Red Hat System

Administration I (RH124)
Babacar NDIAYE
papababacarndiaye@gmail.com
+221 77 712 01 22

11/11/2019
 Chapitre 11 : Analyse et
enregistrement de fichiers journaux
Objectifs: Localiser et analyser précisément l'historique des événements système à des
fins de résolution de problèmes
 Décrire l'architecture de la journalisation système
 Parcourir des fichiers SysLog
 Parcourir le entrées dans le journal système
 Conserver le journal système
 Maintenir une horloge système fiable

05/12/2019 Red Hat System Administration I (RH124) 2

 La journalisation
La journalisation désigne l'enregistrement séquentiel dans un fichier ou une base de
données de tous les événements affectant un processus particulier (application, activité
d'un réseau informatique…).

Le journal (en anglais log file ou plus simplement log), désigne alors le fichier contenant
ces enregistrements.

Généralement datés et classés par ordre chronologique, ces derniers permettent

d'analyser pas à pas l'activité interne des processus et leurs interactions.

05/12/2019 Red Hat System Administration I (RH124) 3

 La journalisation

La mise en place d’un système de journalisation permet entre autres:

 La surveillance du système
 La facturation de la consommation
 L’analyse des dysfonctionnements
 L’analyse de la charge, de la consommation des logiciels
 L’amélioration de la sécurité et de l’efficacité du système

05/12/2019 Red Hat System Administration I (RH124) 4

 Rsyslog
• Rsyslog est un logiciel libre utilisé sur des systèmes d'exploitation de type Unix (Unix,
Linux) transférant les messages des journaux d'événements sur un réseau IP
(centralisation des logs).

• Rsyslog implémente le protocole basique syslog - qui centralise les journaux

d'événements, permettant de repérer plus rapidement et plus efficacement les
défaillances des systèmes présents sur un réseau.

• Il présente la particularité d'en étendre les fonctionnalités en permettant, notamment,

 de filtrer sur des champs,
 de filtrer à l'aide d'expressions régulières et
 l'utilisation du protocole TCP de la couche transport

• Rsyslog est un outil d’enregistrement et de gestion des journaux d'événements qui

reçoit des messages de sous-systèmes et les enregistrent au format texte
05/12/2019 Red Hat System Administration I (RH124) 5
 Configuration de Rsyslog
Chaque message de log est associé à un sous-système applicatif nommé facility :

Code Mot-clé Description

0 kern messages du noyau
1 user messages de l'espace utilisateur
2 mail messages du système de messagerie

3 daemon messages des processus d'arrière plan

4 auth messages d'authentification
5 syslog messages generated internally by syslogd
9 cron Taches planifiées (at/cron)
10 authpriv sécurité / élévation de privilèges
13 security log audit
16 - 23 local0 - local7 réservés pour les utilisations locales

05/12/2019 Red Hat System Administration I (RH124) 6

 Configuration de Rsyslog : Niveau de gravité
À chaque message est associé un niveau de priorité décroissant :

Code Gravité Mot-clé Description

0 Emergency emerg (panic) Système inutilisable.

1 Alert alert Une intervention immédiate est nécessaire.

2 Critical crit Erreur critique pour le système.

3 Error err (error) Erreur de fonctionnement.

Avertissement (une erreur peut intervenir si

4 Warning warn (warning)
aucune action n'est prise).

5 Notice notice Événement normal méritant d'être signalé.

6 Informational info Pour information.
7 Debugging debug Message de mise au point.

05/12/2019 Red Hat System Administration I (RH124) 7

 Configuration de Rsyslog
• Le démon Rsyslog enregistre les évènements dans le répertoire /var/log
• Les règles de journalisation sont définies par un fichier /etc/rsyslog.conf

• Les origines peuvent être multiples et sont juxtaposées à l'aide d'un ‘;’.
Elles sont construites sous la forme :
 facility.criticity

• La criticité doit être comprise comme la criticité minimale,

ainsi user.crit correspond au message d'origine utilisateur pour le niveau de criticité critical
et les niveaux supérieurs, en l'occurrence alert et emergency.

• Le mot clef "none" peut lui aussi être utilisé afin de filtrer les messages, il est alors utilisé
en lieu et place de la criticité.

05/12/2019 Red Hat System Administration I (RH124) 8

 Syntaxe du fichier /etc/rsyslog.conf

05/12/2019 Red Hat System Administration I (RH124) 9

 Syntaxe du fichier /etc/rsyslog.conf

05/12/2019 Red Hat System Administration I (RH124) 10

 Fichiers log : /var/log/

05/12/2019 Red Hat System Administration I (RH124) 11

 journald
• Red Hat Enterprise Linux fournit depuis sa version 7 un nouveau démon de
journalisation, journald dans le cadre du passage à systemd.

• journald capture les types de message suivant pour tous les services :
 messages syslog
 messages du noyau
 messages de disque RAM initial et de premier démarrage
 messages envoyés à la sortie standard et sortie d'erreur standard
Ces messages sont ensuite stockés dans des fichiers journaux natifs : sous forme de
fichiers binaires indexés, structurés, qui contiennent des métadonnées utiles et sont plus
rapides et faciles à rechercher par rapport au fichiers texte traditionnels de Rsyslog.
/run/log/journal/

05/12/2019 Red Hat System Administration I (RH124) 12

 journald
• Tous les services gérés par Systemd sont loggués par journald dès le démarrage de la
machine, mais également kernel et initrd
• Les logs sont authentifiés
• Journald gère la saturation des logs, afin de réduire l’espace disque lié à la journalisation
• Journald est compatible avec syslog
• Journald fournit une commande de gestion des journaux : journalctl

• Par défaut, les fichiers journaux ne sont pas stockés de manière persistante.

• La quantité de données journalisée dépend de la quantité de mémoire libre disponible :

lorsque le système n'a plus d'espace en mémoire ou dans le répertoire
/run/log/journal, les fichiers journaux les plus anciens seront supprimés afin de pouvoir
continuer la journalisation.

05/12/2019 Red Hat System Administration I (RH124) 13

 Journald

Pour activer le stockage persistant pour Journal, créez le répertoire journal manuellement comme
indiqué dans l'exemple suivant:

Taux d’occupation du disque par journatcl

05/12/2019 Red Hat System Administration I (RH124) 14

 Journald

05/12/2019 Red Hat System Administration I (RH124) 15

 Journald

05/12/2019 Red Hat System Administration I (RH124) 16

 Centralisation des log avec Rsyslog
Dans le fichier de configuration du serveur Rsyslog ( /etc/rsyslog.conf ), activer sur le server central me
port TCP 512 (ou UDP au choix)

Dans le fichier de configuration des clients Rsyslog ( /etc/rsyslog.conf ), activer l’envoi en TCP des loge au
serveur central (pour UDP mettre 1 @ unique devant l’IP du serveur central)

Ajout de règles regex sur le contenu du log et redirection du log vers un fichier particulier

05/12/2019 Red Hat System Administration I (RH124) 17

 Red Hat System Administration I
05/12/2019
(RH124)
18