Filtrage des messages Syslog
Introduction
Les messages Syslog reçus pas LoriotPro peuvent être filtrés pour générer des actions. Ce document explique comment mettre en place des règles de filtrage et comment configurer les actions.
Les filtres (ou règles de filtrage) sont déclarés dans une liste et contiennent systématiquement un jeu de conditions et un jeu d’actions.
Les conditions possibles sont :
- L’adresse IP source et un masque sur cette adresse. Cela permet de prendre un host en particulier ou un réseau complet.
- Le champ « Facility » du message Syslog. 23 types sont définis par le RFC3164.
- Le champ « Level » ou niveau de sévérité qui classifie l’importance de l’événement, aussi définie dans le RFC3164.
- Une première chaîne de caractères se situant dans le corps du message Syslog.
- Et/ou une seconde chaîne de caractère se situant dans le corps du message Syslog.
Les actions possibles sont :
- Aucune action
- Le message est coloré et affiché sur la console de l’agent.
- Le message est sauvé dans un fichier local.
- Les deux dernières actions peuvent être déclenchées sur occurrence multiple.
- Le message est renvoyé vers LoriotPro dans un format LoriotPro.
- Le message est renvoyé vers un autre serveur ou relais Syslog dans un format Syslog.
Configuration de fitres syslog
Pour définir des règles de filtrage et d'actions l'éditeur de filtres Syslog doit être ouvert. Ouvrez le menu contextuel de la fenêtre syslog et sélectionnez l'option Edit Syslog Filter.
La fenêtre d'édition s'affiche.
L’ensemble des boutons graphiques à gauche de la fenêtre
permettent d’insérer, déplacer ou effacer des filtres.
|
Insère un nouveau filtre entre deux filtres par le dessus. |
|
Insère un nouveau filtre entre deux filtres par le dessous. |
|
Insère un nouveau filtre en haut des filtres. |
|
Insère un nouveau filtre en dernière position. |
|
Déplace le filtre sélectionné d’un cran vers le haut. |
|
Déplace le filtre sélectionné d’un cran vers le bas |
|
Efface le filtre sélectionné. |
Le principe des filtres est simple, lorsque qu’un message
arrive, les informations propres au message sont comparées aux valeurs
définissant le filtre et si ses informations sont en concordance, les actions
associées au filtre sont réalisées.
Les filtres sont passés en revue du haut vers
le bas, lorsqu’un filtre marche une option permet de continuer la liste des
filtres ou bien de sortir pour analyser le message suivant. Avec ce principe un
message peut traverser tous les filtres et activer des actions sur chaque
filtre en concordance.
 Fenêtre "Filters Management"
Paramètres
des filtres
Paramètres
Colonnes |
Explication |
IP Address
IP Mask |
Le logiciel vérifie que l’équipement émetteur du message
correspond à cette adresse IP en utilisant une adresse IP de référence et un
masque de réseau.
Exemple :
IP (0.0.0.0) Mask (0.0.0.0) prend toutes les adresses IP
d’émetteurs.
IP (10.0.0.0) Mask (255.0.0.0) prend toutes les adresses IP
d’émetteurs commençant par 10.x.x.x
Un double click de la souris sur le champ, permet de changer
ce paramètre.
|
Facility |
La RFC du protocole Syslog définit une logique de
« facility » concernant les messages, ce paramètre est configuré au
niveau de l’émetteur.
  
Le choix « –1 all » supporte tous les types de
messages Syslog |
Level |
La RFC du protocole Syslog définie une logique de
« level » concernant les messages, ce paramètre est généré
dynamiquement par l’émetteur pour définir le niveau donné au message.
Le choix « –1 all » supporte tous les niveaux de
messages Syslog
|
String 1 |
Un message Syslog est simplement une chaîne de caractères
et il est possible de détecter une sous chaîne dans le message.
Un double click de la souris sur un champ string1 permet de
changer ce paramètre.
la chaîne (null) supporte toutes les chaînes de
caractères. |
Offset |
On peut définir à partir de quelle position dans la chaîne
de caractères se place la sous chaîne string 1.
