Skip to main content

Mission 4 — Mettre en place le serveur de logs (rsyslog)

Objectif : Réceptionner les logs en UDP/TCP 514 sur une VM Debian/Ubuntu.
-->Sur LePC faireUbuntu sur: Linux MV
Installation de
Activer la réception des logs :
sudo nano /etc/rsyslog.conf
Décommenter :
module(load="imudp")
input(type="imudp" port="514")

Redémarrer :

depuisleterminal.
sudo systemctl restart rsyslog

Pour voir les logs :

sudo tail -f /var/log/syslog

--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

PuTTy routeur + switch : 

Activer l'horodatage :
sudoservice apttimestamps updatelog datetime msec localtime show-timezone
sudoservice apt install -y rsyslogsequence-numbers

Activation

Logs de l'écoute UDP/TCP 514interfaces (UP/DOWN) ConnectéSwitch /et Non-connecté)

Routeur : 
5. ACL avec logs (seulement Routeur)
sudoip sedaccess-list -iextended 's/#module(load="imudp")/module(load="imudp")/' /etc/rsyslog.confSECURITE
sudo sed  -ideny 's/#input(type="imudp"ip port="514")/input(type="imudp"any port="514")/'any /etc/rsyslog.conflog
sudo sed  -ipermit 's/#module(load="imtcp")/module(load="imtcp")/'ip /etc/rsyslog.confany any

interface gi0/0/0
sudo sed  -iip 's/#input(type="imtcp"access-group port="514")/input(type="imtcp"SECURITE port="514")/' /etc/rsyslog.confin
sudo
systemctl
interface restartgi0/0/1
rsyslog
   ip access-group SECURITE in

LePort-Security script en résumer(Switch) : 

    Téléphone

  • +

    ActivePC la réception de logs UDP

  • Active la réception de logs TCP

  • Configure le port 514

  • Redémarre rsyslog

Pour le contrôlertéléphone

sudointerface ssrange -tulpnfa0/6 |, grepfa0/7, 514fa0/8
   switchport mode access
   switchport port-security
   switchport port-security maximum 2
   switchport port-security mac-address sticky
   switchport port-security violation restrict

CaméraIP :

interface range fa0/19 , fa0/20
   switchport mode access
   switchport port-security
   switchport port-security maximum 1
   switchport port-security mac-address sticky
   switchport port-security violation shutdown
Sur PC Ubuntu : 
Activer la réception des logs :
sudo nano /etc/rsyslog.conf
Décommenter :
module(load="imudp")
input(type="imudp" port="514")

Redémarrer :

sudo systemctl restart rsyslog

Pour voir les logs :

sudo tail -f /var/log/syslog

Description du code :--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

     

  • Vérifier

    que


    leserveurécoutesurleport514
  • Observer les logs en temps réel

    		•
Back to top