Le blog de MadeInSyria

Un ptit tuto pour finir l’année ça vous dit ?! Moi oui, donc on y va ! Ces deux derniers jours, j’ai fais face à une problématique de centralisation de logs Windows. Le standard retenu est « Syslog ». En effet, l’export des log par définition de l’emplacement réseau d’un partage n’est pas considéré comme propre. Le problème a donc été : comment déployer un système de log du monde Unix dans un environnement full Windows ?

Coté serveur…

Le grand problème a été le coté serveur, en effet la plus part des solutions sont payantes et pas forcement efficaces. C’est alors que je me suis souvenu de Cygwin. Cygwin est un petit logiciel qui permet de faire tourner des services Unix sous Windows grâce à une sur-couche. Mon but a donc été de faire tourner Syslog-ng, le meilleur serveur syslog Unix que je connais, sur Windows. Pour y arriver il a fallu :

Installer Cygwin

1. Télécharger Cygwin (www.cygwin.com)
2. Lancer l’installation et choisir un miroir pour télécharger les paquet nécessaires.
3. Choisir les paquet qui me sont utiles, à savoir : Syslog-ng (ouai ouai c’est vrai), vim, cygrunsrv, ssh, cron.
4. Continuer l’installation jusqu’au bout.

Configurer syslog-ng

1. Lancer Cygwin
2. Exécuter /usr/bin/syslog-ng-config et accepter de créé les fichiers de configurations si on vous le demande. Aussi accepter d’exécuter syslog-ng comme un service (voilà l’utilité du paquet cygrunsrv).
3. Il faut maintenant configurer syslog-ng. Pour cela il faut éditer /etc/syslog-ng.conf (voilà l’utilité du paquet vim). Si vous trainez sur cette page, vous savez surement comment on fait… je vous donne quand même une configuration ultra minimale, juste histoire de faire tourner le serveur (bah oui ça doit fonctionner…) :

options {
  keep_hostname(yes);
  owner("system");
  group("root");
  perm(0664);
  flush_lines(0);
};
 
source reseau {
  tcp (port(514));
  udp (port(514));
};
 
destination reseau {
  file ("/var/log/$HOST.log");
};
 
log {
  source (reseau);
  destination (reseau);
};

Avec cette configuration, encore une fois ultra simpliste, votre démon syslog-ng écoutera les connexions sur le port 514 (port syslog par défaut) en TCP et UPD. Il mettra ensuite ces log dans /var/log/{HOSTNAME_DE_VOTRE_CLIENT}.log ( soit C:\cygwin\var\log\{HOSTNAME_DE_VOTRE_CLIENT}.log)

4. Lancer l’invite de commande Windows (Win+R puis « cmd ») et lancer le démon syslog-ng : NET START syslog-ng

Voilà votre serveur syslog-ng tourne !

NB : Pour arrêter le démon syslog-ng, on utilise : NET STOP syslog-ng

Coté client…

Coté client, rien de bien méchant, les agents syslog sont légions. J’ai retenu « Snare » pour cela pour son interface très simple à prendre en main, sa légèreté et son grand niveau de customisation. Donc coté client, il faut :

Installer Snare :

1. Télécharger Snare (http://www.intersectalliance.com/projects/SnareWindows/index.html)
2. Installer Snare en le configurant pour un contrôle en local et sans mot de passe.

Configurer Snare :

1. Cliquer sur « Network Configuration »
2. Entrer l‘ip du serveur syslog-ng dans le champ « Destination Snare Server address »
3. Entrer le port d’écoute dans le champ « Destination Snare Server address »
4. Choisir votre SYSLOG Facility (Local6 par convention)
5. Choisir votre SYSLOG Priority (je vous recommande le DYNAMIC, mais c’est à voir au cas par cas) et valider les changements.
6. Cliquer pour finir sur le menu « Apply the Latest Audit Configuration » afin d’appliquer les changements.

Et voilà votre client envoie vos logs au serveur ! Je vous recommande bien sûr de personnaliser aussi bien la configuration du serveur que celle du client, afin de ne logger que ce qui vous intéresse et sous la forme qui vous convient le plus.

Voilà donc pour aujourd’hui, je vous souhaite d’avance une bonne année 2010 ! (avec tout le blabla inutile qui va généralement avec).