Vous êtes sur la page 1sur 8

INTRODUCTION

Protocoles utilisés pour la gestion des réseaux informatiques:

Protocole Syslog 1. SNMP: permet d’obtenir des informations sur les


équipements connectés.
RFC 5424 2. SysLog: Utilise le principe de la journalisation 
Version 2.0 enregistrement de tous évènements et disfonctionnement
Prière signaler toute anomalie qui affectent le fonctionnement d’un réseau:
 Les serveurs (UNIX, GNU/Linux, Windows, etc.)
 Les équipements d’interconnexion (routeurs, switch N3, etc.)
Dr SIDI ALI MEBAREK
 Les applications (le web, les données, etc.)
INTTIC

Protocole Syslog Dr SIDI ALI MEBAREK


2
Zerrouk (INTTIC-Oran)

JOURNALISATION QU’EST QU’UN LOG (Journal)


La journalisation ou concept d’historique d’évènement consiste
en l’enregistrement séquentiel de tous évènements et
disfonctionnement qui affectent le fonctionnement d’un réseau  Un log (journal) est un fichier texte, qui contient de façon
(serveurs, switches, routeurs, pare-feu, application, services, etc.). chronologique, l'ensemble des événements qui ont affecté un
système informatique (application, serveur, routeur, etc...) et
Ces évènements sont datés, classés par ordre chronologiques
l'ensemble des actions qui ont résulté de ces événements.
dans des fichiers logs ou dans une base de données ce qui permet
de les analyser dans le but de:
 Dépannage de périphériques  Par défaut, chaque application, chaque équipement centralise
 Détection d'intrusion
ses logs dans son journal d’évènement qui est stocké
localement sur la machine.
 Suivi des activités des utilisateurs et des administrateurs
 Etc.
Les administrateurs réseau doivent implémenter la journalisation
pour avoir savoir ce qui se passe sur leur réseau.
Protocole Syslog Dr SIDI ALI MEBAREK Protocole Syslog Dr SIDI ALI MEBAREK
3 4
Zerrouk (INTTIC-Oran) Zerrouk (INTTIC-Oran)
EMPLACEMENT DES FICHIERS LOGS EXEMPLE DE FICHIERS LOGS:
Cas du serveur Apache
 Sous Windows (clients et serveurs), les journaux d’événements
windows et les journaux applications et services sont stockés par Apache crée deux types de fichiers log
défaut dans l’observateur d’événement.  Fichier access.log qui contient :

 Sous Linux, l’ensemble des logs systèmes et applicatifs sont  les demandes d'accès aux ressources du serveur (Adresse IP du client
ayant réalisé la transaction, Date et heure précise de la tentative d'accès,
stockés dans le répertoire /var/log. Ressource ciblée, etc.).
Windows Linux  la réponse fournie par le serveur à cette demande d'accès (ressource
Logs Windows Logs installation trouvée, erreurs rencontrées, etc.).
Logs Applications Logs Applications

 Sous Cisco, seuls quelques logs sont inscrits directement dans le  Fichier error.log
terminal, faute de stockage, les messages logs sont perdus en
cas de redémarrage de l’équipement  nécessité de
sauvegarder vers une source externe
Protocole Syslog Dr SIDI ALI MEBAREK Protocole Syslog Dr SIDI ALI MEBAREK
5 6
Zerrouk (INTTIC-Oran) Zerrouk (INTTIC-Oran)

CENTRALISATION DES FICHIERS LOGS QUELQUES OUTILS DE CENTRALISATION

Principe: Consiste à transférer sur un même serveur, l’ensemble


La plus part des outils de centralisation sont basés sur le
des logs des systèmes, applications et services des machines
protocole Syslog:
environnantes.
Intérêt:  Syslog-ng (Linux): Centralise les logs dans une base de
données, Communauté très importante.
 La centralisation des logs permet d’effectuer des recherches (filtrage)
sur l’activité de plusieurs systèmes tout en étant sur le même serveur.  Rsyslog (Linux): Gère les logs sur la plupart des machines
 Détection d’intrusion: Certains IDS au lieu d’effectuer l’écoute du Linux, Centralise les logs dans une base de données,
réseau, surveille les fichiers logs événement  Détection de communauté moins importante que Syslog-ng.
comportements anormaux.  Kiwi-Syslog (Windows): Logiciel de gestion Syslog développé
 Si un système est en panne et si les fichiers logs n’ont pas été par solarwinds, accès aux données Syslog à travers le Web de
transférer vers une source extérieure il est très difficile de connaitre façon sécurisée.
les raisons de la panne

