[RESOLU] Serveur syslog et IPCOP

[castor18c]

Bonjour,

je cherche à utiliser les fonctionnalités de IPCOP pour sauvegarder les logs du proxy sur une machine externe.

J'ai bien lu la documentation sur le site de http://www.ipcop.org mais cette partie est vide... et je ne sais où chercher ni comment configurer correctement IPCOP...

Explication :
je dispose d'un serveur de log avec syslog-ng sur une Debian; je sais comment créer des règles pour écouter sur un flux udp ou tcp sur un réseau.
Une machine, sous IPCOP (1.4.15), fait donc office de proxy. Je souhaite exporter les logs du proxy (et tous les logs par la même occasion) sur le serveur de log ci-dessus.

Dans l'onglet "Log configuration", je clique sur la checkbox pour activer la fonctionnalité d'enregistrement des journaux à distance et je rentre l'adresse IP de mon serveur de log...

1ère question : Est-ce possible ? Si oui, avec syslog-ng ? Ou un autre système de serveur de log ? Lequel ?

2ème question : Où spécifie-t-on le port ? En effet, dans les règles d'enregistrement de log pour syslog-ng, je dois spécifier un port... Mais quel port ? Et avec quel protocol ? UDP ou TCP ?

En vous remerciant de votre aide,

Romain

[shwing]

je vais essayer de répondre à la 2ème question:
ip.ip.ip.ip:port
non ?

[castor18c]

J'ai essayé mais j'ai une erreur et les bords d'IPCOP deviennent rouges avec le message d'erreur suivant : "Adresse du serveur syslogd incorrecte"....

Romain

[jdh]

Il y a déjà eu une discussion sur ce sujet sur le site : http://forums.ixus.fr/viewtopic.php?t=37029

(NB: les autres logs peuvent aller sur n'importe quel serveur syslog avec udp/514)

[castor18c]

OK, merci pour le topic !

Pour info, voici la configuration à mettre pour avoir les logs IpCop sur le serveur de log

Côté IpCop
Activer l'enregistrement des logs à distance et mettre l'IP du serveur de log

Côté Serveur Log (mettre les règles dans les bonnes sections)
source IpCop {
udp( port(514) );
};

destination udpIpCop { file("/var/log/udpIpcop.log");};

log {
source(IpCop);
destination(udpIpCop);
};

Maintenant, je vais essayer de récuperer les logs du fichier access.log (même sujet indiqué mais pas de réponse donné). Si j'y arrive, je poste la réponse dans ce thread.

Merci pour cette aide.

[castor18c]

La solution que j'ai trouvé n'est pas ce qu'il y a de mieux mais elle fonctionne

Donc, j'édite le fichier /etc/logrotate.conf et j'éclate la règle de access.log qui est avec user_agent.log et referer.log...

Voici la règle pour access.log
/var/log/squid/access.log {
daily
copytruncate
ifempty
mail admin@example.com
missingok
}

Si pas d'email pour ceux qui sont contre, vous pouvez mettre une règle du genre
/var/log/squid/access.log {
daily
copytruncate
ifempty
prerotate
/usr/bin/scp /var/log/squid/access.log user@hote:/rep/`/bin/date +%Y%m%d`_access.log
endscript
missingok
}

Ceci est un exemple tout simple que j'ai testé, après avoir configuré scp pour l'utiliser avec des clefs. Ainsi, à chaque changement de fichier par logrotate (squid passe par cet utilitaire pour gérer les fichiers rotatifs), j'ai une copie sur mon serveur de log.

Pour vérifier que tout fonctionne bien, logrotate -v -f /etc/logrotate.conf et vérifier que votre email ou votre règle passe bien.

Au passage, j'ai du copier les binaires scp et ssh d'un de mes serveurs linux sur IpCop pour que scp fonctionne car ssh n'était pas présent sur la plate-forme... Je ne sais pas si cela est normal ou non (que ssh soit manquant) mais après avoir fait cette manip, le scp fonctionne

[jdh]

Bravo castor18c !

Voilà un bon tour d'horizon en pratique des possibilités de logrotate. C'est un produit plein de ressources ... Et c'est LA bonne réponse à la question. Enfin, moi, je trouve que c'est LA solution parce que c'est efficace d'agir directement avec justement le produit qui est prévu pour traiter les fichiers logs (et quel qu'ils soient).

Pour ma part, je considère qu'il faut donner la "bonne piste", pas forcément l'astuce "exacte" : un minimum de recherche est utile et facile puisqu'on sait que c'est là qu'il faut chercher. Mais c'est bien aussi de donner "exactement" la solution comme tu l'as fait castor18c.


(Je préfère évidemment un bon scp parce qu'en principe, si on veut transférer access.log c'est pour en assurer une exploitation donc autant avoir directement le fichier à la bonne place et pas à l'extraire d'un mail !)

[totoroavi]

Bonjour, Bonne année,
Voila j'essaie de faire une commande scp a partir de mon IPcop vers un serveur distant dans le but de tester ma connection ssh entre mes deux machine pour faire une exportation des log par la méthode de castor18c. Lors du teste de transfére entre les 3 PC j'ai ce message d'erreur:

Code: Tout sélectionner

root@ipcop:~ # /usr/bin/scp setup.log logipcop@x.x.x.x:
/usr/bin/ssh: No such file or directory
lost connection


heu je comprends pas le pourquoi de ça /usr/bin/ssh: No such file or directory, certe je n'es pas de ssh installé mais le scp oui (dailleur je me demande pourquoi il ni est pas car je me connecte en ssh sur l'ipcop ...)
faut t'il le réinstaller ? ou l'installer tout cours ?
Merci
Totoro

[totoroavi]

Oops je viens de mieux lire et j'ai compris
Merci

[Gesp]

Au passage, j'ai du copier les binaires scp et ssh d'un de mes serveurs linux sur IpCop pour que scp fonctionne car ssh n'était pas présent sur la plate-forme... Je ne sais pas si cela est normal ou non (que ssh soit manquant)

Oui c'est normal et voulu.
Cela peut éviter que si la machine se faisait hacker, la personne puisse se connecter à une autre machine simplement par le client ssh. Cependant il y a des tas d'autres manières de contourner.

[totoroavi]

Heu je n'arrive pas a trouver de binaire de ssh compatible avec Ipcop ... quelqu'un peu m'en envoyer un ou me passer le lien d'un fichier ou il y a un binaire qui passe ... merci
Totoro