Gestion logs » Historique » Version 51
Benjamin Bohard, 09/06/2014 14:21
1 | 13 | Daniel Dehennin | {{toc}} |
---|---|---|---|
2 | 13 | Daniel Dehennin | |
3 | 1 | Benjamin Bohard | h1. Gestion des journaux |
4 | 1 | Benjamin Bohard | |
5 | 1 | Benjamin Bohard | Les objectifs fondamentaux de la journalisation sont les suivants : |
6 | 1 | Benjamin Bohard | |
7 | 31 | Benjamin Bohard | * conserver l'information en vue d'établir des diagnostics de panne et d'incidents de sécurité, |
8 | 1 | Benjamin Bohard | * conserver l'information en vue de statistiques d'utilisation, |
9 | 1 | Benjamin Bohard | * conserver l'information par contrainte légale. |
10 | 1 | Benjamin Bohard | |
11 | 1 | Benjamin Bohard | Les écueils à éviter sont les suivants : |
12 | 1 | Benjamin Bohard | |
13 | 1 | Benjamin Bohard | * saturation de la partition stockant les journaux, |
14 | 1 | Benjamin Bohard | * compromission des informations des journaux par application de droits d'accès inadaptés. |
15 | 1 | Benjamin Bohard | |
16 | 1 | Benjamin Bohard | Ces objectifs et écueils guident la politique de journalisation à mettre en œuvre. Les contraintes les plus fortes sont l'obligation légale de conserver l'information et le risque de saturation du support de stockage. Les journaux, ou partie de journaux, concernés par l'obligation légale doivent être traités prioritairement. Les autres doivent s’accommoder de la contrainte d'espace de stockage. |
17 | 31 | Benjamin Bohard | |
18 | 31 | Benjamin Bohard | h2. Recommandations de l'ANSSI (2 décembre 2013) |
19 | 31 | Benjamin Bohard | |
20 | 31 | Benjamin Bohard | Voici les recommandations issues du guide "Recommandations de sécurité pour |
21 | 31 | Benjamin Bohard | la mise en œuvre d’un système de journalisation" accessible à l'adresse http://www.ssi.gouv.fr/fr/bonnes-pratiques/recommandations-et-guides/ |
22 | 32 | Benjamin Bohard | Elles s'accompagnent de l'état des lieux pour la distribution EOLE. |
23 | 31 | Benjamin Bohard | |
24 | 31 | Benjamin Bohard | h3. Recommandation 1 |
25 | 31 | Benjamin Bohard | |
26 | 31 | Benjamin Bohard | Utiliser des systèmes et des applicatifs disposant nativement d’une fonctionnalité de jour- |
27 | 31 | Benjamin Bohard | nalisation est primordial. La prise en compte de cette fonction doit se faire lors de toute |
28 | 31 | Benjamin Bohard | démarche de conception et de développement. |
29 | 31 | Benjamin Bohard | |
30 | 31 | Benjamin Bohard | h3. Recommandation 2 |
31 | 31 | Benjamin Bohard | |
32 | 31 | Benjamin Bohard | L’horodatage doit être activé pour l’ensemble des évènements afin de permettre une |
33 | 31 | Benjamin Bohard | meilleure exploitation des journaux. |
34 | 31 | Benjamin Bohard | |
35 | 32 | Benjamin Bohard | *EOLE* |
36 | 32 | Benjamin Bohard | Tous les journaux passant par rsyslog sont horodatés. Cependant, la date est au format "legacy" et n'est pas aussi précise qu'elle pourrait l'être. |
37 | 32 | Benjamin Bohard | |
38 | 31 | Benjamin Bohard | h3. Recommandation 3 |
39 | 31 | Benjamin Bohard | |
40 | 31 | Benjamin Bohard | Les horloges des équipements doivent être synchronisées sur plusieurs sources de temps |
41 | 31 | Benjamin Bohard | internes cohérentes entre elles. Ces sources pourront elles-mêmes être synchronisées sur |
42 | 31 | Benjamin Bohard | plusieurs sources fiables externes, sauf pour les réseaux isolés. |
43 | 31 | Benjamin Bohard | |
44 | 32 | Benjamin Bohard | *EOLE* |
45 | 32 | Benjamin Bohard | Aucune mesure particulière n'est prise pour s'assurer de disposer d'horloges synchronisées sur l'ensemble d'un parc surveillé. |
46 | 32 | Benjamin Bohard | Le serveur ntp par défaut est sur Internet. |
47 | 32 | Benjamin Bohard | Au MEDDE, la politique de déploiement s'appuie sur des serveurs ntp internes permettant la synchronisation des équipements d'un même parc. |
48 | 32 | Benjamin Bohard | |
49 | 31 | Benjamin Bohard | h3. Recommandation 4 |
50 | 31 | Benjamin Bohard | |
51 | 31 | Benjamin Bohard | Lors du dimensionnement des équipements, l’estimation de l’espace de stockage nécessaire |
52 | 31 | Benjamin Bohard | à la conservation locale des journaux est indispensable. |
53 | 32 | Benjamin Bohard | |
54 | 32 | Benjamin Bohard | *EOLE* |
55 | 32 | Benjamin Bohard | Le partitionnement n'est pas conditionné à l'utilisation du module. Le volume de la partition montée sur /var est variable selon les modules : |
56 | 32 | Benjamin Bohard | |
57 | 32 | Benjamin Bohard | * 2.3 : |
58 | 32 | Benjamin Bohard | |
59 | 32 | Benjamin Bohard | * *amon* : 700 1500 *-1* ext4 |
60 | 32 | Benjamin Bohard | * *scribe* : 3000 6000 *9000* ext4 |
61 | 32 | Benjamin Bohard | * *horus* : 3000 9000 *15000* ext4 |
62 | 32 | Benjamin Bohard | * *sphynx* : 700 1500 *-1* ext4 |
63 | 32 | Benjamin Bohard | * *seshat* : 2048 2048 *-1* ext4 |
64 | 32 | Benjamin Bohard | * *zephir* : 700 1500 *-1* ext4 |
65 | 32 | Benjamin Bohard | * *amonecole* : 8096 15360 *20480* ext4 |
66 | 32 | Benjamin Bohard | * *amonhorus* : 8096 15360 *20480* ext4 |
67 | 32 | Benjamin Bohard | * *amonecole-eclair* : 8096 15360 *20480* ext4 |
68 | 32 | Benjamin Bohard | * *zephirlog* : 10240 10240 *-1* ext4 |
69 | 32 | Benjamin Bohard | * 2.4 : |
70 | 32 | Benjamin Bohard | |
71 | 32 | Benjamin Bohard | * *amon* : 700 1500 *-1* ext4 |
72 | 32 | Benjamin Bohard | * *scribe* : 3000 6000 *9000* ext4 |
73 | 32 | Benjamin Bohard | * *horus* : 3000 9000 *15000* ext4 |
74 | 32 | Benjamin Bohard | * *sphynx* : 700 1500 *-1* ext4 |
75 | 32 | Benjamin Bohard | * *seshat* : 2048 1024 *-1* ext4 |
76 | 32 | Benjamin Bohard | * *zephir* : 700 1500 *-1* ext4 |
77 | 32 | Benjamin Bohard | * *amonecole* : 8096 15360 *20480* ext4 |
78 | 32 | Benjamin Bohard | * *amonhorus* : 8096 15360 *20480* ext4 |
79 | 32 | Benjamin Bohard | * *amonecole-eclair* : 8096 15360 *20480* ext4 |
80 | 32 | Benjamin Bohard | * *zephirlog* : 10240 10240 *-1* ext4 |
81 | 32 | Benjamin Bohard | * *sentinelle* : 2048 20480 *-1* ext4 |
82 | 32 | Benjamin Bohard | * *thot* : 2048 20480 *-1* ext4 |
83 | 1 | Benjamin Bohard | |
84 | 34 | Benjamin Bohard | De plus, il n'y a pas une partition spécifique pour le point de montage /var/log excepté pour le module *sentinelle* en 2.3. |
85 | 31 | Benjamin Bohard | |
86 | 31 | Benjamin Bohard | h3. Recommandation 5 |
87 | 31 | Benjamin Bohard | |
88 | 31 | Benjamin Bohard | Les journaux doivent être automatiquement exportés sur une machine physique différente |
89 | 31 | Benjamin Bohard | de celle qui les a générés. |
90 | 31 | Benjamin Bohard | |
91 | 35 | Benjamin Bohard | *EOLE* |
92 | 35 | Benjamin Bohard | L'export des journaux passant par rsyslog peut être automatisé. |
93 | 35 | Benjamin Bohard | |
94 | 31 | Benjamin Bohard | h3. Recommandation 6 |
95 | 31 | Benjamin Bohard | |
96 | 31 | Benjamin Bohard | Les journaux de l’ensemble des équipements du système d’information doivent être trans- |
97 | 31 | Benjamin Bohard | férés sur un ou plusieurs serveurs centraux dédiés. |
98 | 31 | Benjamin Bohard | |
99 | 37 | Benjamin Bohard | *EOLE* |
100 | 37 | Benjamin Bohard | La disponibilité des divers protocoles mis en œuvre permet de centraliser les journaux de tous les équipements d'un réseau a priori. |
101 | 37 | Benjamin Bohard | L'envoi depuis une même machine ne peut toutefois pas être réparti sur plusieurs serveurs centraux. |
102 | 37 | Benjamin Bohard | |
103 | 31 | Benjamin Bohard | h3. Recommandation 7 |
104 | 31 | Benjamin Bohard | |
105 | 31 | Benjamin Bohard | Si le parc d’équipements qui génère des journaux est important, le serveur central devra |
106 | 31 | Benjamin Bohard | être redondé afin d’accroître la disponibilité du service de collecte de journaux. |
107 | 31 | Benjamin Bohard | |
108 | 36 | Benjamin Bohard | *EOLE* |
109 | 36 | Benjamin Bohard | Pas de mécanisme de redondance prévu pour le serveur de centralisation des journaux à ce stade. |
110 | 36 | Benjamin Bohard | |
111 | 31 | Benjamin Bohard | h3. Recommandation 8 |
112 | 31 | Benjamin Bohard | |
113 | 31 | Benjamin Bohard | Si la taille ou la typologie du système d’information le nécessite, une approche hiérarchique |
114 | 31 | Benjamin Bohard | pour l’organisation des serveurs de collecte doit être retenue. |
115 | 31 | Benjamin Bohard | |
116 | 38 | Benjamin Bohard | *EOLE* |
117 | 39 | Benjamin Bohard | Une approche hiérarchique est possible, tous les modules pouvant émettre et réceptionner les journaux. |
118 | 39 | Benjamin Bohard | Cependant, l'identification de l'émetteur primaire peut poser problème : l'option de routage des messages choisie pour raison de performance n'identifie que le dernier serveur de la chaîne de transmission. |
119 | 40 | Benjamin Bohard | Le problème de performance observé avec l'option qui permet d'identifier l'émetteur est dû à des requête dns nombreuses. |
120 | 38 | Benjamin Bohard | |
121 | 31 | Benjamin Bohard | h3. Recommandation 9 |
122 | 31 | Benjamin Bohard | |
123 | 31 | Benjamin Bohard | Si le contexte le permet, un transfert en temps réel des journaux sur les serveurs centraux |
124 | 1 | Benjamin Bohard | doit être privilégié. |
125 | 40 | Benjamin Bohard | |
126 | 40 | Benjamin Bohard | *EOLE* |
127 | 40 | Benjamin Bohard | Ce fonctionnement est permis |
128 | 31 | Benjamin Bohard | |
129 | 31 | Benjamin Bohard | h3. Recommandation 10 |
130 | 31 | Benjamin Bohard | |
131 | 31 | Benjamin Bohard | Il est recommandé de ne pas effectuer de traitement sur les journaux avant leur transfert. |
132 | 31 | Benjamin Bohard | |
133 | 41 | Benjamin Bohard | *EOLE* |
134 | 41 | Benjamin Bohard | |
135 | 41 | Benjamin Bohard | Le seul traitement (à ma connaissance) qui intervient est l'anonymisation des logs de surfs ; ce traitement ne touche pas aux journaux originaux. |
136 | 41 | Benjamin Bohard | |
137 | 31 | Benjamin Bohard | h3. Recommandation 11 |
138 | 31 | Benjamin Bohard | |
139 | 31 | Benjamin Bohard | Il est recommandé d’utiliser des protocoles d’envoi de journaux basés sur TCP pour fia- |
140 | 31 | Benjamin Bohard | biliser le transfert de données entre les machines émettrices et les serveurs centraux. |
141 | 31 | Benjamin Bohard | |
142 | 42 | Benjamin Bohard | *EOLE* |
143 | 42 | Benjamin Bohard | En envoi depuis un module EOLE, seuls les protocoles connectés sont autorisés dans l'interface de configuration : RELP et TLS over TCP. |
144 | 42 | Benjamin Bohard | Il y a cependant une demande insistante pour permettre l'envoi en UDP. |
145 | 42 | Benjamin Bohard | |
146 | 31 | Benjamin Bohard | h3. Recommandation 12 |
147 | 31 | Benjamin Bohard | |
148 | 31 | Benjamin Bohard | Il est recommandé d’utiliser des protocoles de transfert de journaux qui s’appuient sur des |
149 | 31 | Benjamin Bohard | mécanismes cryptographiques robustes en particulier lorsque les données transitent sur des |
150 | 31 | Benjamin Bohard | réseaux non maîtrisés. |
151 | 31 | Benjamin Bohard | |
152 | 43 | Benjamin Bohard | *EOLE* |
153 | 43 | Benjamin Bohard | rsyslog, utilisé pour la transmission des journaux, propose uniquement TLS over TCP. |
154 | 43 | Benjamin Bohard | |
155 | 31 | Benjamin Bohard | h3. Recommandation 13 |
156 | 31 | Benjamin Bohard | |
157 | 31 | Benjamin Bohard | Il est recommandé de bien contrôler la bande passante des flux réseau utilisée pour trans- |
158 | 31 | Benjamin Bohard | férer les journaux d’évènements. |
159 | 31 | Benjamin Bohard | |
160 | 44 | Benjamin Bohard | *EOLE* |
161 | 44 | Benjamin Bohard | La distribution n'intègre, actuellement, pas d'outils de qos permettant de gérer la bande passante en fonction du port ou de marquer le paquet concernant l'émission des journaux. |
162 | 44 | Benjamin Bohard | |
163 | 31 | Benjamin Bohard | h3. Recommandation 14 |
164 | 31 | Benjamin Bohard | |
165 | 31 | Benjamin Bohard | Lorsque le besoin de sécurité pour le transfert des journaux est important, il doit se faire |
166 | 31 | Benjamin Bohard | sur un réseau d’administration dédié. |
167 | 31 | Benjamin Bohard | |
168 | 31 | Benjamin Bohard | h3. Recommandation 15 |
169 | 31 | Benjamin Bohard | |
170 | 31 | Benjamin Bohard | S’il n’existe pas de réseaux d’administration dans l’architecture pour accueillir les serveurs |
171 | 31 | Benjamin Bohard | de journalisation, ils doivent être placés dans une zone interne non exposée directement à |
172 | 31 | Benjamin Bohard | des réseaux qui ne sont pas de confiance (par exemple Internet). |
173 | 31 | Benjamin Bohard | |
174 | 31 | Benjamin Bohard | h3. Recommandation 16 |
175 | 31 | Benjamin Bohard | |
176 | 31 | Benjamin Bohard | Une partition disque doit être dédiée au stockage des journaux d’évènements sur les |
177 | 31 | Benjamin Bohard | équipements qui les génèrent ou qui les centralisent. |
178 | 31 | Benjamin Bohard | |
179 | 45 | Benjamin Bohard | *EOLE* |
180 | 46 | Benjamin Bohard | Voir recommandation 4 : actuellement, seul le module sentinelle 2.3 prévoit une partition à part pour les logs. |
181 | 45 | Benjamin Bohard | |
182 | 31 | Benjamin Bohard | h3. Recommandation 17 |
183 | 31 | Benjamin Bohard | |
184 | 31 | Benjamin Bohard | Il est recommandé d’adopter une arborescence pour le stockage des journaux d’évènements. |
185 | 31 | Benjamin Bohard | |
186 | 47 | Benjamin Bohard | *EOLE* |
187 | 47 | Benjamin Bohard | Une arborescence personnalisable via des filtres rsyslog est proposée dans les modules EOLE. |
188 | 47 | Benjamin Bohard | |
189 | 31 | Benjamin Bohard | h3. Recommandation 18 |
190 | 31 | Benjamin Bohard | |
191 | 31 | Benjamin Bohard | Une politique de rotation des journaux d’évènements doit être formalisée et mise en œuvre |
192 | 31 | Benjamin Bohard | sur l’ensemble des équipements du système de journalisation. |
193 | 31 | Benjamin Bohard | |
194 | 48 | Benjamin Bohard | *EOLE* |
195 | 48 | Benjamin Bohard | Une politique de rotation par défaut est utilisée lorsque certains journaux ne bénéficient pas d'une rotation. |
196 | 48 | Benjamin Bohard | |
197 | 31 | Benjamin Bohard | h3. Recommandation 19 |
198 | 31 | Benjamin Bohard | |
199 | 31 | Benjamin Bohard | La durée de conservation des fichiers de journaux étant soumise à des contraintes légales |
200 | 31 | Benjamin Bohard | et réglementaires, il convient d’en prendre connaissance pour définir les moyens techniques |
201 | 31 | Benjamin Bohard | nécessaire à l’archivage des journaux. |
202 | 31 | Benjamin Bohard | |
203 | 49 | Benjamin Bohard | *EOLE* |
204 | 49 | Benjamin Bohard | Les journaux du proxy sont les seuls sauvegardés en plus d'être conservés sur la machine pour une durée de 1 an. |
205 | 49 | Benjamin Bohard | |
206 | 31 | Benjamin Bohard | h3. Recommandation 20 |
207 | 31 | Benjamin Bohard | |
208 | 31 | Benjamin Bohard | L’accès aux journaux doit être limité en écriture à un nombre restreint de comptes ayant |
209 | 31 | Benjamin Bohard | le besoin d’en connaître. |
210 | 31 | Benjamin Bohard | |
211 | 50 | Benjamin Bohard | *EOLE* |
