Log à distance - Remote logging
-
Config : Pfsense 2.2.6 (x86)
Bonjour,
Suite à la limitation du log stocké en local, je voudrais en savoir plus sur l'utilisation de Remote syslog server.
Côté Pfsense, le paramétrage semble intuitif en disant que :- il faut cocher "Enable remote logging" - "send log messages to remote syslog server"
- choisir parmi les choix dans "Remote syslog Contents" ou cocher everything
Ma question porte sur le serveur qui va recevoir les logs. Par exemple en interne, j'ai plusieurs serveurs avec leurs adresses locales : serveur AD, serveur Mail etc … mais tout est en windows 2K8 ou 2012.
Mon souci si je mets l'adresse 192.168.1.XXX d'un serveur windows, où est ce que le log va atterir ? ou faut il apache ou autre chose ?
N'y a t il pas lieu de définir auparavant dans le serveur des paramètres qui permettent l'écriture ?Merci d'avance
-
La réponse ne serait elle pas dans la question ?
Remote Syslog Server = Remote + ( Syslog Server )
Trouvez ce qu'est un 'Syslog Server' et vous aurez votre réponse …
Je ne pense pas que les serveurs Windows soient 'Syslog Server' ... -
Si tu veux que ton serveur rsyslog soit absolument sur une machine Windows, tu peux essayer Kiwi
C'est un peu cher quand même en comparaison d'un bête serveur rsyslog sur une machine Linux (à condition de disposer de la machine bien sûr) -
Merci,
Effectivement j'aurais du commencer par chercher rsyslog. C'est un terme nouveau pour moi, même si je connais un de linux. -
Note que pour faire juste un serveur rsyslog destiné à collecter du log (je veux dire pas là sans interface pour analyser le contenu, filtrer etc…), tu peux te contenter d'une machine très modeste.
Je fais ça sur une plate-forme pour une dizaine de serveurs (y compris pfSense) avec une machine équipée d'un C7 Via avec une Debian minimaliste.
La machine ne fait que ça mais est, au final, très peu sollicitée. -
La problématique de centralisation de log (syslog) est importante :
- capacité à analyser les logs de machines, même machine arrêtés (post-mortem)
- stockage direct : un attaquant du firewall ne peut effacer les logs déjà envoyés !
- contrôle sur la simultanéité de problèmes sur plusieurs machines liées
Mais il faut prévoir la capacité de stockage et l'outil d'analyse …
Il y a donc 2 points de vue possibles :
- démarrer 'petit' : un syslog sur un petit linux, avec une rotation courte (pour éviter l'engorgement)
- démarrer 'complet' : quel serveur, quel stockage (texte ou sql), quel outil d'analyse, ...
NB : les matériels 'simples' (firewall, switchs, point d'accès wifi) savent produire du syslog ... pas les serveurs Windows !
Un bon site : monitoring-fr
-
Salut salut
Je confirme les dires de jdh, je travaille aussi dans l'étude d'une mise ne place d'un serveur de log/monitoring de mon infrastructure qui commence à être de plus en plus conséquente.
-
2 lien adsl
-
1 cluster pf
-
2 switch administrable coté lan
-
1 cluster nas4free (iscsi+smb+nfs)
-
1 cluster de virtu esxi
-
1 cluster de virtu hyper-v
-
1 cluster de virtu proxmox
-
2 switch administrable coté iscsi entre les nas et les cluster de virtu
-
2 ap wifi
vu le nombre de vm à gérer les log sont envoyer sur le cluster nas c'est la que pioche la vm de supervision.
Je sais c'est gros pour un particulier mais cela occupe bien faute de mieux.Comme l'a dis jdh partir petit avec une rotation courte des log, oui c'est une idée mais dans mon cas cela n'est pas viable.
Ce ci n'est qu'un avis, un conseil en fonction de mon architecture.++
-
-
Le propre de 'syslog' : protocole hyper simple et donc hyper fiable et efficace.
On observe alors qu'il y a 2 types des machines :
- les machines 'sans bruit' : point d'accès wifi, switchs, firewall (si peu de log), …
- les machines 'bruyantes' : hôtes VMware, serveurs Windows, firewall (log à chaque rules), ...
Exemple = 40 VM windows = 60 G de base mysql en 6-8 semaines = ça devient trop lourd => nécessité de faire des scripts pour éliminer les remontées inutiles
Monitoring-fr donne une liste d'outils d'analyse (ccnet en avait parlé aussi).
-
Comme l'a dis jdh partir petit avec une rotation courte des log, oui c'est une idée mais dans mon cas cela n'est pas viable.
Ce ci n'est qu'un avis, un conseil en fonction de mon architecture.Comme quoi tout est question de besoin et d'objectif.
Mon serveur rsyslog basé sur un C7 Via (c'est une machine dédiée qui ne sert qu'au rsyslog) couvre un périmètre très similaire:- 2 WAN
- 3 NAS (j'ai fait le choix de OpenMediaVault pour 2 d'entre eux :P)
- des VM ESXi et Proxmox
- des switch et du wifi
et tout ça est poussé sur le serveur rsyslog sans problème 8)
Ce qui est important, c'est de bien comprendre le type de log à collecter et l'usage qui va en être fait.
Si tu dois collecter du log issu d'un IDS et le log issu d'un proxy (exemple classique) c'est difficile sans outil de corrélation de log.
Si tu ne collectes que du syslog (c'est mon cas) ou du log windows poussé dans rsyslog, il y a des agents qui font ça très bien, NTP suffit à aligner raisonnablement les évènements.De même si tu veux avoir une base SQL pour faire des requêtes et des vues dans tous les sens, un petit serveur peut être limité mais si ton usage du log, c'est du grep et du awk 8) une petite machine suffit largement pour lire du syslog.