Debian-facile

Bienvenue sur Debian-Facile, site d'aide pour les nouveaux utilisateurs de Debian.

Vous n'êtes pas identifié(e).

#1 19-05-2015 19:50:35

Papadakis
Adhérent(e)
Lieu : Far ouest environ
Distrib. : Stretch
Noyau : Linux 4.5.0-2-amd64
(G)UI : xfce 4.12
Inscription : 23-04-2014
Site Web

[Résolu] Centralisation des logs avec rsyslog

Salut !

Jusqu'à maintenant, tout allait bien, j'avais 3 machines avec chacune leur syslog bien propre comme je voulais.
C'est à dire que j'ai fait quelques règles dans /etc/rsyslog.d sur les logs qui me gênait comme clamav par exemple.


Puis j'ai décidé de centraliser les logs sur une seule machine.
Je n'ai pas modifié le rsyslog.conf, sur aucune machine si ce n'est ce qui suit.
Sur les machines clientes (les logs remontent sur le serveur), j'ai ajouté ça comme ligne à la fin de /etc/rsyslog.conf :

*.* @192.168.1.5:514



Sur le serveur, j'ai décommenté ces lignes :

$ModLoad imudp
$UDPServerRun 514



et ajouté ça à la fin :

$template syslog,"/var/log/clients/%fromhost%/syslog.log"
*.* ?syslog



J'ai bien 3 fichiers syslog.log dans /var/log/clients comme je le voulais MAIS ces logs sont entiers.
C'est à dire qu'il reprennent tout, le auth.log, le cron.log, etc ...

Je comprends bien que c'est à cause du *.* mais je ne vois pas comment tenir compte de toutes les règles qui sont au dessus dans le template.
Si vous avez une idée.

Dernière modification par Papadakis (22-05-2015 06:56:47)


Le désordre, c'est l'ordre moins le pouvoir.

Hors ligne

#2 20-05-2015 06:02:43

Papadakis
Adhérent(e)
Lieu : Far ouest environ
Distrib. : Stretch
Noyau : Linux 4.5.0-2-amd64
(G)UI : xfce 4.12
Inscription : 23-04-2014
Site Web

Re : [Résolu] Centralisation des logs avec rsyslog

Yo !

Et bien, ça devient une habitude, j'ai trouvé tout seul (mes problèmes n'en seraient-ils pas?)

En fait, ce qui me génait le plus, ce sont ces logs là :

May 20 05:45:01 Winston CRON[3351]: pam_unix(cron:session): session opened for user papadakis by (uid=0)
May 20 05:45:01 Winston CRON[3351]: pam_unix(cron:session): session closed for user papadakis




J'ai donc cru qu'il s'agissait de cron, alors qu'en fait c'est aussi du auth.


Ensuite, pour exclure dans rsyslog, il y en a plein dans le fichier, c'est avec ;
Donc ma nouvelle ligne à la fin du rsyslog.conf, c'est :

 $template syslog,"/var/log/clients/%fromhost%/syslog.log"
*.*;auth,authpriv.none ?syslog




J'ai repris la ligne de /var/log/syslog.

Voili voilou.

Dernière modification par Papadakis (20-05-2015 06:02:58)


Le désordre, c'est l'ordre moins le pouvoir.

Hors ligne

#3 20-05-2015 06:13:11

smolski
administrateur quasi...modo
Lieu : AIN
Distrib. : 8 (jessie) 64 bits + backports
Noyau : 4.6.0-0.bpo.1-amd64
(G)UI : gnome 3.14.1
Inscription : 21-10-2008

Re : [Résolu] Centralisation des logs avec rsyslog

smile

"Définition d'eric besson : S'il fallait en chier des tonnes pour devenir ministre, il aurait 2 trous du cul." - JP Douillon
"L'utopie ne signifie pas l'irréalisable, mais l'irréalisée." - T Monod (source :  La zone de Siné)
"Je peux rire de tout mais pas avec n'importe qui." - P Desproges
"saque eud dun" (patois chtimi : fonce dedans)

En ligne

#4 20-05-2015 06:49:38

Papadakis
Adhérent(e)
Lieu : Far ouest environ
Distrib. : Stretch
Noyau : Linux 4.5.0-2-amd64
(G)UI : xfce 4.12
Inscription : 23-04-2014
Site Web

Re : [Résolu] Centralisation des logs avec rsyslog

Une petite dernière chose à régler, pour ne pas avoir des fichiers trop lourds à ouvrir, configurer le logrotate.
J'ai ajouté les 3 lignes clients dans /etc/logrotate.d/rsyslog :

/var/log/syslog
/var/log/clients/Winston/syslog.log
/var/log/clients/raspberry/syslog.log
/var/log/clients/Chiffon/syslog.log
{
        rotate 7
        daily
        missingok
        notifempty
        delaycompress
        compress
        postrotate
                invoke-rc.d rsyslog rotate > /dev/null
        endscript
}



Je ne saurai si ça fonctionne que demain matin tongue

Dernière modification par Papadakis (20-05-2015 06:50:32)


Le désordre, c'est l'ordre moins le pouvoir.

Hors ligne

#5 21-05-2015 06:34:42

Papadakis
Adhérent(e)
Lieu : Far ouest environ
Distrib. : Stretch
Noyau : Linux 4.5.0-2-amd64
(G)UI : xfce 4.12
Inscription : 23-04-2014
Site Web

Re : [Résolu] Centralisation des logs avec rsyslog

Le logrotate n'a pas fonctionné ...

Le désordre, c'est l'ordre moins le pouvoir.

Hors ligne

#6 22-05-2015 06:57:53

Papadakis
Adhérent(e)
Lieu : Far ouest environ
Distrib. : Stretch
Noyau : Linux 4.5.0-2-amd64
(G)UI : xfce 4.12
Inscription : 23-04-2014
Site Web

Re : [Résolu] Centralisation des logs avec rsyslog

Une journée et un reboot plus tard, ça a fonctionné.
Qu'est-ce qu'il faut faire pour la prise en compte de logrotate (à part le reboot) ?

Le désordre, c'est l'ordre moins le pouvoir.

Hors ligne

Pied de page des forums