Remarque : L’utilisation de ce paramètre n’est pas conseillée car les
messages Syslog intègrent des valeurs qui en s’incrémentant peuvent faire
varier ce paramètre.
|
Ans/Or |
Il est possible de tester une deuxième chaîne de caractères
avec la condition et / ou.
|
String 2 |
Cette sous chaîne de caractères sera testée uniquement si il
existe une sous chaîne String 1 de définie.
Un double click de la souris sur un champ string2 permet de
changer ce paramètre. |
Offset |
On peut définir à partir de quelle position dans la chaîne
de caractères se place la sous chaîne string 2.
Remarque :L’utilisation de ce paramètre n’est pas conseillé car les
messages Syslog intègrent des valeurs qui en s’incrémentant peuvent faire
varier ce paramètre.
|
Colonnes |
Explication |
Case |
La sous chaîne est cherchée dans le message en tenant compte
des minuscules/majuscule ou non.
Sensitive : la différence minuscule majuscule est
intégrée (ludovic est différent de Ludovic)
NoSensitive : il n’y a pas de différence entre ludovic et Ludovic. |
Action |
Si l’ensemble des informations contenues dans les colonnes
précédentes sont en concordance avec le message analysé alors une action de
base est réalisée.
Actions |
Explanation |
00 none |
le message est effacé de la mémoire et rien ne se passe. |
01 log |
Le message est sauvé dans le fichier défini par la colonne Log File. |
02 display |
Le message est affiché dans la fenêtre View Received
Syslog |
03 display 1 |
Le message est affiché dans la fenêtre Syslog 1 window |
| 04 display 2 |
Le message est affiché dans la fenêtre Syslog 2 window |
| 05 display 3 |
Le message est affiché dans la fenêtre Syslog 3 window |
06 log+display |
Le message est sauvé dans le fichier défini par la colonne Log File. Le message est affiché dans la fenêtreSyslog Global window |
07 log+display 1 |
Le message est sauvé dans le fichier défini par la colonne Log File. Le message est affiché dans la fenêtre Syslog 1 window |
08 log+display 2 |
Le message est sauvé dans le fichier défini par la colonne Log File. Le message est affiché dans la fenêtre Syslog 2 window |
09 log+display 3 |
Le message est sauvé dans le fichier défini par la colonne Log File. Le message est affiché dans la fenêtre Syslog 3window |
|
LoriotPro |
Si le filtre est en concordance et quelle que soit l’action
définie dans la colonne précédente, si une adresse IP est positionnée dans ce
champ un message au format « event » de LoriotPro est envoyé à
cette adresse en utilisant les paramètres des champs Event et Level suivants. Le numéro d’event doit cependant être supérieur à zéro. Le
paramètre Threshold permet de n’envoyer un message LoriotPro que tous
les x messages Syslog.
Remarque : Le message LoriotPro envoyé est une copie du message Syslog.
|
Event |
Le numéro d’événement envoyé avec le message au format
LoriotPro. |
Level |
Le niveau du message LoriotPro envoyé.
|
Syslog |
Si le filtre est en concordance et quelle que soit l’action
définie dans les colonnes précédentes, si une adresse IP est positionnée dans
ce champ un message au format Syslog est envoyé à cette adresse. Le paramètre Threshold permet de n’envoyer un message Syslog que tous les x
messages Syslog en concordance. |
Colonnes |
Explication |
Threshold |
Est utilisé pour l’envoi des messages LoriotPro et/ou
Syslog.
Exemple : Si la valeur est positionnée à 3 un message
LoriotPro et/ou Syslog ne sera envoyé que tous les trois messages Syslog en
concordance avec ce filtre.
|
Next Filter |
Ce champ permet au cas où le filtre est en concordance avec
le message Syslog de poursuivre ou d’arrêter le chaînage des filtres.
Si « No » et le filtre sont en concordance
les actions du filtre sont réalisées et le programme passe au message Syslog
suivant.
Si « Yes » » et le filtre sont en
concordance, les actions du filtres sont réalisées et le programme passe au
filtre suivant pour éventuellement réaliser d’autres actions.
|
Log File |
Si le filtre est en concordance et que l’action est
« log ou log+display» le message est alors sauvé au format csv dans
un fichier dont le nom commence par le texte de ce champ et est suivi de la
date.
Remarque
Le logiciel génère automatiquement un nouveau fichier toutes
les 24 heures.
|
|