212 | 50 | Benjamin Bohard | Le répertoire des journaux est la propriété de syslog:adm |
213 | 50 | Benjamin Bohard | |
214 | 31 | Benjamin Bohard | h3. Recommandation 21 |
215 | 31 | Benjamin Bohard | |
216 | 31 | Benjamin Bohard | Les processus de journalisation et de collecte doivent être exécutés par des comptes dis- |
217 | 31 | Benjamin Bohard | posant de peu privilèges. |
218 | 31 | Benjamin Bohard | |
219 | 51 | Benjamin Bohard | *EOLE* |
220 | 51 | Benjamin Bohard | rsyslog abandonne les privilèges root (nécessaires pour ouvrir le port 512 udp) et écrit les journaux en tant que syslog. |
221 | 51 | Benjamin Bohard | |
222 | 31 | Benjamin Bohard | h3. Recommandation 22 |
223 | 31 | Benjamin Bohard | |
224 | 31 | Benjamin Bohard | Un outil spécifique doit être utilisé pour une meilleure exploitation des journaux présents |
225 | 31 | Benjamin Bohard | sur les serveurs centraux, la détection d’évènements anormaux en sera facilitée. |
226 | 31 | Benjamin Bohard | |
227 | 31 | Benjamin Bohard | h3. Recommandation 23 |
228 | 31 | Benjamin Bohard | |
229 | 31 | Benjamin Bohard | Les comptes ayant accès à l’outil de consultation centralisée des journaux doivent être |
230 | 31 | Benjamin Bohard | associés à des rôles prédéterminés. |
231 | 31 | Benjamin Bohard | |
232 | 31 | Benjamin Bohard | h3. Recommandation 24 |
233 | 31 | Benjamin Bohard | |
234 | 31 | Benjamin Bohard | L’espace disque des équipements qui génèrent et stockent les journaux doit être surpervisé. |
235 | 1 | Benjamin Bohard | |
236 | 1 | Benjamin Bohard | h2. Contextes de journalisation |
237 | 1 | Benjamin Bohard | |
238 | 1 | Benjamin Bohard | La gestion des journaux d'une distribution EOLE est guidée par différents contextes d'utilisation. Un contexte d'utilisation est une topologie réseau particulière de machines, virtuelles ou physiques, à laquelle s'applique une politique de journalisation commune. Les rôles possibles dans un réseau sont : |
239 | 1 | Benjamin Bohard | * une machine émettrice : transmission des journaux à une machine réceptrice ; |
240 | 1 | Benjamin Bohard | * une machine réceptrice : conservation des journaux locaux, réception des journaux de machines émettrices. |
241 | 1 | Benjamin Bohard | |
242 | 9 | Daniel Dehennin | Les machines émettrices se déclinent en matériel réseau, machines physiques et conteneurs LXC. Cette distinction introduit une distinction entre les machines réceptrices qui ne gèrent que les conteneurs qu'elles hébergent et celles qui centralisent les journaux de matériels physiques distants. Certains modules de la distribution EOLE se prêtent plus à l'exécution d'un rôle particulier. ZéphirLog, notamment a été créé pour assumer le rôle de machine réceptrice vis-à-vis des autres modules. Cependant, la modularité permet à un autre module de jouer ce rôle. L'utilisation du mode conteneur ou non est plus contraignant sur les rôles par contre. |
243 | 1 | Benjamin Bohard | |
244 | 1 | Benjamin Bohard | h3. Solution EOLE en mode non conteneur |
245 | 1 | Benjamin Bohard | |
246 | 1 | Benjamin Bohard | Une machine en mode non conteneur est le cas le plus simple : |
247 | 1 | Benjamin Bohard | |
248 | 1 | Benjamin Bohard | * un seul environnement d'exécution ; |
249 | 1 | Benjamin Bohard | * la machine peut jouer les rôles de machine émettrice et transmettre ses journaux et de machine réceptrice et recevoir des journaux. |
250 | 1 | Benjamin Bohard | |
251 | 1 | Benjamin Bohard | h3. Solution EOLE en mode conteneur |
252 | 1 | Benjamin Bohard | |
253 | 1 | Benjamin Bohard | Une machine en mode conteneur amène un autre niveau : |
254 | 1 | Benjamin Bohard | |
255 | 1 | Benjamin Bohard | * une hiérarchie d'environnement d'exécution à deux niveaux : |
256 | 1 | Benjamin Bohard | ** un maître ; |
257 | 1 | Benjamin Bohard | ** des conteneurs ; |
258 | 1 | Benjamin Bohard | * les conteneurs jouent le rôle de machines émettrices et transmettent leurs journaux ; |
259 | 1 | Benjamin Bohard | * les maîtres jouent forcément le rôle de machines réceptrices, au moins vis-à-vis des conteneurs, et peuvent jouer le rôle de machines émettrices et transmettre leurs journaux. |
260 | 1 | Benjamin Bohard | |
261 | 1 | Benjamin Bohard | h3. Autre |
262 | 1 | Benjamin Bohard | |
263 | 1 | Benjamin Bohard | Le reste du matériel participant au réseau (équipement réseau, machines clientes hors solutions EOLE, etc.) jouent le rôle de machines émettrices dans la structure envisagée. |
264 | 1 | Benjamin Bohard | |
265 | 1 | Benjamin Bohard | h2. La problématique de la transmission réseau |
266 | 1 | Benjamin Bohard | |
267 | 1 | Benjamin Bohard | Une machine réceptrice peut potentiellement recevoir de plusieurs sources : |
268 | 1 | Benjamin Bohard | * des conteneurs ; |
269 | 1 | Benjamin Bohard | * des machines distantes pouvant utiliser le protocole RELP ; |
270 | 1 | Benjamin Bohard | * des machines distantes pouvant utiliser le protocole TCP ; |
271 | 1 | Benjamin Bohard | * des machines distantes pouvant utiliser le protocole UDP. |
272 | 1 | Benjamin Bohard | |
273 | 2 | Benjamin Bohard | La transmission devant être fiable, le protocole RELP est à privilégier, ainsi que l'usage des queues, essentiellement pour les journaux à valeur légale. Le protocole TCP est encore incontournable pour l'utilisation d'une liaison sécurisée avec GnuTLS. Le protocole UDP est à réserver pour les équipements ne pouvant utiliser le protocole TCP ou RELP. |
274 | 1 | Benjamin Bohard | |
275 | 1 | Benjamin Bohard | Il doit être possible de trier les journaux par zone émettrice. Différentes granularités sont envisageables pour définir les zones émettrices. La granularité la plus grossière distingue la zone interne (les conteneurs) de la zone externe. |
276 | 1 | Benjamin Bohard | |
277 | 1 | Benjamin Bohard | h2. Les services |
278 | 1 | Benjamin Bohard | |
279 | 1 | Benjamin Bohard | Les services prioritaires sont ceux dont les journaux ont une valeur légale et une durée de rétention prévue par la loi. |
280 | 1 | Benjamin Bohard | |
281 | 1 | Benjamin Bohard | h2. La configuration de rsyslog dans EOLE |
282 | 1 | Benjamin Bohard | |
283 | 1 | Benjamin Bohard | Le service rsyslog est démarré par défaut sur tous les modules EOLE, maître et conteneurs. |
284 | 1 | Benjamin Bohard | La configuration minimale est composée d'une partie commune et de fichiers de configuration rattachés aux différents services. |
285 | 12 | Benjamin Bohard | La stratégie d'agrégation des journaux est décidée à l'instanciation. |
286 | 1 | Benjamin Bohard | |
287 | 1 | Benjamin Bohard | h3. La configuration minimale |
288 | 1 | Benjamin Bohard | |
289 | 11 | Daniel Dehennin | * Sur le maître, sur un module en mode conteneur ou non conteneur : |
290 | 11 | Daniel Dehennin | ** Un dispatcher pour les journaux locaux et conteneurs dans @/var/log/rsyslog/local/<APPLI>/<APPLI>.<SEVERITY>.log@ |
291 | 11 | Daniel Dehennin | ** Un dispatcher pour les journaux des hôtes réseaux dans @/var/log/rsyslog/remote/<HOSTNAME>/<APPLI>/<APPLI>.<SEVERITY>.log@ |
292 | 11 | Daniel Dehennin | * Sur les conteneurs : |
293 | 11 | Daniel Dehennin | ** Des règles avec mise en place de queues pour les journaux sensibles |
294 | 11 | Daniel Dehennin | ** Une règle globale pour le reste |
295 | 1 | Benjamin Bohard | |
296 | 12 | Benjamin Bohard | h3. L'agrégation |
297 | 1 | Benjamin Bohard | |
298 | 12 | Benjamin Bohard | L'agrégation des journaux des conteneurs sur le maître est imposée. |
