Pr\u00e9voyez donc une partition d\u00e9di\u00e9e (type \/var\/log) suffisamment dimensionn\u00e9e et r\u00e9serv\u00e9e aux logs.<\/p>\n
C\u00f4t\u00e9 s\u00e9curit\u00e9 r\u00e9seau, les flux Syslog utilisent le protocole UDP<\/a> sur le port 514, a vous donc de positionner vos ACL et\/ou r\u00e8gles Firewall en cons\u00e9quences et bien entendu \u00e0 ne pas l’exposer au r\u00e9seau Internet.<\/p>\n L’id\u00e9al \u00e9tant bien \u00e9videmment de positionner le SyslogHost dans un VLAN d\u00e9di\u00e9 ou vous n’autoriserez que l’UDP port 514 et le SSH depuis le poste de management.<\/p>\n (Petite parenth\u00e8se d’humour parano\u00efaque : Bon OK, l\u00e0 c’est vraiment Parano \ud83d\ude09<\/p>\n fin de la parenth\u00e8se qui sert \u00e0 rien)<\/p>\n Activation du d\u00e9mon Syslogd<\/strong><\/u><\/p>\n Sur votre Pingouin, il suffit de rajouter l’option \u00ab\u00a0-r\u00a0\u00bb a Syslog.<\/p>\n Debian Like : \/etc\/default\/syslogd<\/p>\n RedHat Like : \/etc\/sysconfig\/syslog<\/p>\n Relancer syslog.<\/p>\n Sur le Poisson qui pique, ajouter le flag -u dans votre \/etc\/rc.conf :<\/p>\n syslogd_flags=\u00a0\u00bb-u\u00a0\u00bb<\/p>\n Killer le process Syslogd et relancer le en mode -u : syslogd -u<\/p>\n Un netstat -an | grep 514 vous confirmera l’\u00e9coute :<\/p>\n udp 0 0 *.514 *.*<\/p>\n Sur les clients, il suffit maintenant de modifier le fichier \/etc\/syslog.conf pour lui demander de tout envoyer au Syslog Host :<\/p>\n Ex: *.* @192.168.0.1<\/p>\n Bien sur vous pouvez peaufiner ce que vous voulez envoyer comme logs. (lire cet article<\/a> par exemple).<\/p>\n N’oubliez surtout pas de configurer la rotation automatique des logs !!!<\/p>\n Avec logrotate.d sur Linux et Newsyslog sur OpenBSD (MAN<\/a> est votre ami)…<\/p>\n Remont\u00e9e les logs Cisco<\/strong><\/u><\/p>\n Les Ciscos savent envoyer leurs logs ves un Syslog host.<\/p>\n Sur un routeur :<\/p>\n logging 192.168.0.1<\/p>\n Sur un Pix :<\/p>\n logging host inside 192.168.0.1<\/p>\n Par d\u00e9faut, les Ciscos envoient leurs logs avec le niveau local.7<\/p>\n Il peut \u00eatre int\u00e9ressant de peaufiner le traitement des logs et de s\u00e9parer les logs \u00ab\u00a0syslog\u00a0\u00bb des machines, des logs \u00e9quipements.<\/p>\n Pour un Pix par exemple, nous pouvons utiliser le tableau suivant :<\/p>\n \n
\nLa s\u00e9curit\u00e9 ultime \u00e9tant justement d’utiliser la particularit\u00e9 du protocole UDP qui travaille en mode non-connect\u00e9 pour couper physiquement le fil TX du c\u00e2ble r\u00e9seau c\u00f4t\u00e9 carte du SyslogHost \ud83d\ude00<\/p>\n![\"RJ45\"](\"http:\/\/blog.guiguiabloc.fr\/wp-content\/rj45.jpeg\")
<\/a> ![\"Cablage\"](\"http:\/\/blog.guiguiabloc.fr\/wp-content\/out2.gif\")
<\/a><\/p>\n