était initialement utilisé sur les système UNIX mais est devenu très courant dans les équipements réseaux et de sécurité (router syslog, switch syslog, firewall syslog).
Exemple de la fenêtre de réception des messages syslog de Loriotpro
Remarque : LUTEUS dispose d'un solution complète de gestion de messages syslog appelée SYSLOG COLLECTOR. Syslog collector est un système d'agent et serveur syslog pour la collecte décentralisé de gros volume de messages. Consulter la documentation Syslog Collector sur le WEB www.loriotpro.com pour plus de détails.
Les messages syslog peuvent être filtrés sur les conditions suivantes :
Les messages qui remplissent les conditions des filtres peuvent déclencher des actions d’alertes et de log.
Les actions disponibles permettent de :
Un message syslog est une chaîne de caractères qui comprend :
Le niveau de priorité est une chaîne codée en ASCII entourée par des crochets < et > en début de chaîne. La priorité des messages est codée sur 8 bits. Cette valeur est constintuée d'une combinaison de 3 bits (bits 0 à 2) utilisée pour niveau de sévérité (message level) et de 5 bits (bits 3 à 7) utilisé pour le message facility.
Les messages Syslog disposent donc de 8 niveaux de sévérité, allant de niveau urgent 0 (plus critique) au niveau debugging 7 (utilisé pour le diagnostique).
| LoriotPro Icône | Valeur | Niveau de sévérité |
|---|---|---|
 |
0 |
Emergency: system is unusable |
 |
1 |
Alert: action must be taken immediately |
 |
2 |
Critical: critical conditions |
 |
3 |
Error: error conditions |
 |
4 |
Warning: warning conditions |
 |
5 |
Notice: normal but significant condition |
 |
6 |
Informational: informational messages |
 |
7 |
Debug: debug-level messages |
Les messages Syslog sont classés par Facility, cette valeur permet d'identifier le programme à la source de ce message. Le programme peut être le système d'exploitation lui-même, un processus middleware ou une application.
Les champs facility, sont identifiés par des valeurs entières, 23 au total.
| Valeur | Facility |
|---|---|
0 |
kernel messages |
1 |
user-level messages |
2 |
mail system |
3 |
system daemons |
4 |
security/authorization messages |
5 |
messages generated internally by Syslog |
6 |
line printer subsystem |
7 |
network news subsystem |
8 |
UUCP subsystem |
9 |
clock daemon |
10 |
security/authorization messages |
11 |
FTP daemon |
12 |
NTP subsystem |
13 |
log audit |
14 |
log alert |
15 |
clock daemon |
16 |
local use 0 (local0) |
17 |
local use 1 (local1) |
18 |
local use 2 (local2) |
19 |
local use 3 (local3) |
20 |
local use 4 (local4) |
21 |
local use 5 (local5) |
22 |
local use 6 (local6) |
23 |
local use 7 (local7) |
Les messages Syslog peuvent être acquittés individuellement ou par groupe. Les messages Syslog acquittés apparaissent en gris clair sur fond blanc.
L'acquittement se fait par le menu contextuel de la fenêtre de réception des syslog
Table des options du menu contextuel
 |
Acknowledge selection |
Acquittement des messages syslog sélectionnés uniquement |
|
Acknowledge All Syslog |
Acquittement de tous les messages syslog dans la fenêtre |
|
Clear only the Acknowledge syslog messages |
Efface les messages syslog acquittés |
|
Clear all syslog messages |
Efface tous les messages syslog dans la fenêtre |
|
Clear selected syslog messages |
Efface les messages syslog sélectionnés uniquement |
Les règles de filtrage sont composées de plusieurs filtres déclarés sous forme de tableau. A chaque fois qu'un message syslog est reçu par le serveur, il est passé séquentiellement par les filtres et vérifiés. Si il satisfait une ou des règles les actions de ces règles sont réalisées.