299 | 1 | Benjamin Bohard | |
300 | 12 | Benjamin Bohard | Le choix du mode d'agrégation porte sur : |
301 | 1 | Benjamin Bohard | * l'activation de l'envoi : spécification de l'adresse de destination, protocole imposé (RELP), port imposé (20515 ?) ; |
302 | 1 | Benjamin Bohard | * l'activation de la réception : |
303 | 1 | Benjamin Bohard | ** réception de clients utilisant RELP : schéma de répartition, liste des adresses des clients, port imposé (20515 ?) ; |
304 | 1 | Benjamin Bohard | ** réception de clients utilisant TCP : schéma de répartition, liste des adresses des clients, port imposé (10514 ?) ; |
305 | 1 | Benjamin Bohard | ** réception de clients utilisant UDP : schéma de répartition, liste des adresses des clients, port imposé (514) ; |
306 | 1 | Benjamin Bohard | * utilisation du chiffrement : emplacement du certificat. |
307 | 1 | Benjamin Bohard | |
308 | 21 | Benjamin Bohard | h3. L'organisation de la configuration (< EOLE 2.3.9) |
309 | 1 | Benjamin Bohard | |
310 | 1 | Benjamin Bohard | La lecture séquentielle de la configuration de rsyslog impose une organisation particulière : |
311 | 1 | Benjamin Bohard | * les modules (entrée, sortie) doivent être chargés avant d'être utilisés ; |
312 | 1 | Benjamin Bohard | * les ensembles de règles doivent être spécifiés avant d'être associés aux entrées ; |
313 | 1 | Benjamin Bohard | * les modèles doivent être spécifiés avant d'être utilisés ; |
314 | 1 | Benjamin Bohard | * les messages ne doivent pas être sortis de la chaîne de traitement prématurément. |
315 | 1 | Benjamin Bohard | |
316 | 10 | Benjamin Bohard | Plages de fichiers : |
317 | 10 | Benjamin Bohard | |
318 | 10 | Benjamin Bohard | 00-09 : fichiers EOLE contenant la configuration générique en début de chaîne de traitement |
319 | 10 | Benjamin Bohard | |
320 | 16 | Benjamin Bohard | 10-19 : fichiers EOLE de règles non-destructrices |
321 | 10 | Benjamin Bohard | |
322 | 16 | Benjamin Bohard | 20-49 : fichiers de règles personnalisées non-destructrices |
323 | 10 | Benjamin Bohard | |
324 | 10 | Benjamin Bohard | 50 : seuil d'utilisation de & ~ pour enlever les messages de la file après traitement |
325 | 10 | Benjamin Bohard | |
326 | 16 | Benjamin Bohard | 50-79 : fichiers de règles personnalisées destructrices |
327 | 10 | Benjamin Bohard | |
328 | 16 | Benjamin Bohard | 80-98 : fichiers EOLE de règles destructrices |
329 | 10 | Benjamin Bohard | |
330 | 18 | Benjamin Bohard | 99-general_dispatch.conf |
331 | 1 | Benjamin Bohard | |
332 | 1 | Benjamin Bohard | h4. rsyslog.conf |
333 | 10 | Benjamin Bohard | |
334 | 19 | Benjamin Bohard | eole-common:source:tmpl/rsyslog.conf |
335 | 1 | Benjamin Bohard | <pre> |
336 | 16 | Benjamin Bohard | $ModLoad imuxsock # provides support for local system logging |
337 | 16 | Benjamin Bohard | $ModLoad immark # provides --MARK-- message capability |
338 | 1 | Benjamin Bohard | |
339 | 16 | Benjamin Bohard | # commented in container (eole-conteneur/lxc_install.sh l.216-7) |
340 | 16 | Benjamin Bohard | $ModLoad imklog # provides kernel logging support (previously done by rklogd) |
341 | 16 | Benjamin Bohard | $KLogPath /proc/kmsg |
342 | 16 | Benjamin Bohard | |
343 | 16 | Benjamin Bohard | $PreserveFQDN on |
344 | 16 | Benjamin Bohard | |
345 | 16 | Benjamin Bohard | # utilisation du protocole RELP |
346 | 16 | Benjamin Bohard | %if %%mode_conteneur_actif == 'oui' or %%activer_reception_logs_relp == 'oui' |
347 | 16 | Benjamin Bohard | |
348 | 16 | Benjamin Bohard | $ModLoad imrelp |
349 | 16 | Benjamin Bohard | $InputRELPServerRun 20514 |
350 | 16 | Benjamin Bohard | |
351 | 16 | Benjamin Bohard | %end if |
352 | 16 | Benjamin Bohard | |
353 | 16 | Benjamin Bohard | # utilisation du protocole TCP |
354 | 16 | Benjamin Bohard | %if %%activer_reception_logs_tcp == 'oui' |
355 | 16 | Benjamin Bohard | |
356 | 16 | Benjamin Bohard | $ModLoad imtcp |
357 | 16 | Benjamin Bohard | |
358 | 16 | Benjamin Bohard | # utilisation du chiffrement |
359 | 16 | Benjamin Bohard | %if %%rsyslog_tls == "oui" and (%%rsyslog_envoi_tls == "oui" or %%rsyslog_reception_tls == "oui") |
360 | 16 | Benjamin Bohard | |
361 | 16 | Benjamin Bohard | # configuration general pour le chiffrement |
362 | 16 | Benjamin Bohard | $DefaultNetstreamDriver gtls |
363 | 16 | Benjamin Bohard | $DefaultNetstreamDriverCAFile %%rsyslog_ca_file |
364 | 16 | Benjamin Bohard | $DefaultNetstreamDriverCertFile /etc/ssl/certs/eole.crt |
365 | 16 | Benjamin Bohard | $DefaultNetstreamDriverKeyFile /etc/ssl/certs/eole.key |
366 | 16 | Benjamin Bohard | |
367 | 16 | Benjamin Bohard | |
368 | 16 | Benjamin Bohard | # configuration propre a la reception |
369 | 16 | Benjamin Bohard | %if %%rsyslog_reception_tls == "oui" |
370 | 16 | Benjamin Bohard | |
371 | 16 | Benjamin Bohard | $InputTCPServerStreamDriverMode 1 |
372 | 16 | Benjamin Bohard | $InputTCPServerStreamDriverAuthMode anon |
373 | 16 | Benjamin Bohard | %for %%client_ip in %%adresses_ip_clients_logs_tcp |
374 | 16 | Benjamin Bohard | $InputTCPServerStreamDriverPermittedPeer %%client_ip |
375 | 16 | Benjamin Bohard | %end for |
376 | 16 | Benjamin Bohard | |
377 | 16 | Benjamin Bohard | %end if |
378 | 16 | Benjamin Bohard | %end if |
379 | 16 | Benjamin Bohard | |
380 | 16 | Benjamin Bohard | $AllowedSender TCP, %%custom_join(%%adresses_ip_clients_logs_tcp, separator=', ') |
381 | 16 | Benjamin Bohard | |
382 | 16 | Benjamin Bohard | $InputTCPServerRun 10514 |
383 | 16 | Benjamin Bohard | %end if |
384 | 16 | Benjamin Bohard | |
385 | 16 | Benjamin Bohard | # utilisation du protocole UDP |
386 | 16 | Benjamin Bohard | %if %%activer_reception_logs_udp == 'oui' |
387 | 16 | Benjamin Bohard | |
388 | 16 | Benjamin Bohard | $ModLoad imudp |
389 | 16 | Benjamin Bohard | $AllowedSender UDP, %%custom_join(%%adresses_ip_clients_logs_udp, separator=', ') |
390 | 16 | Benjamin Bohard | $UDPServerRun 514 |
391 | 16 | Benjamin Bohard | |
392 | 16 | Benjamin Bohard | %end if |
393 | 16 | Benjamin Bohard | |
394 | 16 | Benjamin Bohard | ########################### |
395 | 16 | Benjamin Bohard | #### GLOBAL DIRECTIVES #### |
396 | 16 | Benjamin Bohard | ########################### |
397 | 16 | Benjamin Bohard | |
398 | 16 | Benjamin Bohard | # |
399 | 16 | Benjamin Bohard | # Use traditional timestamp format. |
400 | 16 | Benjamin Bohard | # To enable high precision timestamps, comment out the following line. |
401 | 16 | Benjamin Bohard | # |
402 | 16 | Benjamin Bohard | $ActionFileDefaultTemplate RSYSLOG_TraditionalFileFormat |
403 | 16 | Benjamin Bohard | |
404 | 16 | Benjamin Bohard | # Filter duplicated messages |
405 | 16 | Benjamin Bohard | $RepeatedMsgReduction on |
406 | 16 | Benjamin Bohard | |
407 | 16 | Benjamin Bohard | # |
408 | 16 | Benjamin Bohard | # Set the default permissions for all log files. |
409 | 16 | Benjamin Bohard | # |
410 | 16 | Benjamin Bohard | $FileOwner syslog |
411 | 16 | Benjamin Bohard | $FileGroup adm |
412 | 16 | Benjamin Bohard | $FileCreateMode 0640 |
413 | 16 | Benjamin Bohard | $DirCreateMode 0755 |
414 | 16 | Benjamin Bohard | $Umask 0022 |
415 | 16 | Benjamin Bohard | $PrivDropToUser syslog |
416 | 16 | Benjamin Bohard | $PrivDropToGroup adm |
417 | 16 | Benjamin Bohard | |
418 | 16 | Benjamin Bohard | # |
419 | 16 | Benjamin Bohard | # Include all config files in /etc/rsyslog.d/ |
420 | 16 | Benjamin Bohard | # |
421 | 16 | Benjamin Bohard | $IncludeConfig /etc/rsyslog.d/*.conf |