Protocole Syslog Dr SIDI ALI MEBAREK Protocole Syslog Dr SIDI ALI MEBAREK
7 8
Zerrouk (INTTIC-Oran) Zerrouk (INTTIC-Oran)
PRESENTATION GENERALE DE
SYSLOG (1/2)
 Le Syslog Protocol: RFC 5424 - March 2009
 Situé au niveau de la couche application de modèle TCP/IP
 Syslog est un protocole de réseau qui permet de générer et
d’envoyer des messages créés par des applications
Protocole Syslog (équipements) vers un serveur Syslog.
 Utilise le concept du logging  enregistrement séquentiel de
tous les événements affectant un processus particulier
Vidéo  Les enregistrements sont dans stockés dans:
 un fichier appelé fichier d’évènements (fichier logs ou log
files)
 une base de données

Protocole Syslog Dr SIDI ALI MEBAREK Protocole Syslog Dr SIDI ALI MEBAREK
9 10
Zerrouk (INTTIC-Oran) Zerrouk (INTTIC-Oran)

PRESENTATION GENERALE DE
SYSLOG (2/2)
FONCTIONS ASSUREES PAR SYSLOG
Les évènements enregistrés par syslog sont datés, classés par ordre
chronologiques dans des fichiers logs ou dans une base de données ce qui Grace au protocole syslog il est possible d’assurer les
permet de les analyser dans le but de :
fonctions d’administration suivantes:
 Dépannage des routeurs, pare-feu, périphériques (pendant
l'installation et en cas de problème) 1. Gestion des pannes  Détection des anomalies
 Détection d'intrusion (analyse des fichiers logs )
 Suivi des activités des utilisateurs et des administrateurs
 Etc.
2. Gestion des performances  Recherche des solutions
Les administrateurs réseau doivent implémenter la journalisation pour
pour améliorer les performances
avoir savoir ce qui se passe sur leur réseau. 3. Gestion de la sécurité  Détection des accès non-
Remarque: Il est souvent nécessaire important d’effectuer autorisés
journalisation vers une destination externe. Par exemple lorsqu'on
recharge un routeur, tous les journaux locaux sont perdus.

Protocole Syslog Dr SIDI ALI MEBAREK Protocole Syslog Dr SIDI ALI MEBAREK
11 12
Zerrouk (INTTIC-Oran) Zerrouk (INTTIC-Oran)
TYPES DE MESSAGES SYSLOG
MECANISMES DE TRANPORT DES MESSAGES (RFC 5424 – Année 2009)
SYSLOG
 Syslog encapsulé dans UDP (RFC 3164) 1. MESSAGE SYSLOG AVEC STRUCTURED DATA

 Syslog encapsulé dans TCP (RFC 6587)


HEADER STRUCTURED DATA MSG
 Syslog encapsulé dans TCP sécurisé (RFC 5426)
UDP TCP TCP/TLS 2. MESSAGE SYSLOG SANS STRUCTURED DATA
N° de Port 514 514(*) 6514
HEADER MSG
Taille max (Octets) 2048 1024 ≤ 8192
Connexion Orientée Non Oui Oui
Sécurité Non Non Oui 3. MESSAGE SYSLOG AVEC STRUCTURED DATA ET SANS MESSAGE
Contrôle de flux Non Oui Oui
HEADER STRUCTURED DATA
Fiabilité de transmission Mauvaise Bonne Très Bonne
Correction des erreurs Mauvaise Moyenne Moyenne

Protocole Syslog Dr SIDI ALI MEBAREK Protocole Syslog Dr SIDI ALI MEBAREK
13 14
Zerrouk (INTTIC-Oran) Zerrouk (INTTIC-Oran)

HEADER SYSLOG CHAMP PRI (RFC 5424)


