Gestion des logs
Méthode classique
La configuration globale des logs système est gérée dans
/etc/syslog.conf.
Pour plus d'infos :
man syslog.conf
Exemple pour logger les tentatives de connexions via SSH :
Modifier le fichier de config de
/etc/ssh/sshd_config
# Logging
SyslogFacility AUTH # on met le facility à 'AUTH'
LogLevel INFO # on place le niveau de logging à 'INFO' (on aurait pu mettre QUIET, DEBUG ou encore ERROR)
Pour logger tous les évènements concernant la facility
AUTH (comme le service
sshd qu'on vient de configurer) :
auth.* /var/log/sshd/auth.log
NB : il est possible d'affiner le logging en filtrant le loglevel de la
facility.
Par exemple pour :
- stocker les logs de debug dans un fichier à part,
- garder les logs d'autres niveaux dans /var/log/sshd/auth.log
- garder une copie des infos dans /var/log/sshd/auth-info.log en plus de /var/log/sshd/auth.log
- garder une copie des erreurs dans /var/log/sshd/auth-error.log en plus de /var/log/sshd/auth.log
auth.*;auth.!=debug /var/log/sshd/auth.log
auth.info -/var/log/sshd/auth-info.log
auth.err;auth.crit;auth.notice;auth.warn;auth.alert -/var/log/sshd/auth-err.log
auth.debug -/var/log/sshd/auth-debug.log
NB : le caractère
- indique au système de ne pas synchroniser les fichiers à chaque accès pour limiter l'usage des ressources de la machine. Le risque étant de perdre des infos en cas d'extinction sauvage de la machine.
Créer le(s) fichier(s) de log :
touch /var/log/sshd/auth.log && touch /var/log/sshd/auth-info.log && touch /var/log/sshd/auth-err.log && touch /var/log/sshd/auth-error.log
Redémarrer les services :
/etc/init.d/ssh restart
/etc/init.d/syslogd restart
Next generation logging
Cette méthode utilise le programme
syslog-ng.