422 | 16 | Benjamin Bohard | |
423 | 1 | Benjamin Bohard | </pre> |
424 | 10 | Benjamin Bohard | |
425 | 14 | Benjamin Bohard | h4. rsyslog.d/ |
426 | 1 | Benjamin Bohard | |
427 | 19 | Benjamin Bohard | eole-common:source:tmpl/00-aggregation.conf |
428 | 14 | Benjamin Bohard | <pre> |
429 | 1 | Benjamin Bohard | %if %%is_defined('activer_envoi_logs') and %%activer_envoi_logs == 'oui' |
430 | 1 | Benjamin Bohard | |
431 | 14 | Benjamin Bohard | %if %%rsyslog_envoi_tls == 'non' |
432 | 14 | Benjamin Bohard | |
433 | 14 | Benjamin Bohard | $ModLoad omrelp |
434 | 1 | Benjamin Bohard | |
435 | 14 | Benjamin Bohard | %end if |
436 | 1 | Benjamin Bohard | |
437 | 14 | Benjamin Bohard | $WorkDirectory /var/log/rsyslog |
438 | 1 | Benjamin Bohard | $ActionQueueType LinkedList |
439 | 1 | Benjamin Bohard | %if %%is_defined('activate_squid_realtime') and %%activate_squid_realtime == 'non' |
440 | 1 | Benjamin Bohard | $ActionQueueDequeueTimeBegin %%squid_heure_debut |
441 | 14 | Benjamin Bohard | $ActionQueueDequeueTimeEnd %%squid_heure_fin |
442 | 1 | Benjamin Bohard | %end if |
443 | 14 | Benjamin Bohard | $ActionQueueFileName relpact |
444 | 14 | Benjamin Bohard | $ActionQueueSaveOnShutdown on |
445 | 14 | Benjamin Bohard | |
446 | 14 | Benjamin Bohard | %if %%rsyslog_envoi_tls == 'oui' |
447 | 14 | Benjamin Bohard | |
448 | 14 | Benjamin Bohard | $ActionSendStreamDriverAuthMode anon |
449 | 14 | Benjamin Bohard | $ActionSendStreamDriverPermittedPeer %%adresse_ip_serveur_logs |
450 | 14 | Benjamin Bohard | $ActionSendStreamDriverMode 1 |
451 | 14 | Benjamin Bohard | :programname, isequal, "squid" @@%%adresse_ip_serveur_logs:10514 |
452 | 14 | Benjamin Bohard | |
453 | 14 | Benjamin Bohard | $ActionSendStreamDriverAuthMode anon |
454 | 14 | Benjamin Bohard | $ActionSendStreamDriverPermittedPeer %%adresse_ip_serveur_logs |
455 | 14 | Benjamin Bohard | $ActionSendStreamDriverMode 1 |
456 | 14 | Benjamin Bohard | :programname, !isequal, "squid" @@%%adresse_ip_serveur_logs:10514 |
457 | 14 | Benjamin Bohard | |
458 | 14 | Benjamin Bohard | %else |
459 | 14 | Benjamin Bohard | |
460 | 14 | Benjamin Bohard | :programname, isequal, "squid" :omrelp:%%adresse_ip_serveur_logs:20514 |
461 | 14 | Benjamin Bohard | |
462 | 14 | Benjamin Bohard | :programname, !isequal, "squid" :omrelp:%%adresse_ip_serveur_logs:20514 |
463 | 14 | Benjamin Bohard | |
464 | 14 | Benjamin Bohard | %end if |
465 | 1 | Benjamin Bohard | |
466 | 1 | Benjamin Bohard | %else |
467 | 1 | Benjamin Bohard | # cette machine n'est pas configurée pour transmettre ses logs à une machine distante |
468 | 1 | Benjamin Bohard | %end if |
469 | 14 | Benjamin Bohard | |
470 | 1 | Benjamin Bohard | </pre> |
471 | 1 | Benjamin Bohard | |
472 | 19 | Benjamin Bohard | eole-common:source:tmpl/00-conteneur.conf |
473 | 14 | Benjamin Bohard | |
474 | 1 | Benjamin Bohard | <pre> |
475 | 14 | Benjamin Bohard | $ModLoad omrelp |
476 | 14 | Benjamin Bohard | |
477 | 16 | Benjamin Bohard | $WorkDirectory /var/log/rsyslog |
478 | 1 | Benjamin Bohard | $ActionQueueType LinkedList |
479 | 1 | Benjamin Bohard | |
480 | 14 | Benjamin Bohard | %if %%is_defined('activate_squid_realtime') and %%activate_squid_realtime == 'non' |
481 | 14 | Benjamin Bohard | |
482 | 14 | Benjamin Bohard | $ActionQueueDequeueTimeBegin %%squid_heure_debut |
483 | 1 | Benjamin Bohard | $ActionQueueDequeueTimeEnd %%squid_heure_fin |
484 | 1 | Benjamin Bohard | |
485 | 1 | Benjamin Bohard | %end if |
486 | 14 | Benjamin Bohard | |
487 | 1 | Benjamin Bohard | $ActionQueueFileName relpact |
488 | 1 | Benjamin Bohard | $ActionQueueSaveOnShutdown on |
489 | 14 | Benjamin Bohard | |
490 | 1 | Benjamin Bohard | :programname, isequal, "squid" :omrelp:%%adresse_ip_br0:20514 |
491 | 14 | Benjamin Bohard | & ~ |
492 | 1 | Benjamin Bohard | |
493 | 14 | Benjamin Bohard | *.* :omrelp:%%adresse_ip_br0:20514 |
494 | 1 | Benjamin Bohard | & ~ |
495 | 1 | Benjamin Bohard | </pre> |
496 | 14 | Benjamin Bohard | |
497 | 19 | Benjamin Bohard | eole-common:source:tmpl/01-templates.conf |
498 | 14 | Benjamin Bohard | <pre> |
499 | 1 | Benjamin Bohard | $template DynLocalDispatch, "/var/log/rsyslog/local/%programname%/%programname%.%syslogseverity-text%.log" |
500 | 14 | Benjamin Bohard | |
501 | 20 | Benjamin Bohard | $template DynRemoteDispatch, "/var/log/rsyslog/remote/%hostname:::secpath-replace%/%programname%/%programname%.%syslogseverity-text%.log" |
502 | 1 | Benjamin Bohard | </pre> |
503 | 19 | Benjamin Bohard | eole-common:source:tmpl/10-erreurs.conf |
504 | 1 | Benjamin Bohard | |
505 | 1 | Benjamin Bohard | <pre> |
506 | 1 | Benjamin Bohard | *.err /var/log/syslog |
507 | 1 | Benjamin Bohard | </pre> |
508 | 1 | Benjamin Bohard | |
509 | 16 | Benjamin Bohard | 20-auth.conf |
510 | 16 | Benjamin Bohard | <pre> |
511 | 16 | Benjamin Bohard | $template DynLocalAuth, "/var/log/rsyslog/local/auth/auth.%syslogseverity-text%.log" |
512 | 20 | Benjamin Bohard | $template DynRemotelAuth, "/var/log/rsyslog/remote/%hostname:::secpath-replace%/auth/auth.%syslogseverity-text%.log" |
513 | 16 | Benjamin Bohard | %if %%activer_reception_logs == 'non' |
514 | 16 | Benjamin Bohard | auth, authpriv.* ?DynLocalAuth |
515 | 16 | Benjamin Bohard | %else |
516 | 16 | Benjamin Bohard | if $syslogfacility-text startswith 'auth' and $fromhost-ip startswith '127' then ?DynLocalAuth |
517 | 16 | Benjamin Bohard | %if %%mode_conteneur_actif == 'oui' |
518 | 16 | Benjamin Bohard | if $syslogfacility-text startswith 'auth' and $fromhost-ip startswith '%%adresse_ip_br0[:-2]' then ?DynLocalAuth |
519 | 16 | Benjamin Bohard | %end if |
520 | 16 | Benjamin Bohard | if $syslogfacility-text startswith 'auth' and not ($fromhost-ip startswith '%%adresse_ip_br0[:-2]' or $fromhost-ip startswith '127') then ?DynRemoteAuth |
521 | 1 | Benjamin Bohard | %end if |
522 | 16 | Benjamin Bohard | </pre> |
523 | 1 | Benjamin Bohard | |
524 | 16 | Benjamin Bohard | 50-79….conf : les règles personnalisées pour filter les services individuellement sur le modèle de 80-rsyslog.conf |
525 | 16 | Benjamin Bohard | |
526 | 19 | Benjamin Bohard | eole-common:source:tmpl/80-rsyslog.conf |
527 | 1 | Benjamin Bohard | <pre> |
528 | 16 | Benjamin Bohard | $template DynLocalRsyslog, "/var/log/rsyslog/local/rsyslog/rsyslog.%syslogseverity-text%.log" |
529 | 20 | Benjamin Bohard | $template DynRemoteRsyslog, "/var/log/rsyslog/remote/%hostname:::secpath-replace%/rsyslog/rsyslog.%syslogseverity-text%.log" |
530 | 16 | Benjamin Bohard | %if %%activer_reception_logs == 'non' |
531 | 16 | Benjamin Bohard | :programname, startswith, "rsyslog" ?DynLocalRsyslog |
532 | 16 | Benjamin Bohard | %else |
533 | 16 | Benjamin Bohard | if $programname startswith 'rsyslog' and $fromhost-ip startswith '127' then ?DynLocalRsyslog |
534 | 1 | Benjamin Bohard | & ~ |
535 | 16 | Benjamin Bohard | %if %%mode_conteneur_actif == 'oui' |
536 | 16 | Benjamin Bohard | if $programname startswith 'rsyslog' and $fromhost-ip startswith '%%adresse_ip_br0[:-2]' then ?DynLocalRsyslog |
537 | 16 | Benjamin Bohard | & ~ |
538 | 16 | Benjamin Bohard | %end if |
539 | 1 | Benjamin Bohard | :programname, startswith, "rsyslog" ?DynRemoteRsyslog |
540 | 16 | Benjamin Bohard | & ~ |
541 | 16 | Benjamin Bohard | %end if |
542 | 16 | Benjamin Bohard | |
543 | 1 | Benjamin Bohard | </pre> |
544 | 15 | Benjamin Bohard | |
545 | 19 | Benjamin Bohard | eole-common:source:tmpl/99-general_dispatch.conf |
546 | 15 | Benjamin Bohard | |