Par défaut un jeu de règles est présent à l'installation, La première règle est toujours satisfaite quel que soit le message syslog ce qui a pour effet de l'afficher systématqiuement dans la fenêtre de réception. Seule cette règle est vérifiée (option Next Filter à No).
Un règle comprend des champs conditions et des champs actions. Si les conditions sont satisfaites les actions sont exécutées.
Un message syslog peut satisfaire à plusieurs règles et déclencher plusieurs actions successivement.
Parmi les options possibles, le processus de vérification des règles peut être interrompu (Next Filter) dans ce cas le message n'est pas vérifié auprès des règle suivantes.
Pour créer, déplacer ou supprimer un règle de filtrage syslog, utiliser les boutons de la fenêtre des filtrages de syslog.
Bouton |
Utilisation |
|---|---|
|
Insertion d'une règle au dessous de la règle sélectionnée de la liste |
|
Insertion d'une règle au dessus de la règle sélectionnée de la liste |
|
Insertion d'une règle en haut de la liste |
|
Insertion d'une règle en bas de la liste |
|
Déplacement de la règle sélectionnée d'une unité vers le haut |
|
Déplacement de la règle sélectionnée d'une unité vers le bas |
|
Supprime un règle sélectionnée |
Pour modifier les règles de filtrage, cliquer directement sur le champ à modifier dans le tableau
Colonne |
Explication |
||||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
IP Address |
C'est un champ condition. Permet de filtrer en fonction de l'adresse du host source du message syslog ou en fonction du réseau IP. Un double clique sur le champ IP address ou IP Mask ouvre la fenêtre d'édition
|
||||||||||||||||||||||||||||||
Facility |
C'est un champ condition. Permet de choisir un filtrage par Facility |
||||||||||||||||||||||||||||||
Level |
C'est un champ condition. Permet de choisir un filtrage par Level |
||||||||||||||||||||||||||||||
String 1 |
C'est un champ condition. Le message sera filtré en fonction d'un chaîne de caractère précisée. Un champ vide (null) enlève le filtrage par chaîne. |
||||||||||||||||||||||||||||||
Offset |
Le champ offset permet de préciser ou doit se trouver la chaîne à comparer par rapport au début du message. (Nombre de caractères de décalage) L'option « –1 all » enlève la condition sur ce champ |
||||||||||||||||||||||||||||||
And/Or |
Un booléen sur une seconde condition de présence d'une chaîne dans le message.. |
||||||||||||||||||||||||||||||
String 2 |
C'est un champ condition. Une comparaison avec la présence d'une seconde chaîne de carastères dans le message. |
||||||||||||||||||||||||||||||
Offset |
Le champ offset de la second chaîne permet de préciser ou doit se trouver la chaîne à comparer par rapport au début du message. (Nombre de caractères de décalage) |
||||||||||||||||||||||||||||||
Case |
Spécifie si la comparaison doit tenir compte de la case (Majuscule,/Minuscule) des chaînes. |
||||||||||||||||||||||||||||||
Action |
Si toutes les conditions précédentes sont réunies alors ces actions sont réalisées
|
||||||||||||||||||||||||||||||
LoriotPro |
Action d'envoi d'événement LoriotPro. Si les conditions sont satisfaites, un événement dont le numéro est précisé dans le champ suivant sera envoyé vers le LoriotPro dont l'adresse IP est précisé ici. |
||||||||||||||||||||||||||||||
Event |
Le numéro d'événement à envoyer à LoriotPro |
||||||||||||||||||||||||||||||
Level |
Le niveau de sévérité de l'événement. Par de rapport avec le level du syslog requit.
|
||||||||||||||||||||||||||||||
Syslog |
Action d'envoi d'un message de syslog vers un autre serveur syslog. Si les conditions sont satisfaites, un message syslog sera envoyé vers le serveur syslog dont l'adresse IP est précisé ici. |
||||||||||||||||||||||||||||||
| Threshold | Nombre de messages satisfaisant ce filtre nécessaires pour la réalisation des actions |
||||||||||||||||||||||||||||||
| Next Filter | Si a Yes les autres filtres de la liste sont vérifiés. | ||||||||||||||||||||||||||||||
| Log File | Le nom du fichier de log. Le nom est construit à partir de cette variable et de la date courante. Le fichier est au format csv. Note: Un nouveau fichier est créé automatiquement tous les 24 heures. |
Pur l'envoi de syslog à partir d'Unix ou de Linux se référer au manuel de syslod (syslog daemon).
