debian syslog Nous avons deux machines A (l'entrepot) et B (le client). B souhaite envoyer ses logs sur A. Voici la configuration:

A est un serveur sous Debian Lenny sur lequel nous allons dire à syslogd de mettre un port en écoute. Cela se fait dans /etc/default/syslogd/:

 10 #
 11 # For remote UDP logging use SYSLOGD="-r"
 12 #              
 13 SYSLOGD="-r"

On relance le demo avec le script dans init.d

# /etc/init.d/sysklogd restart

Et on voit ainsi un port UDP en écoute:

# netstat -taupen|grep syslog
udp   0  0 0.0.0.0:514   0.0.0.0:*       0        3847879    2172/syslogd

Ne pas oublier d'ouvrir le firewall pour accepter les paquets entrant vers le port 514 (depuis les sources identifiées évidemment).

Sur le client, on va copier toutes les entrées syslog du fichier /etc/syslog.conf et remplacer le fichier de destination par l'adresse de la machine A:

Ca donne, sur Debian Etch, un fichier qui a cette tête là:

############## REMOTE SYSLOG ############################
# copy everything from the above to machineA.reseau.com  
#  
# First some standard logfiles.  Log by facility.  
#  
 
auth,authpriv.*        @machineA.reseau.com  
*.*;auth,authpriv.none -@machineA.reseau.com 
 
daemon.*               -@machineA.reseau.com 
kern.*                 -@machineA.reseau.com 
lpr.*                  -@machineA.reseau.com 
mail.*                 -@machineA.reseau.com 
user.*                 -@machineA.reseau.com 
uucp.*                  @machineA.reseau.com  
 
#  
# Logging for the mail system.  Split it up so that
# it is easy to write scripts to parse these files.
#  
mail.info              -@machineA.reseau.com 
mail.warn              -@machineA.reseau.com 
mail.err                @machineA.reseau.com  
 
# Logging for INN news system 
#  
news.crit              @machineA.reseau.com  
news.err               @machineA.reseau.com  
news.notice            -@machineA.reseau.com 
 
#  
# Some `catch-all' logfiles.  
#  
*.=debug;\  
  auth,authpriv.none;\  
  news.none;mail.none  -@machineA.reseau.com 
*.=info;*.=notice;*.=warn;\
  auth,authpriv.none;\  
  cron,daemon.none;\ 
  mail,news.none       -@machineA.reseau.com 

De même ici, on ouvre le firewall pour sortir vers le port UDP/514 de machine A.

Reste à relancer syslogd:

# /etc/init.d/sysklogd restart

De retour sur la machine A, utiliser tcpdump pour vérifier que B envoi bien ses logs. Par exemple, quand je me log en SSH sur la machine B, la machine A reçoit:

# tcpdump -Svni eth0 -s 1500 udp and port 514

tcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 1500 bytes

11:11:02.039673 IP (tos 0x0, ttl 55, id 0, offset 0, flags [DF], proto UDP (17), length 109) 11.22.33.44.514 > 10.12.88.55.514: SYSLOG, length: 81
        Facility auth (4), Severity info(6)
        Msg: sshd[27827]: Accepted password for admin from 10.12.88.55 port 35439 ssh2\012

11:11:02.043547 IP (tos 0x0, ttl 55, id 0, offset 0, flags [DF], proto UDP (17), length 97) 11.22.33.44.514 > 10.12.88.55.514: SYSLOG, length: 69
        Facility auth (4), Severity info (6)
        Msg: sshd[27831]: (pam_unix) session opened for user toto by (uid=0)\012