547 | 15 | Benjamin Bohard | <pre> |
548 | 16 | Benjamin Bohard | %if %%activer_reception_logs == 'non' |
549 | 16 | Benjamin Bohard | *.* ?DynLocalDispatch |
550 | 16 | Benjamin Bohard | %else |
551 | 15 | Benjamin Bohard | :fromhost-ip, isequal, "127" ?DynLocalDispatch |
552 | 1 | Benjamin Bohard | & ~ |
553 | 15 | Benjamin Bohard | |
554 | 15 | Benjamin Bohard | %if %%mode_conteneur_actif == 'oui' |
555 | 15 | Benjamin Bohard | |
556 | 15 | Benjamin Bohard | :fromhost-ip, startswith, "%%adresse_ip_brO[:-2]" ?DynLocalDispatch |
557 | 15 | Benjamin Bohard | & ~ |
558 | 15 | Benjamin Bohard | %end if |
559 | 15 | Benjamin Bohard | |
560 | 15 | Benjamin Bohard | *.* ?DynRemoteDispatch |
561 | 5 | Benjamin Bohard | %end if |
562 | 1 | Benjamin Bohard | </pre> |
563 | 1 | Benjamin Bohard | Actuellement, les services qui disposent de règles spécifiques sont squid, charon, iptables, ufw, smbd, nmbd, named, exim4. Une règle générale peut être ajoutée pour traiter les autres cas. Ces règles personnalisées ne sont pas essentielles sauf dans le cas de fork (exemple de rsyslog qui ajoute le numéro de PID au nom de programme de ses différentes instances). Dans ce cas, il faut une règle avec une expression régulière ou startswith (ou utiliser la facility si elle est univoque). |
564 | 1 | Benjamin Bohard | |
565 | 22 | Benjamin Bohard | h3. L'organisation de la configuration (>= EOLE 2.3.9) |
566 | 22 | Benjamin Bohard | |
567 | 22 | Benjamin Bohard | La lecture séquentielle de la configuration de rsyslog impose une organisation particulière : |
568 | 22 | Benjamin Bohard | * les modules (entrée, sortie) doivent être chargés avant d'être utilisés ; |
569 | 22 | Benjamin Bohard | * les ensembles de règles doivent être spécifiés avant d'être associés aux entrées ; |
570 | 22 | Benjamin Bohard | * les modèles doivent être spécifiés avant d'être utilisés ; |
571 | 22 | Benjamin Bohard | * les messages ne doivent pas être sortis de la chaîne de traitement prématurément. |
572 | 22 | Benjamin Bohard | |
573 | 22 | Benjamin Bohard | Sous-dossiers et fichiers du répertoire /etc/rsyslog.d : |
574 | 22 | Benjamin Bohard | |
575 | 22 | Benjamin Bohard | * aggregation/ : contient les règles pour l'envoi des journaux à une machine distante ; |
576 | 22 | Benjamin Bohard | * templates/ : contient les modèles dynamiques (peuvent aussi être placés en en-tête des filtres) ; |
577 | 22 | Benjamin Bohard | * eole_views/ : contient les vues (filtres qui ne sortent pas les messages de la chaîne de traitement) définies par EOLE ; |
578 | 22 | Benjamin Bohard | * custom_views/ : contient les vues (filtres qui ne sortent pas les messages de la chaîne de traitement) définies localement ; |
579 | 22 | Benjamin Bohard | * custom_traps/ : contient les pièges (filtres qui sortent les messages de la chaîne de traitement) définies localement ; |
580 | 22 | Benjamin Bohard | * eole_traps/ : contient les pièges (filtres qui sortent les messages de la chaîne de traitement) définies par EOLE ; |
581 | 22 | Benjamin Bohard | * default_dispatch.conf : filtre générique. |
582 | 22 | Benjamin Bohard | |
583 | 22 | Benjamin Bohard | h4. rsyslog.conf |
584 | 22 | Benjamin Bohard | |
585 | 25 | Benjamin Bohard | eole-common:source:tmpl/rsyslog.conf@476ca7cd |
586 | 22 | Benjamin Bohard | |
587 | 22 | Benjamin Bohard | Le changement porte sur l'inclusion des fragments de configuration et le déplacement de la directive d'import du module omrelp. |
588 | 22 | Benjamin Bohard | <pre> |
589 | 22 | Benjamin Bohard | # /etc/rsyslog.conf Configuration file for rsyslog. |
590 | 22 | Benjamin Bohard | # |
591 | 22 | Benjamin Bohard | # For more information see |
592 | 22 | Benjamin Bohard | # /usr/share/doc/rsyslog-doc/html/rsyslog_conf.html |
593 | 22 | Benjamin Bohard | # |
594 | 22 | Benjamin Bohard | # Default logging rules can be found in /etc/rsyslog.d/50-default.conf |
595 | 22 | Benjamin Bohard | |
596 | 22 | Benjamin Bohard | |
597 | 22 | Benjamin Bohard | ################# |
598 | 22 | Benjamin Bohard | #### MODULES #### |
599 | 22 | Benjamin Bohard | ################# |
600 | 22 | Benjamin Bohard | |
601 | 22 | Benjamin Bohard | $ModLoad imuxsock # provides support for local system logging |
602 | 22 | Benjamin Bohard | $ModLoad immark # provides --MARK-- message capability |
603 | 22 | Benjamin Bohard | |
604 | 22 | Benjamin Bohard | # commented in container (eole-conteneur/lxc_install.sh l.216-7) |
605 | 22 | Benjamin Bohard | $ModLoad imklog # provides kernel logging support (previously done by rklogd) |
606 | 22 | Benjamin Bohard | $KLogPath /proc/kmsg |
607 | 22 | Benjamin Bohard | |
608 | 22 | Benjamin Bohard | $PreserveFQDN on |
609 | 22 | Benjamin Bohard | |
610 | 22 | Benjamin Bohard | # utilisation du chiffrement |
611 | 22 | Benjamin Bohard | %if %%activer_log_distant == 'oui' and ((%%activer_reception_logs_tcp == 'oui' and %%rsyslog_reception_tls == 'oui' ) or (%%activer_envoi_logs == "oui" and %%rsyslog_envoi_tls == "oui")) |
612 | 22 | Benjamin Bohard | |
613 | 22 | Benjamin Bohard | # configuration general pour le chiffrement |
614 | 22 | Benjamin Bohard | $DefaultNetstreamDriver gtls |
615 | 22 | Benjamin Bohard | $DefaultNetstreamDriverCAFile %%rsyslog_ca_file |
616 | 22 | Benjamin Bohard | $DefaultNetstreamDriverCertFile %%rsyslog_cert_file |
617 | 22 | Benjamin Bohard | $DefaultNetstreamDriverKeyFile %%rsyslog_privkey_file |
618 | 22 | Benjamin Bohard | |
619 | 22 | Benjamin Bohard | %end if |
620 | 22 | Benjamin Bohard | |
621 | 22 | Benjamin Bohard | # utilisation du protocole RELP |
622 | 22 | Benjamin Bohard | %if %%mode_conteneur_actif == 'oui' or (%%activer_log_distant == 'oui' and %%activer_reception_logs == 'oui' and %%activer_reception_logs_relp == 'oui') |
623 | 22 | Benjamin Bohard | |
624 | 22 | Benjamin Bohard | $ModLoad imrelp |
625 | 22 | Benjamin Bohard | $InputRELPServerRun 20514 |
626 | 22 | Benjamin Bohard | |
627 | 22 | Benjamin Bohard | %end if |
628 | 22 | Benjamin Bohard | |
629 | 22 | Benjamin Bohard | # utilisation du protocole TCP |
630 | 22 | Benjamin Bohard | %if %%activer_log_distant == 'oui' and %%activer_reception_logs == 'oui' and %%activer_reception_logs_tcp == 'oui' |
631 | 22 | Benjamin Bohard | |
632 | 22 | Benjamin Bohard | $ModLoad imtcp |
633 | 22 | Benjamin Bohard | |
634 | 22 | Benjamin Bohard | # configuration TLS propre a la reception |
635 | 22 | Benjamin Bohard | %if %%rsyslog_reception_tls == "oui" |
636 | 22 | Benjamin Bohard | |
637 | 22 | Benjamin Bohard | $InputTCPServerStreamDriverMode 1 |
638 | 22 | Benjamin Bohard | $InputTCPServerStreamDriverAuthMode x509/name |
639 | 22 | Benjamin Bohard | $IncludeConfig /etc/rsyslog.d/incoming_peers/*.peers |
640 | 22 | Benjamin Bohard | |
641 | 22 | Benjamin Bohard | %end if |
642 | 22 | Benjamin Bohard | |
643 | 22 | Benjamin Bohard | $InputTCPServerRun 10514 |
644 | 22 | Benjamin Bohard | %end if |
645 | 22 | Benjamin Bohard | |
646 | 22 | Benjamin Bohard | # utilisation du protocole UDP |
647 | 22 | Benjamin Bohard | %if %%activer_log_distant == 'oui' and %%activer_reception_logs == 'oui' and %%activer_reception_logs_udp == 'oui' |
648 | 22 | Benjamin Bohard | |
649 | 22 | Benjamin Bohard | $ModLoad imudp |
650 | 22 | Benjamin Bohard | $AllowedSender UDP%slurp |
651 | 22 | Benjamin Bohard | %for %%adresse in %%adresses_ip_clients_logs_udp |
652 | 22 | Benjamin Bohard | , %%adresse/%%calc_classe(%%adresse.netmask_client_logs_udp)%slurp |