Quelques commandes sont requises pour activer l'envoi des messages syslog par un équipement Cisco équipé d'IOS vers le serveur syslog de LoriotPro.
Entrer en mode config sur l'equipement Cisco
llogging ip_address
ip_address spécifie l'adresse IP du LoriotPro.
Pour changer le niveau de sévérité de syslog, en utilisant la commande logging trap.
ogging trap level
Pour l'envoi de message de Debug vers le serveur en syslog, utiliser la commande logging trap debugging.
Router-1603-Cisco(config)#logging trap ?
<0-7> Logging severity level
alerts Immediate action needed (severity=1)
critical Critical conditions (severity=2)
debugging Debugging messages (severity=7)
emergencies System is unusable (severity=0)
errors Error conditions (severity=3)
informational Informational messages (severity=6)
notifications Normal but significant conditions (severity=5)
warnings Warning conditions (severity=4)
<cr>
Par défaut, Cisco IOS envoie tous les messages jusqu'au niveau informational (severity 6) vers le serveur syslog. T
Warning : Il est important de ne pas activer le logging sans prendre des précautions. Le volume de messages à générer peut avoir un impact sur la performance de l'équipemetn et sur la charge du réseau.
Configuring a PIX for sending syslog message requires few commands but depend from the PIX version.
Furthermore , the syslog messages generated by a Cisco PIX Firewall begin with a percent sign (%) and are slightly different than the IOS syslog messages.
Following is the format of syslog messages generated by a Cisco PIX Firewall:
%PIX-Level-Message_number: Message_text
As an example, since 22 = 00010110, and the last four bits=0110=decimal 6, this is local6. (A shortcut is to take the X value and subtract 16. For example, 22-16=6, or local6.)
The Y number is the level. As an example, if Y=2, messages sent would include those at level 2 (critical), level 1 (alert), and level 0 (emergency). The PIX levels are 0-7; these should not be confused with the logging facilities (which are local0-local7).
Examples:
syslog 20.720 equals local4 logging facility.
.7 is the level. 7 means debug to the PIX (all messages are logged).
23 equals local7 logging facility
.2 is the level. 2 means critical to the PIX (critical, alert, and emergency messages are logged).
The syntax for syslog changed in PIX Software releases 4.2.x. Instead of the syslog host #.#.#.# command, use the new logging host #.#.#.# command. In 4.2.x, the logging facility and level definitions are the same, but instead of using the syslog output X.Y command, you need to have these two statements:
logging facility X
logging trap Y
The level is no longer expressed as a number. It is expressed as the name of the level. This is an example:
syslog output 20.7
logging facility 20 (local4)
logging trap debugging (debugging through emergency)
In 4.3.x and later, you can avoid having particular syslog messages sent, and you can timestamp messages that are sent.
In addition to these commands:
You can issue these commands:
This results in having all messages, except message 111005 (that is, "End configuration"), sent with timestamps.
Remark: Because the 111005 message is a Notification level sysloge, it is not seen if the level on the PIX is set for Emergency, Alert, Critical, Error, or Warning.
This is an example of a time-stamped non-111005 message. (The first timestamp is from our UNIX server and the second is from the PIX.)
Apr 25 13:15:35 10.31.1.53 Apr 25 1999 13:23:00: %PIX-5-111007:
www.loriotpro.com |
|
