Installation Serveur Rsyslog

Introduction

Un serveur de logs va centraliser les logs de toutes les machines du réseau.
Il va réceptionner les logs envoyés par toutes les machines.

Nous allons mettre en place un tel serveur ainsi que montrer la configuration de base d'un client (qui enverra ses logs au serveur)
Je ne détaille pas ici la configuration réseau des machines, elle est déjà faîte.
Voir les articles consacrés en cas de besoin.

Nous avons 2 zones réseau :

un LAN (10.10.10.0/24)
- 10.10.10.1 : passerelle
- 10.10.10.10 : un client windows 11 pro
- 10.10.10.200 : un serveur de supervision Nagios-XI
- 10.10.10.210 : un serveur Linux Debian 12 qui sera notre serveur de logs Rsyslog
une DMZ (10.10.11.0/30)
- 10.10.11.1 : passerelle
- 10.10.11.2 : un serveur web sous debian avec Wordpress installé dessus

Capture d'écran

Configuration du serveur Rsyslog

1) Changer le hostname

(le hostname par défaut de ma VM est "debian", je vais le changer pour "RSYSLOG")

Passez en root :

su -

Changez le hostname

sed -i 's/debian/RSYSLOG/' /etc/hosts
sed -i 's/debian/RSYSLOG/' /etc/hostname

redémarrez

reboot

2) Installez et configurez rsyslog (toujours en root)

apt update
apt install rsyslog net-tools -y
systemctl enable rsyslog

Configurez rsyslog afin que les flux passent uniquement en UDP, sur le port par défaut (514) et qu'il n'autorise que les machines sur nos réseaux à lui envoyer des logs.
(faîtes un copier/coller des commandes suivantes)

echo '#############################################' >> /etc/rsyslog.conf
echo '# CONFIGURATION SERVEUR' >> /etc/rsyslog.conf
echo 'module(load="imudp")' >> /etc/rsyslog.conf
echo 'input(type="imudp" port="514")' >> /etc/rsyslog.conf
echo '$AllowedSender UDP, 127.0.0.1, 10.10.10.0/24, 10.10.11.0/30' >> /etc/rsyslog.conf

Nous allons à présent faire en sorte que les logs de chaque client arrivent dans un dossier nominatif et distinct :
(sous la forme /var/log/rsyslogclients/HOSTNAMECLIENT-IPCLIENT/rsyslog.log)

echo '$template DynamicFile,"/var/log/rsyslogclients/%source%-%fromhost-ip%/rsyslog.log"' >> /etc/rsyslog.conf
echo '*.* ?DynamicFile' >> /etc/rsyslog.conf

Démarrez le service

systemctl start rsyslog

Vérifiez si tout s'est bien passé

systemctl status rsyslog
netstat -peanut | grep udp

(le service doit être lancé et le port 514 apparaître dans netstat)

Configuration d'un client (Debian WORDPRESS)

1) Changer le hostname

(le hostname par défaut de ma VM est "debian", je vais le changer pour "WORDPRESS")

Passez en root :

su -

Changez le hostname

sed -i 's/debian/WORDPRESS/' /etc/hosts
sed -i 's/debian/WORDPRESS/' /etc/hostname

redémarrez

reboot

2) Installez et configurez rsyslog (toujours en root)

apt update
apt install rsyslog -y
systemctl enable rsyslog

Configurer le rôle de client (afin que notre WORDPRESS renvoie ses logs à RSYSLOG)
(faîtes un copier/coller des commandes suivantes)

echo '#############################################' >> /etc/rsyslog.conf
echo '# CONFIGURATION CLIENT' >> /etc/rsyslog.conf
echo 'auth,authpriv.* @10.10.10.210' >> /etc/rsyslog.conf

Démarrez le service

systemctl start rsyslog

Vous devriez voir les logs de votre client WORDPRESS remonter sur le serveur RSYSLOG, dans le dossier /var/log/rsyslogclients/

↑ Haut de page