653 | 22 | Benjamin Bohard | %end for |
654 | 22 | Benjamin Bohard | |
655 | 22 | Benjamin Bohard | $UDPServerRun 514 |
656 | 22 | Benjamin Bohard | |
657 | 22 | Benjamin Bohard | %end if |
658 | 22 | Benjamin Bohard | |
659 | 22 | Benjamin Bohard | ########################### |
660 | 22 | Benjamin Bohard | #### GLOBAL DIRECTIVES #### |
661 | 22 | Benjamin Bohard | ########################### |
662 | 22 | Benjamin Bohard | |
663 | 22 | Benjamin Bohard | # |
664 | 22 | Benjamin Bohard | # Use traditional timestamp format. |
665 | 22 | Benjamin Bohard | # To enable high precision timestamps, comment out the following line. |
666 | 22 | Benjamin Bohard | # |
667 | 22 | Benjamin Bohard | $ActionFileDefaultTemplate RSYSLOG_TraditionalFileFormat |
668 | 22 | Benjamin Bohard | |
669 | 22 | Benjamin Bohard | # Filter duplicated messages |
670 | 22 | Benjamin Bohard | $RepeatedMsgReduction on |
671 | 22 | Benjamin Bohard | |
672 | 22 | Benjamin Bohard | # |
673 | 22 | Benjamin Bohard | # Set the default permissions for all log files. |
674 | 22 | Benjamin Bohard | # |
675 | 22 | Benjamin Bohard | $DirOwner syslog |
676 | 22 | Benjamin Bohard | $DirGroup adm |
677 | 22 | Benjamin Bohard | $FileOwner syslog |
678 | 22 | Benjamin Bohard | $FileGroup adm |
679 | 22 | Benjamin Bohard | $FileCreateMode 0640 |
680 | 22 | Benjamin Bohard | $DirCreateMode 0755 |
681 | 22 | Benjamin Bohard | $Umask 0022 |
682 | 22 | Benjamin Bohard | $PrivDropToUser syslog |
683 | 22 | Benjamin Bohard | $PrivDropToGroup adm |
684 | 22 | Benjamin Bohard | |
685 | 22 | Benjamin Bohard | %if %%activer_log_distant == 'oui' and %%activer_envoi_logs == 'oui' and %%rsyslog_envoi_tls == 'non' |
686 | 22 | Benjamin Bohard | # |
687 | 22 | Benjamin Bohard | # Use omrelp module to send logs. |
688 | 22 | Benjamin Bohard | # |
689 | 22 | Benjamin Bohard | |
690 | 22 | Benjamin Bohard | $ModLoad omrelp |
691 | 22 | Benjamin Bohard | %end if |
692 | 22 | Benjamin Bohard | |
693 | 22 | Benjamin Bohard | # |
694 | 22 | Benjamin Bohard | # Include config files in /etc/rsyslog.d/ |
695 | 22 | Benjamin Bohard | # |
696 | 22 | Benjamin Bohard | $IncludeConfig /etc/rsyslog.d/aggregation/*.conf |
697 | 22 | Benjamin Bohard | $IncludeConfig /etc/rsyslog.d/templates/*.conf |
698 | 22 | Benjamin Bohard | $IncludeConfig /etc/rsyslog.d/eole-views/*.conf |
699 | 22 | Benjamin Bohard | $IncludeConfig /etc/rsyslog.d/custom-views/*.conf |
700 | 22 | Benjamin Bohard | $IncludeConfig /etc/rsyslog.d/custom-traps/*.conf |
701 | 22 | Benjamin Bohard | $IncludeConfig /etc/rsyslog.d/eole-traps/*.conf |
702 | 22 | Benjamin Bohard | $IncludeConfig /etc/rsyslog.d/default_dispatching.conf |
703 | 22 | Benjamin Bohard | </pre> |
704 | 22 | Benjamin Bohard | |
705 | 22 | Benjamin Bohard | h4. rsyslog.d/ |
706 | 22 | Benjamin Bohard | |
707 | 28 | Benjamin Bohard | h5. aggregation |
708 | 28 | Benjamin Bohard | |
709 | 28 | Benjamin Bohard | Le répertoire aggregation regroupe les règles pour l'envoi à un serveur distant. |
710 | 26 | Benjamin Bohard | eole-common:source:tmpl/rsyslog_aggregation.conf@476ca7cd |
711 | 23 | Benjamin Bohard | |
712 | 23 | Benjamin Bohard | L'import du module omrelp est supprimé (ajouté dans rsyslog.conf) et la possibilité de définir une plage horaire pour l'envoi différé est ajoutée (expérimental). |
713 | 22 | Benjamin Bohard | <pre> |
714 | 22 | Benjamin Bohard | %if %%activer_log_distant == 'oui' and %%activer_envoi_logs == 'oui' and %%envoyer_tous_logs == 'oui' |
715 | 22 | Benjamin Bohard | |
716 | 22 | Benjamin Bohard | $WorkDirectory /var/log/rsyslog/queues |
717 | 22 | Benjamin Bohard | $ActionQueueType LinkedList |
718 | 22 | Benjamin Bohard | %if %%utiliser_rsyslog_plage_envoi_globale == 'oui' and %%rsyslog_plage_globale_heure_debut != '' and %%rsyslog_plage_globale_heure_fin != '' |
719 | 22 | Benjamin Bohard | $ActionQueueSize 10000 |
720 | 22 | Benjamin Bohard | $ActionQueueDequeueTimeBegin %%rsyslog_plage_globale_heure_debut |
721 | 22 | Benjamin Bohard | $ActionQueueDequeueTimeEnd %%rsyslog_plage_globale_heure_fin |
722 | 22 | Benjamin Bohard | %end if |
723 | 22 | Benjamin Bohard | $ActionQueueFileName send_all |
724 | 22 | Benjamin Bohard | $ActionQueueSaveOnShutdown on |
725 | 22 | Benjamin Bohard | |
726 | 22 | Benjamin Bohard | %if %%rsyslog_envoi_tls == 'oui' |
727 | 22 | Benjamin Bohard | $ActionSendStreamDriverAuthMode x509/name |
728 | 22 | Benjamin Bohard | $IncludeConfig /etc/rsyslog.d/outgoing_peers/*.peers |
729 | 22 | Benjamin Bohard | $ActionSendStreamDriverMode 1 |
730 | 22 | Benjamin Bohard | *.* @@%%adresse_ip_serveur_logs:10514 |
731 | 22 | Benjamin Bohard | %else |
732 | 22 | Benjamin Bohard | *.* :omrelp:%%adresse_ip_serveur_logs:20514 |
733 | 22 | Benjamin Bohard | %end if |
734 | 22 | Benjamin Bohard | |
735 | 22 | Benjamin Bohard | %else |
736 | 22 | Benjamin Bohard | # Cette machine n'est pas configurée pour transmettre ses logs en globalité à une machine distante. |
737 | 27 | Benjamin Bohard | %end if |
738 | 27 | Benjamin Bohard | </pre> |
739 | 27 | Benjamin Bohard | |
740 | 28 | Benjamin Bohard | h5. templates |
741 | 27 | Benjamin Bohard | |
742 | 28 | Benjamin Bohard | Le dossier templates regroupe les directives template de rsyslog. |
743 | 28 | Benjamin Bohard | |
744 | 1 | Benjamin Bohard | eole-common:source:tmpl/rsyslog_templates.conf@476ca7cd |
745 | 26 | Benjamin Bohard | <pre> |
746 | 22 | Benjamin Bohard | $template DynLocalDispatch, "/var/log/rsyslog/local/%programname%/%programname%.%syslogseverity-text%.log" |
747 | 22 | Benjamin Bohard | |
748 | 1 | Benjamin Bohard | $template DynRemoteDispatch, "/var/log/rsyslog/remote/%fromhost%/%programname%/%programname%.%syslogseverity-text%.log" |
749 | 22 | Benjamin Bohard | </pre> |
750 | 1 | Benjamin Bohard | |
751 | 27 | Benjamin Bohard | eole-common:source:tmpl/rsyslog_errors.conf@476ca7cd |
752 | 22 | Benjamin Bohard | <pre> |
753 | 26 | Benjamin Bohard | *.err /var/log/syslog |
754 | 27 | Benjamin Bohard | </pre> |
755 | 22 | Benjamin Bohard | |
756 | 28 | Benjamin Bohard | h5. eole-views |
757 | 28 | Benjamin Bohard | |
758 | 28 | Benjamin Bohard | Le dossier eole-views contient les règles "passantes" élaborées par EOLE. |
759 | 27 | Benjamin Bohard | eole-common:source:tmpl/rsyslog_views_auth.conf@476ca7cd |
760 | 1 | Benjamin Bohard | <pre> |
761 | 1 | Benjamin Bohard | $template DynLocalAuth, "/var/log/rsyslog/local/auth/auth.%syslogseverity-text%.log" |
762 | 1 | Benjamin Bohard | $template DynRemoteAuth, "/var/log/rsyslog/remote/%fromhost%/auth/auth.%syslogseverity-text%.log" |
763 | 1 | Benjamin Bohard | %if %%activer_reception_logs == 'non' |
764 | 1 | Benjamin Bohard | auth, authpriv.* ?DynLocalAuth |
765 | 1 | Benjamin Bohard | %else |
766 | 1 | Benjamin Bohard | if $syslogfacility-text startswith 'auth' and $fromhost-ip startswith '127' then ?DynLocalAuth |
767 | 1 | Benjamin Bohard | %if %%mode_conteneur_actif == 'oui' |
768 | 1 | Benjamin Bohard | if $syslogfacility-text startswith 'auth' and ($fromhost-ip startswith '%%adresse_ip_br0[:-2]' or $fromhost startswith '%%adresse_ip_br0[:-2]') then ?DynLocalAuth |
769 | 1 | Benjamin Bohard | if $syslogfacility-text startswith 'auth' and not ($fromhost-ip startswith '%%adresse_ip_br0[:-2]' or $fromhost startswith '%%adresse_ip_br0[:-2]' or $fromhost-ip startswith '127') then ?DynRemoteAuth |
770 | 1 | Benjamin Bohard | %else |