PRI Version TimeStamp HostName App-Name PROCID MSGID
 Indique la valeur de priorité du message (priority value -
PRIVAL).
 PRI : indique la priorité du message (priority value – PRIVAL).  Pri = 8 bits
 VERSION : Donne la version des spécifications du protocole syslog. Cette  03 bits les plus faibles  severity
valeur est incrémente chaque fois le format d’en-tête du message syslog est  05 autres bits  facility du message en question.
changé
 TIMESTAMP : indique à quelle heure le message a était produit.
 HOSTNAME : Identifie l’hôte qui émet du message syslog (@IP,
facility (5 bits) severity(3 bits)
Hostname, etc.)
 APP-NAME : Identifie l’application qui a généré le message syslog. Ces deux valeurs (la sévérité et la facilité) sont très utiles dans
 PROCID : Identifiant inclus dans le message, Tout changement de valeur
la sélection, l’archivage et le filtrage des messages.
 Discontinuité dans le rapport syslog.
 MSGID : Identifie le type du message (Exemple : un pare-feu peut utiliser
MSGID "TCPIN" pour le trafic TCP entrant et le MSGID "TCPOUT" pour A chaque PRI lui correspond un message syslog
le trafic TCP sortant.).
Protocole Syslog Dr SIDI ALI MEBAREK Protocole Syslog Dr SIDI ALI MEBAREK
15 16
Zerrouk (INTTIC-Oran) Zerrouk (INTTIC-Oran)
CHAMP PRI: champ facility CHAMP PRI: champ facility
Les systèmes d'exploitation utilisent souvent les facilities
suivantes:

 Facility = 4 et Facility = l0 pour les messages de


sécurité et/ou autorisation,
 Facility = 13 pour les messages d'audit,
 Facility = 14 pour les messages d'alerte,
 Facility = 9 et facility =15 pour les messages d'horloge.

Protocole Syslog Dr SIDI ALI MEBAREK Protocole Syslog Dr SIDI ALI MEBAREK
17 18
Zerrouk (INTTIC-Oran) Zerrouk (INTTIC-Oran)

CHAMP PRI: Champ severity STUCTURED DATA et MSG


STRUCURED-DATA :
Permet d’exprimer l’information dans un format bien définit et facile à analyser
et interpréter. Il contient les structures appelées SD-ELEMENTS (sensible à la
casse) qui sont constituées de :

SD-ID SD-PARAM

PRI: commence par le caractère "<" suivi de la priorité du message (en base 10) et
se termine par le caractère ">".  SD-ID : Indique la priorité du message (PRIVAL PRIority VALue)
 SD-PARAM : Il est constitué d’un nom, appelé PARAM-NAME, et d'une
valeur, appelée PARAM-VALUE.
Calcul de la priorité: PRI = 8*facility + severity
Exemple: Facility =14  (Log Alert) et severity = 6  informational MSG :

PRI= <118 > Contient un message de format libre qui fournit l’information sur l’évènement.
Message syslog : logalert.info

Protocole Syslog Dr SIDI ALI MEBAREK Protocole Syslog Dr SIDI ALI MEBAREK
19 20
Zerrouk (INTTIC-Oran) Zerrouk (INTTIC-Oran)
EXEMPLE DE MESSAGES SYSLOG (RFC 5424) EXEMPLE DE MESSAGES SYSLOG (RFC 5424)
1. MESSAGE SYSLOG SANS STRUCTURED DATA 2. MESSAGE SYSLOG AVEC STRUCTURED DATA

HEADER STRUCTURED DATA MSG


HEADER MSG

<34>1 2003-10-11T22:14:15.003Z mymachine.example.com su - ID47 - BOM'su root' failed for lonvick on /dev/pts/8
<165>1 2003-10-11T22:14:15.003Z mymachine.example.com evntslog - ID47
[exampleSDID@32473 iut="3" eventSource= "Application" eventID="1011"] BOMAn application event log entry...
Champs Message sans structured Data
PRI <34>  facility 4 et Severity = 2 (34/8=4,25) Champs Message sans structured Data

Version 1 PRI <165> Facility =20 et Severity = 5

Timestamp 2003-10-11T22:14:15.003Z Version 1


Header Timestamp 2003-10-11T22:14:15.003Z
Hostname mymachine.example.com
Hostname mymachine.example.com
AppName su  root Header
AppName evntslog
PROCID (signe -)  ID inconnu
PROCID (signe -)  ID inconnu
MSID ID47
MSID ID47
Structured Data Signe - stured Data n’est pas présente dans le message
Structured Data [exampleSDID@32473 iut="3" eventSource= "Application" eventID="1011"]
MSG BOM'su root' failed for lonvick on /dev/pts/8
MSG BOMAn application event log entry...

