Discussion :

[linux_sql]

Salut a tous,

je suis entrain de mettre en place une gestion centralisée pour mes logs.
Pour cela j'ai installer syslog-ng sur mon serveur (qui reçoit les logs) ainsi que sur mon client (qui envoi les logs).
Mon serveur est sous Ubuntu Server 11.04, et mon client sous Ubuntu server 10.10.
Or, ça ne marche pas.

Voilà ce que j'ai mis coté serveur :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
source src_lan {
        udp();
};
 
destination logs_from_lan {
file("/var/log/lan.log");
};
 
log {
source(src_lan);
destination(logs_from_lan);
};

Et Voilà ce que j'ai mis coté client :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
source srv_local { file("/var/log/auth.log"); };
 
destination srvlogs {
udp("172.16.3.140", port(514)); #172.16.3.140 correspond a l'ip de mon serveur de log
};
 
log {
source(srv_local);
destination(srvlogs);
};

Pouvez vous m'aider?

Sur mon serveur, aucun fichier du nom lan.log dans /var/log ne se crée.

Les 2 machines sont sur le même réseau, aucun firewall entre eux.

Voilà les 2 fichiers de configuration que j'ai renommé en -client et -server :

http://cl.ly/8N1z (server)
http://cl.ly/8Nwc (client)

Merci d'avance.

[linux_sql]

Re,

j'arrive bien a remonter mes logs sur le serveur, or j'ai un petit soucis de filtre.

Enfait je cherche a remonter les logs de iptables.

Voilà a quoi ressemble mon log iptables (j'ai copié quelques lignes) :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
Jul 13 08:27:01 davis kernel: [2447090.462486] iptables RULE -16 -- ACCEPT IN= OUT=eth4 SRC=10.100.40.2 DST=224.0.0.18 LEN=40 TOS=0x00 PREC=0x00 TTL=255 ID=25462 PROTO=112 
Jul 13 08:27:01 davis kernel: [2447090.462773] iptables RULE -16 -- ACCEPT IN= OUT=eth1 SRC=10.100.10.2 DST=224.0.0.18 LEN=40 TOS=0x00 PREC=0x00 TTL=255 ID=25462 PROTO=112 
Jul 13 08:27:01 davis CRON[24335]: (root) CMD (cp /var/log/iptables.log /opt/log/iptables/davis/iptables.log       # exports log iptable every min)
Jul 13 08:27:02 davis kernel: [2447091.460677] iptables RULE -16 -- ACCEPT IN= OUT=eth3 SRC=10.100.30.2 DST=224.0.0.18 LEN=40 TOS=0x00 PREC=0x00 TTL=255 ID=25462 PROTO=112 
Jul 13 08:27:02 davis kernel: [2447091.460866] iptables RULE -16 -- ACCEPT IN= OUT=eth2 SRC=10.100.20.2 DST=224.0.0.18 LEN=40 TOS=0x00 PREC=0x00 TTL=255 ID=25462 PROTO=112

Et voilà ma conf syslog-ng :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
destination iptables_fw {
                        file("/var/log/archive/$R_YEAR-$R_MONTH-$R_DAY/firewall"
                        template("$HOUR:$MIN:$SEC $HOST <$FACILITY.$PRIORITY> $MSG\n")
                        template_escape(no)
                        );
};
 
filter f_iptables { match("RULE") 
or match("iptables"); }; 
 
log {
        source(local);
        filter(f_iptables);
        destination(iptables_fw);
};

Sur mon serveur j'obtient bien le dossier que j'ai donné dans destination, et j'obtient bien le fichier "firewall"
Or dedans j'ai juste ces lignes la :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
14:50:01 davis <cron.info> CRON[28985]: (root) CMD (cp /var/log/iptables.log /opt/log/iptables/davis/iptables.log       # exports log iptable every min)
14:51:01 davis <cron.info> CRON[29018]: (root) CMD (cp /var/log/iptables.log /opt/log/iptables/davis/iptables.log       # exports log iptable every min)
14:52:01 davis <cron.info> CRON[29022]: (root) CMD (cp /var/log/iptables.log /opt/log/iptables/davis/iptables.log       # exports log iptable every min)
14:53:01 davis <cron.info> CRON[29026]: (root) CMD (cp /var/log/iptables.log /opt/log/iptables/davis/iptables.log       # exports log iptable every min)

En gros il prends que la ligne suivante de mon log :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

Jul 13 08:27:01 davis CRON[24335]: (root) CMD (cp /var/log/iptables.log /opt/log/iptables/davis/iptables.log       # exports log iptable every min)

Il ne prend pas les lignes du type :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

Jul 13 08:27:02 davis kernel: [2447091.460866] iptables RULE -16 -- ACCEPT IN= OUT=eth2 SRC=10.100.20.2 DST=224.0.0.18 LEN=40 TOS=0x00 PREC=0x00 TTL=255 ID=25462 PROTO=112

Pouvez vous m'aider?

merci