Mise en place d'un serveur SYSLOG

SYSLOG est un service issu du monde UNIX qui permet la centralisation des évènements au seins d'un réseau. Le serveur SYSLOG reçoit des évènements émis par des clients SYSLOG qui peuvent être des Imprimantes, des serveurs, des routeurs, des éléments actifs du réseau.

Outils

Le Logiciel utilisé dans notre cas est le Serveur SYSLOG (Kiwi Syslog Daemon) de Kiwi Enterprises[www.kiwisyslog.com]. Ce serveur existe en version Freeware. Il est complété de 2 outils intéressants dans le cadre de l'exploitation journalière.

• Le service de centralisation des messages SYSLOG Kiwi Syslog Daemon [KSD]
• Un outil de visualisation des logs Kiwi Log Viewer [KLW]
• Un outil de génération des messages à destination d'un serveur SYSLOG Kiwi Logger [KLog]

Mise en place

Télécharger une version à jours depuis le site Kiwi [Download].

Installer le programme sur la machine destinée à être le serveur SYSLOG.

La version à jours (à la date d'écriture de la fiche est la version 8.1.6).

• Exécution du programme Kiwi_Syslogd_8.1.6.setup.exe
• valider les "Terms and Consitions of use"
• Choisir l'installation comme un service pour ne plus se préoccuper du lancement de l'application et être sur que le serveur SYSLOG est disponible dès que la machine qui l'héberge est en fonction.

• Procéder à une installation normale

• Sauf cas particulier, l'installation du programme dans le l'arborescence "c:\Program Files" est souhaitable.

• une fois l'installation validée, le logicielest opération sur la machine. Il faut alors le lancer une première fois (ce qui est proposé par le programme d'Installation) et configurer l'Installation du service SyslogD. Choisir le menu [Manage\Install the Syslogd Service]

• Un petit tour dans le gestionnaire de service, nous permet en effet de vérifier la présence d'un nouveau service : "Kiwi Syslog Daemon" positionné en mode [Automatique].

• On peut alors démarrer le service soit via le gestionnaire de service, soit en redémarrant la machine, soit par l'option [Manage\Start the Syslogd Service] du Kiwi Syslog Service Manager.

• La configuration du service se fait ensuite par le menu [File\Setup]

• Pour rester cohérent avec le stockage des logs dans le dossier c:\Logs, modifier la configuration du stockage des fichiers vers le dossier c:\Logs\Syslog créé pour la circonstance.

 

Définir (ou redéfinir) une entrée DNS qui permet d'identifier le serveur SYSLOG (dans notre cas syslog.modomaine.local)

Modifier le script \Scripts\DNS\DNS-Setup-oceanis.cmd qui position la valeur du SYSLOG. L'entrée doit être un enregistrement CNAME qui référence l'adresse de la machine choisie. Exemple :

• DNSCmd %DNS1% /recordadd %Zone% syslog CNAME s3-pas01.modomaine.local. >>%LogFile%

Le serveur SYSLOG est maintenant connu comme syslog.modomaine.local

Analyser les messages au moyen de Kiwi Log Viewer.

Kiwi Kig Viewer est un petit programme qui s'installe sur un poste d'administration et qui permet de consulter dans un format compréhensible les messages syslog.

Pour s'en service, lancer le programme, puis [File\open] et sélectionner le fichier syslog-all.txt dans le dossier du serveur SYSLOG. Pour oceanis il s'agit de \\S3-PAS01\Logs$\Syslog\.

Le fichier syslog-all.txt contient tous les messages. Les autres fichiers sont les compilations des messages par jours.

En fonction des filtres mis en place, il est possible de mettre en valeur des événements précis (ici en rouge ceux liés à l'activité de S3-SVR02).

Envoie des messages dans un script

Les fichiers scripts peuvent utiliser les messages SYSLOG. Il suffit de rajouter quelques lignes de trace en utilisant l'outil Kiwi Logger. Exemple de son utilisation dans un script de test :

• Set Message="Etape 2 : Envoie d'un message Syslog"
• klog -h syslog.oceanis.local -F user -L Information -m %Message%

Le reste des commandes peut être obtenu par :

• c:\>klog -?
• Usage: klog -u <port> -h <host> -p <priority> -f <facility no> -l <level no> -F <facility name> -L <level name> -r <process name> -t -w -s -m "Message to send"
• <port> Target port to send to (default is 514)
• <host> Host (or IP) to send to (default is localhost)
• <priority> Priority to use
• <facility no> Facility to use (as a value)
• <level no> Level to use (as a value)
• <facility name> Facility to use (as a name)
• <level name> Level to use (as a name)
• <process name> Process name to use (RFC3164)
•  
• Set the syslog priority using -p, or -l and -f, or -L and -F.
  -r <process name> sends messages in RFC3164 format. An originating process name
  is needed.
  Use TCP/IP with -t.
  -w sends the same message every second until a key press.
  -i gets message text from standard input. -s logs errors silently.
• Example:
  Send a TCP syslog message to host 'rotterdam', with priority user.notice:
  
  klog -t -h syslog.mondomaine.local -F user -L notice -m "Message Utilisateur de niveau Notification"

Liens

• Définition de Syslog chez Gils Gayraud [gilisa.free.fr/outils/syslog ]

• Présentation de Syslog par Wikipedia [Wikipedia]

Les autres fiches

O01 : Accès rapide à l'annuaire interne (Active Directory) via le carnet d'adresse
O02 : Utilisation de la messagerie.
O03 : Envoyer de gros documents
O04 : Utilisation des Dates dans les noms de fichiers (ou pour le tri)
O05 : Archiver un dossier Outlook manuellement
O06 : Déplacer le dossier Documents and Settings
O07 : TSE : Installation d'une application en mode terminal Server
O08 : Création de nouveaux Utilisateurs [10/2007]
O09 : Un exemple de Script de backup
O10 : Activer la recherche automatique du Proxy
O11 : Périmètre d'utilisation de VNC, recommandation et optimisation
O12 : Visualiser l'Active Directory dans l'Explorateur
O13 : Que se passe t'il dans mon script, présentation des mécanismes de trace [10/2007]
O14 : Mise en place d'un serveur SYSLOG [11/2007]
O15 : Configuration du réseau par Script (En travaux)
O16 : Relance d'un pool d'Applications (IIS 6+) [08/2008]
O17 : AD - défragmentation Offline de la base de données [09/2008]

Q99 : Fini pour le moment ?