Discussion :

[nthCode]

Salut,

J'utilise syslog-ng pour loggés les connection SSH, sudo et su. Lorsque j'utilise une de ces commandes je souhaite l'integré dans un fichier et les erreurs dans un autre dossier.

Mon problème provient que tous les message (de connexion et d'erreur) sont dans le même fichier...

Comme ci à chaque fois qu'il y a une erreur de connexion ou de permission, ces logs ne sont pas considéré comme des "Warning" ou "Erreur" mais comme des informations simplement.

Voici ma source :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
 
source s_src{
      internal();
      system();
};

Voici mes destination :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
 
destination d_auth {
       file("/var/log/commandOK.log");
};
 
destination d_authERR {
       file("/var/log/commandNOK.log");
};

Voici mes filtres :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
 
filter f_ERR {
    level(warn..emerg);
};
 
filter f_authERR {
   facility(auth,authpriv) and filter(f_ERR);
};
 
filter f_auth {
   facility(auth,authpriv) and not filter(f_ERR);
};

Mes Logs :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
 
log { source(s_src); filter(f_authERR); destination(d_authERR); };
 
log { source(s_src); filter(f_auth); destination(d_auth); };

[tabouret]

Hello,

Une raison particulière pour logger les authentifications success et errors dans deux fichiers distinct?

Effectivement il s'agit de logs de niveau INFO donc ton tri sur le level risque de ne pas donner grand chose.

Syslog-ng est le moteur de log le plus puissant du marché (bien loin devant Logstash ou graylog ou peu importe ça n'engage que moi) donc je pense qu'il y a moyen de faire quelque chose.
Si vraiment tu es déterminé, regarde du coté des Db-parsers de Syslog-ng pour classer tes logs d'authentification en deux parties : les success et les failures. Mais ça risque de nécessiter un niveau de maîtrise Syslog-ng assez élevé.