Skip to main content

Mettre en place un service permettant de recueillir ces logs et de pouvoir les consulter (serveur de logs)

Serveur de logs

Infrastructure mise en place

Composant Détail
Serveur VM ubuntu test ProXmox
IP 192.168.99.7
OS Ubuntu 22.04.5 LTS
Service de collecte rsyslog 8.2112.0
Interface web Loganalyzer 4.1.13
Port d'écoute UDP 514

1. Installation rsyslog

sudo apt update && sudo apt install rsyslog -y
sudo systemctl enable rsyslog
sudo systemctl start rsyslog

2. Activation réception UDP 514

Dans /etc/rsyslog.conf, décommenter :

module(load="imudp")
input(type="imudp" port="514")

3. Configuration du tri par équipement

/etc/rsyslog.d/cisco.conf :

:fromhost-ip, isequal, "192.168.99.14" /var/log/cisco/switch_bat_a.log
& /var/log/cisco/all.log
& stop

:fromhost-ip, isequal, "192.168.99.13" /var/log/cisco/switch_bat_b.log
& /var/log/cisco/all.log
& stop

:fromhost-ip, isequal, "192.168.99.1" /var/log/cisco/routeur.log
& /var/log/cisco/all.log
& stop

4. Création du dossier et droits


sudo mkdir -p /var/log/cisco
sudo chown syslog:adm /var/log/cisco
sudo chmod 755 /var/log/cisco
sudo chmod 644 /var/log/cisco/*.log
sudo systemctl restart rsyslog

5. Rotation des logs (365 jours)

/etc/logrotate.d/cisco :

/var/log/cisco/*.log {
    daily
    rotate 365
    compress
    missingok
    notifempty
    postrotate
        systemctl restart rsyslog
    endscript
}

6. Installation Loganalyzer


sudo apt install apache2 php libapache2-mod-php -y
cd /tmp
wget https://download.adiscon.com/loganalyzer/loganalyzer-4.1.13.tar.gz
tar xzvf loganalyzer-4.1.13.tar.gz
sudo cp -r loganalyzer-4.1.13/src /var/www/html/loganalyzer
sudo chmod 777 /var/www/html/loganalyzer
cd /var/www/html/loganalyzer
sudo touch config.php
sudo chmod 666 config.php

7. Droits de lecture Loganalyzer


sudo chmod 644 /var/log/syslog
sudo chmod 644 /var/log/cisco/*.log

8. Vérifications

# Port 514 ouvert
sudo ss -ulnp | grep 514

# Paquets reçus
sudo tcpdump -i any port 514 -nn

# Fichiers de logs
ls /var/log/cisco/

# Logs en temps réel
tail -f /var/log/cisco/switch_bat_a.log
tail -f /var/log/cisco/switch_bat_b.log
tail -f /var/log/cisco/routeur.log

# Validation config rsyslog
sudo rsyslogd -N1 2>&1

Résultat final

  • Logs reçus en temps réel depuis les 3 équipements 
  • Fichiers séparés par équipement 
  • Rotation 365 jours 
  • Interface web Loganalyzer accessible sur http://192.168.99.7/loganalyzer 
  • Filtrage par Facility, Severity, Hostname disponible 
No Comments
Back to top