Architecture syslog correcte ? [Résolu]

drKzs · 17/06/2011, 11h05

Bonjour,

Je continue ma recherche sur la journalisation / supervision, et j'ai une question concernant l'architecture possible de syslog (rsyslog à priori, mais je pense que ça n'a pas d'importance pour l'archi générale).

Voici ce que je comptais faire.

J'ai un réseau, avec :
- des machines de traitements (A, B, C)
- un serveur qui héberge l'appli web utilisant A, B, C. Appellons-le SAPP
- un serveur de supervision SVISU

Je voudrais que A, B, C redirige leurs logs vers SAPP.
=> A, B, C ont un démon rsyslog configuré comme client

SAPP stocke ses logs et ceux de A,B,C en local (tâche 1 de SAPP)
=> SAPP a un démon rsyslog configuré en serveur pour recevoir les logs ABC
=> le démon sur SAPP doit-il avoir une configuration spécifique pour recevoir ses propres logs ? (je pense que non, il est déjà en serveur)

SAPP renvoie ses logs (systèmes + appli web) et ceux de ABC vers le serveur de supervision SVISU (tâche 2 de SAPP)
=> SVISU a un démon rsylog configuré en serveur
=> le démon de SAPP doit-il être configuré en relai ?
=> je crois que l'on peut facilement configurer rsyslog pour que selon la source (système, appli web, machines ABC) les logs soient envoyés dans des répertoires différentes de SVISU ? Ou bien c'est au niveau de SVISU que le filtre sera fait ?

Est-ce que tout cela tient la route, je suis preneur de toute suggestion, remarque

Et désolé si le pavé ne semble pas très clair, je suis en cours d'éclaircissement du monde de la supervision / journalisation

Merci

ram-0000 · 17/06/2011, 16h43

Globalement, ce que tu veux faire tient la route, cependant :

Pourquoi A, B et C envoient ils leurs logs à SAPP pour qu'ensuite SAPP forwarde les log reçus de A, B et C plus les siens vers SVISU.

Autant configurer A, B, C et SSAP pour qu'ils envoient leurs logs directement à SVISU. Ainsi, si SSAP tombe en panne, les logs de A, B et C continuent à arriver à SVISU.

En ce qui concerne le rangement des logs dans des répertoires différents, je ne sais pas si rsyslog sait le faire mais syslog-ng le fait très bien. Regarde ici : Présentation du protocole Syslog dans le paragraphe 5.2, il y a un exemple de conf syslog-ng qui stocke les logs dans des répertoires différents en utilisant les variables fournies par syslog-ng.

Autre chose, dans une architecture comme cela avec centralisation des logs, il est impératif d'avoir une synchro horaire des machines. Peu importe que la synchro soit faussa mais il faut que toutes les machines aient la même heure sinon, il est impossible de corréler et d'analyser les logs.

drKzs · 17/06/2011, 18h00

Citation:

Pourquoi A, B et C envoient ils leurs logs à SAPP pour qu'ensuite SAPP forwarde les log reçus de A, B et C plus les siens vers SVISU.

Autant configurer A, B, C et SSAP pour qu'ils envoient leurs logs directement à SVISU. Ainsi, si SSAP tombe en panne, les logs de A, B et C continuent à arriver à SVISU.

En fait, pour deux raisons, la première étant que les intervenant sur SAPP ne sont pas les mêmes que sur SVISU. En fait, ce qui est remonté à SVISU est surtout à titre indicatif, donc pour la maintenance SAPP doit avoir toutes les infos.

La deuxième raison découle de la première, ce qui sera reçu au niveau de SAPP devrait être filtré pour ne propager à SVISU que les choses qui le concerne. Heureusement que syslog-ng permet de faire des filtres sur des match de string

Citation:

Autre chose, dans une architecture comme cela avec centralisation des logs, il est impératif d'avoir une synchro horaire des machines. Peu importe que la synchro soit faussa mais il faut que toutes les machines aient la même heure sinon, il est impossible de corréler et d'analyser les logs.

Oui ça c'est vraiment pas négligeable tiens

!