771 | 1 | Benjamin Bohard | if $syslogfacility-text startswith 'auth' and not ($fromhost-ip startswith '%%adresse_ip_br0[:-2]' or $fromhost startswith '%%adresse_ip_br0[:-2]' or $fromhost-ip startswith '127') then ?DynRemoteAuth |
772 | 1 | Benjamin Bohard | %end if |
773 | 1 | Benjamin Bohard | %end if |
774 | 1 | Benjamin Bohard | </pre> |
775 | 1 | Benjamin Bohard | |
776 | 28 | Benjamin Bohard | h5. custom-views |
777 | 28 | Benjamin Bohard | |
778 | 28 | Benjamin Bohard | Le dossier custom-views est laissé à la disposition des administrateurs souhaitant insérer des règles "passantes". |
779 | 28 | Benjamin Bohard | |
780 | 28 | Benjamin Bohard | Les règles personnalisées pour filtrer les services individuellement suivent le modèle de la précédente. |
781 | 28 | Benjamin Bohard | |
782 | 28 | Benjamin Bohard | h5. custom-traps |
783 | 28 | Benjamin Bohard | |
784 | 28 | Benjamin Bohard | Le dossier custom-traps est laissé à la disposition des administrateurs souhaitant insérer des règles "non passantes". |
785 | 28 | Benjamin Bohard | |
786 | 28 | Benjamin Bohard | Les règles personnalisées pour filtrer les services individuellement suivent le modèle de la suivante. |
787 | 28 | Benjamin Bohard | |
788 | 28 | Benjamin Bohard | h5. eole-traps |
789 | 28 | Benjamin Bohard | |
790 | 28 | Benjamin Bohard | Le dossier eole-traps contient les règles "non passantes" élaborées par EOLE. |
791 | 22 | Benjamin Bohard | |
792 | 22 | Benjamin Bohard | eole-common:source:tmpl/rsyslog_traps_rsyslog.conf@476ca7cd |
793 | 22 | Benjamin Bohard | <pre> |
794 | 22 | Benjamin Bohard | $template DynLocalRsyslog, "/var/log/rsyslog/local/rsyslog/rsyslog.%syslogseverity-text%.log" |
795 | 27 | Benjamin Bohard | $template DynRemoteRsyslog, "/var/log/rsyslog/remote/%fromhost%/rsyslog/rsyslog.%syslogseverity-text%.log" |
796 | 22 | Benjamin Bohard | %if %%activer_reception_logs == 'non' |
797 | 1 | Benjamin Bohard | :programname, startswith, "rsyslog" ?DynLocalRsyslog |
798 | 1 | Benjamin Bohard | %else |
799 | 1 | Benjamin Bohard | if $programname startswith 'rsyslog' and $fromhost-ip startswith '127' then ?DynLocalRsyslog |
800 | 1 | Benjamin Bohard | & ~ |
801 | 1 | Benjamin Bohard | %if %%mode_conteneur_actif == 'oui' |
802 | 1 | Benjamin Bohard | if $programname startswith 'rsyslog' and $fromhost-ip startswith '%%adresse_ip_br0[:-2]' then ?DynLocalRsyslog |
803 | 1 | Benjamin Bohard | & ~ |
804 | 22 | Benjamin Bohard | %end if |
805 | 1 | Benjamin Bohard | :programname, startswith, "rsyslog" ?DynRemoteRsyslog |
806 | 22 | Benjamin Bohard | & ~ |
807 | 22 | Benjamin Bohard | %end if |
808 | 1 | Benjamin Bohard | |
809 | 22 | Benjamin Bohard | </pre> |
810 | 22 | Benjamin Bohard | |
811 | 29 | Benjamin Bohard | h5. default_dispatching.conf |
812 | 29 | Benjamin Bohard | |
813 | 27 | Benjamin Bohard | eole-common:source:tmpl/rsyslog_default_dispatching.conf@476ca7cd |
814 | 22 | Benjamin Bohard | <pre> |
815 | 27 | Benjamin Bohard | :fromhost-ip, startswith, "127" ?DynLocalDispatch |
816 | 22 | Benjamin Bohard | & ~ |
817 | 22 | Benjamin Bohard | %if %%mode_conteneur_actif == 'oui' |
818 | 27 | Benjamin Bohard | :fromhost-ip, startswith, "%%adresse_ip_br0[:-2]" ?DynLocalDispatch |
819 | 22 | Benjamin Bohard | & ~ |
820 | 27 | Benjamin Bohard | # Use fromhost in addition to fromhost-ip since there are issues |
821 | 27 | Benjamin Bohard | # http://dev-eole.ac-dijon.fr/issues/1204#note-4 |
822 | 27 | Benjamin Bohard | :fromhost, startswith, "%%adresse_ip_br0[:-2]" ?DynLocalDispatch |
823 | 27 | Benjamin Bohard | & ~ |
824 | 22 | Benjamin Bohard | %end if |
825 | 27 | Benjamin Bohard | :fromhost, isequal, "" ?DynLocalDispatch |
826 | 27 | Benjamin Bohard | & ~ |
827 | 27 | Benjamin Bohard | %if %%activer_log_distant == 'oui' and %%activer_reception_logs == 'oui' |
828 | 22 | Benjamin Bohard | *.* ?DynRemoteDispatch |
829 | 27 | Benjamin Bohard | & ~ |
830 | 22 | Benjamin Bohard | %end if |
831 | 22 | Benjamin Bohard | </pre> |
832 | 27 | Benjamin Bohard | |
833 | 30 | Benjamin Bohard | h4. Couverture des règles |
834 | 30 | Benjamin Bohard | |
835 | 30 | Benjamin Bohard | Actuellement, les services qui disposent de règles spécifiques sont squid, charon, iptables, ufw, smbd, nmbd, named, exim4. Une règle générale traite les autres cas. Ces règles personnalisées ne sont pas essentielles sauf dans le cas de fork (exemple de rsyslog qui ajoute le numéro de PID au nom de programme de ses différentes instances). Dans ce cas, il faut une règle avec une expression régulière ou startswith (ou utiliser la facility si elle est univoque). |
836 | 1 | Benjamin Bohard | |
837 | 1 | Benjamin Bohard | h3. Utilisation des ensembles de règles |
838 | 3 | Benjamin Bohard | |
839 | 1 | Benjamin Bohard | Les règles peuvent être regroupées et les groupes exécutées en fonction de la provenance des messages. La dissociation des ports pour les différentes sources permet d'exécuter des jeux de règles différents pour les messages originaires des conteneurs, de machines distantes ou les messages locaux. |
840 | 1 | Benjamin Bohard | |
841 | 1 | Benjamin Bohard | Le protocole RELP ne bénéficie pas de la possibilité d'utiliser les ensembles de règles (la directive pour associer un ensemble donné à une connection RELP n'apparaît que dans la version 6.3.6 : la version prévue pour precise est la 5.8.6). |
842 | 8 | Daniel Dehennin | |
843 | 1 | Benjamin Bohard | h2. L'arborescence typique |
844 | 8 | Daniel Dehennin | |
845 | 8 | Daniel Dehennin | <pre> |
846 | 8 | Daniel Dehennin | /var/log/syslog |
847 | 8 | Daniel Dehennin | ├── local |
848 | 8 | Daniel Dehennin | │ ├── exim |
849 | 8 | Daniel Dehennin | │ │ ├── exim.alert |
850 | 8 | Daniel Dehennin | │ │ ├── exim.info |
851 | 8 | Daniel Dehennin | │ │ └── exim.notice |
852 | 8 | Daniel Dehennin | │ └── smbd |
853 | 8 | Daniel Dehennin | │ ├── smbd.debug |
854 | 8 | Daniel Dehennin | │ └── smbd.info |
855 | 8 | Daniel Dehennin | └── remote |
856 | 8 | Daniel Dehennin | ├── 10.11.12.13 |
857 | 8 | Daniel Dehennin | │ ├── aaa |
858 | 8 | Daniel Dehennin | │ │ └── aaa.info |
859 | 8 | Daniel Dehennin | │ └── ipsec |
860 | 8 | Daniel Dehennin | │ └── ipsec.error |
861 | 8 | Daniel Dehennin | ├── 15.16.17.18 |
862 | 8 | Daniel Dehennin | │ ├── apache2 |
863 | 8 | Daniel Dehennin | │ │ └── apache2.error |
864 | 8 | Daniel Dehennin | │ └── kerberos |
865 | 8 | Daniel Dehennin | │ └── kerberos.info |
866 | 8 | Daniel Dehennin | └── sw12-4 |
867 | 6 | Benjamin Bohard | └── aaa |
868 | 6 | Benjamin Bohard | └── aaa.info |
869 | 6 | Benjamin Bohard | </pre> |
870 | 6 | Benjamin Bohard | |
871 | 6 | Benjamin Bohard | h2. Rotation des journaux |
872 | 6 | Benjamin Bohard | |
873 | 7 | Benjamin Bohard | h3. Principes de logrotate |
874 | 7 | Benjamin Bohard | |
875 | 6 | Benjamin Bohard | * options globales : des options peuvent être définies en début de fichier ; |
876 | 6 | Benjamin Bohard | * -overriding : les fichiers sont lus séquentiellement, celui qui parle en dernier à raison- ; |
877 | 6 | Benjamin Bohard | * gobbling : les règles spécifques peuvent utiliser le wildcard * (problème des redondances de règles cependant. |
878 | 7 | Benjamin Bohard | |
879 | 1 | Benjamin Bohard | h3. Mise en œuvre de logrotate |
880 | 1 | Benjamin Bohard | |
881 | 1 | Benjamin Bohard | Pour composer avec les contraintes de logrotate, on ajoute .log à la fin de chaque fihier. Cela permet d'utiliser le globbing sur un dossier en excluant les journaux archivés. |