Protocole Syslog Dr SIDI ALI MEBAREK Protocole Syslog Dr SIDI ALI MEBAREK
21 22
Zerrouk (INTTIC-Oran) Zerrouk (INTTIC-Oran)

EXEMPLE DE MESSAGES SYSLOG (RFC 5424) ARCHITECTURE CENTRALISEE SYSLOG


3. MESSAGE SYSLOG AVEC UNIQUEMENT STRUCTURED DATA

HEADER STRUCTURED DATA

<165>1 2003-10-11T22:14:15.003Z mymachine.example.com evntslog - ID47


Client 1
[exampleSDID@32473 iut="3" eventSource= "Application" eventID="1011"][examplePriority@32473 class="high"]

Serveur syslog
Champs Message sans structured Data Client 2
PRI <165> Facility =20 et Severity = 5

Version 1 
Timestamp 2003-10-11T22:14:15.003Z  
Header Hostname mymachine.example.com Client 3 Administrateur
AppName evntslog
PROCID Le signe -  ID inconnu
Traite les messages d’événements critiques
MSID ID47

Structured Data [exampleSDID@32473 iut="3" eventSource= "Application" eventID="1011"]


[examplePriority@32473 class="high"]
Client 4 

Protocole Syslog Dr SIDI ALI MEBAREK Protocole Syslog Dr SIDI ALI MEBAREK
23 24
Zerrouk (INTTIC-Oran) Zerrouk (INTTIC-Oran)
TRAITEMENT DES MESSAGES SYSLOG
QUELQUES OUTILS CENTRALISATION
Génération des messages d'événements
(client syslog) Kiwi Syslog server
Fastvue Syslog
Paessler PRTG
Windows
Transmission des messages d'événements Syslog Watcher
du client vers le serveur Visual Syslog Server
WhatsUp Syslog Server
Graylog
Réception des messages d’événements par le serveur Icinga 2
et enregistrement (fichier ou base de données)
Linux Logstash
Rsyslog
filtrage par le serveur des messages critiques en vue Syslog-NG
de leur traitement Event Log Analyzer
Windows
Nagios Log Server
et
Nxlog
Visualisation des messages critiques Linux
The Dude
(interface graphique)
Protocole Syslog Dr SIDI ALI MEBAREK Protocole Syslog Dr SIDI ALI MEBAREK
25 26
Zerrouk (INTTIC-Oran) Zerrouk (INTTIC-Oran)

RÉFERENCES
1. The Syslog Protocol: RFC 5424 - March 2009
2. Syslog parameters: http://www.iana.org/assignments/syslog-
parameters/syslog-parameters.xhtml
 syslog Message Facilities
ANNEXES
 syslog Message Severities
 syslog Version Values
 syslog Structured Data ID Values
 syslog-sign Protocol Version Values
 syslog-sign Hash Algorithm Values
 syslog-sign Signature Scheme Values
 syslog-sign SG Field Values
 syslog-sign Key Blob Type Values

Protocole Syslog Dr SIDI ALI MEBAREK Protocole Syslog Dr SIDI ALI MEBAREK
27 28
Zerrouk (INTTIC-Oran) Zerrouk (INTTIC-Oran)
Fichiers logs de système Debian

log Utilisation Emplacement des log


Authorisation Enregistre l’information concernant les mécanismes /var/log/Auth.log
d’autorisation et d’authentification  Ex: Accès par SSH
Enregistre l’information sur le déroulement du système, et les
Daemon log daemon (ex: daemon d’affichage gnome-gdm, daemon de /var/log/daemon.log
bluetooth-hcid, daemon de base de données-mysqld, etc. )
Debug log Donne l’information détaillée sur les débogues /var/log/debug.log
Kernel log Stocke l’information sur les paquets de système (kernel) /var/log/kernel.log
Message log Stocke l’information des applications et des facilités du système. /var/log/messages
System log Contient les informations par défaut du système d’exploitation /var/log/syslog

Protocole Syslog Dr SIDI ALI MEBAREK


29
Zerrouk (INTTIC-Oran)

Vous aimerez peut-être aussi