logo Debian Debian Debian-France Debian-Facile Debian-fr.org Forum-Debian.fr Debian ? Communautés logo inclusivité

Debian-facile

Bienvenue sur Debian-Facile, site d'aide pour les nouveaux utilisateurs de Debian.

Vous n'êtes pas identifié(e).

#1 19-05-2015 18:50:35

Papadakis
Membre
Lieu : Far ouest environ
Distrib. : Bookworm
Noyau : Linux 6.1.0-9-amd64
(G)UI : xfce 4.18
Inscription : 23-04-2014

[Résolu] Centralisation des logs avec rsyslog

Salut !

Jusqu'à maintenant, tout allait bien, j'avais 3 machines avec chacune leur syslog bien propre comme je voulais.
C'est à dire que j'ai fait quelques règles dans /etc/rsyslog.d sur les logs qui me gênait comme clamav par exemple.


Puis j'ai décidé de centraliser les logs sur une seule machine.
Je n'ai pas modifié le rsyslog.conf, sur aucune machine si ce n'est ce qui suit.
Sur les machines clientes (les logs remontent sur le serveur), j'ai ajouté ça comme ligne à la fin de /etc/rsyslog.conf :

*.* @192.168.1.5:514



Sur le serveur, j'ai décommenté ces lignes :

$ModLoad imudp
$UDPServerRun 514



et ajouté ça à la fin :

$template syslog,"/var/log/clients/%fromhost%/syslog.log"
*.* ?syslog



J'ai bien 3 fichiers syslog.log dans /var/log/clients comme je le voulais MAIS ces logs sont entiers.
C'est à dire qu'il reprennent tout, le auth.log, le cron.log, etc ...

Je comprends bien que c'est à cause du *.* mais je ne vois pas comment tenir compte de toutes les règles qui sont au dessus dans le template.
Si vous avez une idée.

Dernière modification par Papadakis (22-05-2015 05:56:47)


Le désordre, c'est l'ordre, moins le pouvoir.

Hors ligne

#2 20-05-2015 05:02:43

Papadakis
Membre
Lieu : Far ouest environ
Distrib. : Bookworm
Noyau : Linux 6.1.0-9-amd64
(G)UI : xfce 4.18
Inscription : 23-04-2014

Re : [Résolu] Centralisation des logs avec rsyslog

Yo !

Et bien, ça devient une habitude, j'ai trouvé tout seul (mes problèmes n'en seraient-ils pas?)

En fait, ce qui me génait le plus, ce sont ces logs là :

May 20 05:45:01 Winston CRON[3351]: pam_unix(cron:session): session opened for user papadakis by (uid=0)
May 20 05:45:01 Winston CRON[3351]: pam_unix(cron:session): session closed for user papadakis




J'ai donc cru qu'il s'agissait de cron, alors qu'en fait c'est aussi du auth.


Ensuite, pour exclure dans rsyslog, il y en a plein dans le fichier, c'est avec ;
Donc ma nouvelle ligne à la fin du rsyslog.conf, c'est :

 $template syslog,"/var/log/clients/%fromhost%/syslog.log"
*.*;auth,authpriv.none ?syslog




J'ai repris la ligne de /var/log/syslog.

Voili voilou.

Dernière modification par Papadakis (20-05-2015 05:02:58)


Le désordre, c'est l'ordre, moins le pouvoir.

Hors ligne

#3 20-05-2015 05:13:11

smolski
quasi...modo
Lieu : AIN
Distrib. : backports (buster) 10
Noyau : Linux 4.19.0-8-amd64
(G)UI : gnome
Inscription : 21-10-2008

Re : [Résolu] Centralisation des logs avec rsyslog

smile

saque eud dun (patois chtimi : fonce dedans)

Hors ligne

#4 20-05-2015 05:49:38

Papadakis
Membre
Lieu : Far ouest environ
Distrib. : Bookworm
Noyau : Linux 6.1.0-9-amd64
(G)UI : xfce 4.18
Inscription : 23-04-2014

Re : [Résolu] Centralisation des logs avec rsyslog

Une petite dernière chose à régler, pour ne pas avoir des fichiers trop lourds à ouvrir, configurer le logrotate.
J'ai ajouté les 3 lignes clients dans /etc/logrotate.d/rsyslog :

/var/log/syslog
/var/log/clients/Winston/syslog.log
/var/log/clients/raspberry/syslog.log
/var/log/clients/Chiffon/syslog.log
{
        rotate 7
        daily
        missingok
        notifempty
        delaycompress
        compress
        postrotate
                invoke-rc.d rsyslog rotate > /dev/null
        endscript
}



Je ne saurai si ça fonctionne que demain matin tongue

Dernière modification par Papadakis (20-05-2015 05:50:32)


Le désordre, c'est l'ordre, moins le pouvoir.

Hors ligne

#5 21-05-2015 05:34:42

Papadakis
Membre
Lieu : Far ouest environ
Distrib. : Bookworm
Noyau : Linux 6.1.0-9-amd64
(G)UI : xfce 4.18
Inscription : 23-04-2014

Re : [Résolu] Centralisation des logs avec rsyslog

Le logrotate n'a pas fonctionné ...

Le désordre, c'est l'ordre, moins le pouvoir.

Hors ligne

#6 22-05-2015 05:57:53

Papadakis
Membre
Lieu : Far ouest environ
Distrib. : Bookworm
Noyau : Linux 6.1.0-9-amd64
(G)UI : xfce 4.18
Inscription : 23-04-2014

Re : [Résolu] Centralisation des logs avec rsyslog

Une journée et un reboot plus tard, ça a fonctionné.
Qu'est-ce qu'il faut faire pour la prise en compte de logrotate (à part le reboot) ?

Le désordre, c'est l'ordre, moins le pouvoir.

Hors ligne

Pied de page des forums