La question que je me pose, c'est au niveau de SAPP:
Est-ce qu'un même démon (r)syslog(-ng) peut:
- Recevoir des logs de machines distantes
- Recevoir des logs de la machine qui l'héberge
- Ecrire tous ces logs en local (et logrotate, bien sur

)
- Filtrer tous ces logs et envoyer une partie vers un autre serveur (r)syslog(-ng)

J'ai cru comprendre que oui en surmontant la doc, mais j'en suis pas complètement certain.

ram-0000 · 17/06/2011, 18h26

Citation:

Envoyé par drKzs

La question que je me pose, c'est au niveau de SAPP:
Est-ce qu'un même démon (r)syslog(-ng) peut:
- Recevoir des logs de machines distantes
- Recevoir des logs de la machine qui l'héberge
- Ecrire tous ces logs en local (et logrotate, bien sur

)
- Filtrer tous ces logs et envoyer une partie vers un autre serveur (r)syslog(-ng)

Pour rsyslog, je ne connais pas assez (mais probablement que oui par contre, je ne sais vraiment pas en ce qui concerne le filtrage). Pour syslog-ng : OUI

drKzs · 20/06/2011, 09h50

ok, merci pour ton avis

17/06/2011, 11h05	#1
drKzs Membre actif Inscription : septembre 2003 Messages : 457 Détails du profil Informations personnelles : Sexe : Localisation : France Informations forums : Inscription : septembre 2003 Messages : 457 Points : 190 Points : 190	Architecture syslog correcte ? Bonjour, Je continue ma recherche sur la journalisation / supervision, et j'ai une question concernant l'architecture possible de syslog (rsyslog à priori, mais je pense que ça n'a pas d'importance pour l'archi générale). Voici ce que je comptais faire. J'ai un réseau, avec : - des machines de traitements (A, B, C) - un serveur qui héberge l'appli web utilisant A, B, C. Appellons-le SAPP - un serveur de supervision SVISU Je voudrais que A, B, C redirige leurs logs vers SAPP. => A, B, C ont un démon rsyslog configuré comme client SAPP stocke ses logs et ceux de A,B,C en local (tâche 1 de SAPP) => SAPP a un démon rsyslog configuré en serveur pour recevoir les logs ABC => le démon sur SAPP doit-il avoir une configuration spécifique pour recevoir ses propres logs ? (je pense que non, il est déjà en serveur) SAPP renvoie ses logs (systèmes + appli web) et ceux de ABC vers le serveur de supervision SVISU (tâche 2 de SAPP) => SVISU a un démon rsylog configuré en serveur => le démon de SAPP doit-il être configuré en relai ? => je crois que l'on peut facilement configurer rsyslog pour que selon la source (système, appli web, machines ABC) les logs soient envoyés dans des répertoires différentes de SVISU ? Ou bien c'est au niveau de SVISU que le filtre sera fait ? Est-ce que tout cela tient la route, je suis preneur de toute suggestion, remarque Et désolé si le pavé ne semble pas très clair, je suis en cours d'éclaircissement du monde de la supervision / journalisation Merci
	00

17/06/2011, 16h43	#2
ram-0000 Expert Confirmé Sénior Raymond Inscription : mai 2007 Messages : 7 472 Détails du profil Informations personnelles : Nom : Raymond Informations forums : Inscription : mai 2007 Messages : 7 472 Points : 10 993 Points : 10 993	Globalement, ce que tu veux faire tient la route, cependant : Pourquoi A, B et C envoient ils leurs logs à SAPP pour qu'ensuite SAPP forwarde les log reçus de A, B et C plus les siens vers SVISU. Autant configurer A, B, C et SSAP pour qu'ils envoient leurs logs directement à SVISU. Ainsi, si SSAP tombe en panne, les logs de A, B et C continuent à arriver à SVISU. En ce qui concerne le rangement des logs dans des répertoires différents, je ne sais pas si rsyslog sait le faire mais syslog-ng le fait très bien. Regarde ici : Présentation du protocole Syslog dans le paragraphe 5.2, il y a un exemple de conf syslog-ng qui stocke les logs dans des répertoires différents en utilisant les variables fournies par syslog-ng. Autre chose, dans une architecture comme cela avec centralisation des logs, il est impératif d'avoir une synchro horaire des machines. Peu importe que la synchro soit faussa mais il faut que toutes les machines aient la même heure sinon, il est impossible de corréler et d'analyser les logs. __________________ Raymond Cafuro Cafuro est un outil SNMP dont le but est d'aider les administrateurs système et réseau à configurer leurs équipements SNMP réseau. WinAgentLog WinAgentLog est un service Windows qui collecte en temps réel les messages Microsoft EventLog et les retransmet en utilisant le protocole Syslog à une machine distante. e-verbe Un logiciel de conjugaison des verbes de la langue française Ma page personnelle sur DVP
	10

20/06/2011, 09h50	#5
drKzs Membre actif Inscription : septembre 2003 Messages : 457 Détails du profil Informations personnelles : Sexe : Localisation : France Informations forums : Inscription : septembre 2003 Messages : 457 Points : 190 Points : 190	ok, merci pour ton avis
	00

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email