[Résolu] Centralisation de Syslog

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. C'est à l'heure actuelle le forum le plus actif du site.

Modérateur: modos Ixus

[Résolu] Centralisation de Syslog

Messagepar tocqueville » 21 Juil 2005 20:51

Bonjour à tous,

J'utilise plusieurs VPN pour interconnecter differents sites.

Afin de centraliser les logs des différents systemes IPCOP, je pensais les renvoyer sur le systeme IPCOP principal mais cela ne fonctionne pas et malgre de nombreuses recherches sur ce forum je seche.

Ce que j'ai fait :

- sur un systeme distant pour test :
x Activation du transfert de log dans Journaux / Configuration des journaux
x Indication du systeme IPCOP principal (192.168.10.xxx via VPN)
Ce qui a bien mis a jour /etc/syslog.conf en rajoutant *.* @192.168.10.xxx

- sur le systeme principal
x Modification de /etc/rc.d/rc.sysinit en rajoutant -m et -l avec l'ip du systeme distant comme suit :
/usr/sbin/syslogd -r -m 0 -l 192.168.20.xxx

Sauriez vous me dire ce que j'ai oublié ou m'expliquer pourquoi cela ne fonctionne pas ?

De plus j'ai lu qu'IPCOP ne loguait pas tous les evenements mais sans plus d'explication : pourriez vous me dire ce qui est exclu et comment eventuellement rajouter ces traces ?

Merci d'avance
Dernière édition par tocqueville le 03 Nov 2005 18:43, édité 1 fois au total.
Avatar de l’utilisateur
tocqueville
Second Maître
Second Maître
 
Messages: 36
Inscrit le: 09 Jan 2004 01:00
Localisation: France - Région Parisienne

Messagepar Gesp » 21 Juil 2005 21:09

Afin de centraliser les logs des différents systemes IPCOP, je pensais les renvoyer sur le systeme IPCOP principal mais cela ne fonctionne pas


IPCop gère lui-même son log ou le renvoie sur un serveur dédié mais il n'est pas prévu pour être serveur de log d'autres machines. Il faudrait changer la configuration, ouvrir les ports nécessaires.

De toute façon, je ne te conseillerais pas la solution que tu as envisagé.
Si un vpn ne fonctionne pas, tu n'auras aucun log.

Pour la configuration du log, c'est dans /etc/syslog.conf

Un des moyens de faire tomber un firewall, c'est de remplir son disque avec les logs des alertes.
Avatar de l’utilisateur
Gesp
Amiral
Amiral
 
Messages: 4481
Inscrit le: 29 Déc 2002 01:00

Messagepar tocqueville » 23 Juil 2005 05:03

Merci Gesp de toutes ces informations et je vais donc mettre en place une machine supplementaire comme "serveur de log" avec une autre distribution.

Concernant le risque de perte de log en cas de défaut du VPN, j'utilise l'addon logsend en parallele ce qui en limite l'incidence.

Quand a la saturation du disque j'avais pris ce risque en consideration et je l'avais calibre en consequence mais il est vrai qu'il semble plus judicieux de dedier une machine a ce seul usage.

Cependant, saurais tu me dire les ports a utiliser pour cet usage ?

Merci d'avance.
Avatar de l’utilisateur
tocqueville
Second Maître
Second Maître
 
Messages: 36
Inscrit le: 09 Jan 2004 01:00
Localisation: France - Région Parisienne

Messagepar supanim45 » 01 Août 2005 09:52

Saltu

J'utilie l'extension logsend et je reçoit bien les messages une fois par jour mais les messages m'indiquent qu'il ny a aucun logs (ce qui est faux)
Est ce que t'aurai quelque chose à me suggérer pour résoudre ce problème?


supanim45
supanim45
Second Maître
Second Maître
 
Messages: 30
Inscrit le: 21 Juil 2005 17:29

Messagepar tocqueville » 02 Août 2005 17:34

Salut

Logsend envoie plusieurs types de logs et certains peuvent effectivement etre vides mais d'autres doivent contenir des informations :
- Sont-ils tous vides dans ton cas ?
- Y a-t-il un contenu dans les differents journaux de la console d'administration ?
Avatar de l’utilisateur
tocqueville
Second Maître
Second Maître
 
Messages: 36
Inscrit le: 09 Jan 2004 01:00
Localisation: France - Région Parisienne

Messagepar supanim45 » 03 Août 2005 11:16

Je reçois 4 ou 5 fichiers de logs par jour (objet de chaque mail différent)
Et ils contiennent tous la même chose : aucun log n'est présent
pourtant quand je vais dans le fichiers messages et quand je regarde le contenu de content filter du journal, il y a des logs
supanim45
Second Maître
Second Maître
 
Messages: 30
Inscrit le: 21 Juil 2005 17:29


Retour vers IPCop

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité