Configuration d'un agent Syslog dans Windows Server 2012 – Serveur d’impression
Sommaire
introduction
Êtes-vous un administrateur Windows qui ne connaît pas grand-chose à Syslog? C'est assez courant car les serveurs Windows utilisent des «événements», pas le standard IETF RFC3164 et RFC5424 syslog. Pourtant, le système d'exploitation Windows peut utiliser syslog si vous prenez les bonnes mesures. Voici ce que vous devez savoir sur syslog et comment configurer vos serveurs Windows pour envoyer syslog.
Qu'est-ce que Syslog?
Un système standard de rapport de journalisation système standard, syslog, est utilisé par la plupart des appareils et des systèmes d'exploitation du centre de données. Il comprend des messages liés à la gestion des systèmes, à la sécurité, au débogage et aux erreurs de système d'exploitation ou d'application. Non seulement syslog est pris en charge par tous les systèmes d'exploitation Linux et Unix, mais il est également pris en charge par les périphériques réseau (comme les routeurs, les commutateurs et les pare-feu), les périphériques de stockage et même les périphériques comme les imprimantes. En raison de sa large adoption, syslog est un excellent moyen de consolider les données de journalisation de l'ensemble du centre de données en un seul endroit à la fois pour la conservation et l'analyse. L'analyse des données Syslog est essentielle pour l'audit de sécurité, le dépannage et l'identification des erreurs de configuration. Cependant, dans de nombreux cas, il est même utile pour dépanner les configurations de stockage, la sécurité du stockage et même les performances de stockage. De nombreux appareils dans le centre de données (tels que les routeurs et commutateurs Cisco) ne stockent pas les messages Syslog historiques et, par conséquent, il est crucial de les consolider. Si ces données Syslog sont perdues lorsque le routeur perd l'alimentation ou tombe en panne, il peut être difficile, voire impossible, de résoudre le problème avec le périphérique.
Avec syslog, chaque périphérique envoyant des messages syslog utilise un agent pour ce faire. Ces messages des agents sont envoyés à un serveur Syslog central. Chaque message syslog est envoyé avec un «code d'installation» particulier, utilisé pour identifier le type de logiciel qui a généré le message. Les messages Syslog par défaut sont – auth, authpriv, daemon, cron, ftp, lpr, kern, mail, news, syslog, user, uucp, local0 – local7. Une gravité est attribuée à ces messages en utilisant l'une des classifications suivantes – Urgence, Alerte, Critique, Erreur, Avertissement, Notification, Info ou Débogage. Sous Linux, les messages syslog sont généralement stockés dans / var / log et la plupart des systèmes d'exploitation Linux offrent un outil en ligne de commande pour envoyer des données au fichier journal appelé enregistreur.
Syslog et le système d'exploitation Windows Server
Alors, qu'est-ce que tout cela a à faire avec Windows Server 2012, demandez-vous? Avec la plupart des autres appareils du centre de données envoyant des messages Syslog à un serveur Syslog centralisé, qu'en est-il de Windows? Le problème est que, contrairement à Linux, le système d'exploitation Windows n'inclut pas d'agent Syslog capable d'envoyer des données Syslog à un serveur Syslog. Sans agent Syslog, non seulement le système d'exploitation Windows ne peut pas envoyer de messages Syslog à un serveur Syslog, mais il ne peut pas non plus envoyer de messages Syslog à partir d'applications exécutées dans le système d'exploitation Windows (comme un serveur Web ou une base de données).
J'ai découvert cela en testant le nouvel outil de consolidation et d'analyse syslog de VMware – vCenter Log Insight. Log Insight est un serveur syslog qui effectue non seulement une consolidation mais également une analyse en temps réel de toutes les données de journalisation qui lui sont envoyées. Il convient parfaitement à l'infrastructure virtuelle VMware vSphere car il se connecte directement à votre serveur vCenter et aux hôtes ESXi. Il comprend les statistiques qu'il collecte à partir de l'infrastructure vSphere et est un excellent outil pour analyser les journaux système et identifier les erreurs avant qu'elles n'affectent les utilisateurs finaux.
Options de l'agent Syslog pour Windows 2012
Si vous utilisez votre moteur de recherche préféré et que vous effectuez une recherche sur "agent syslog windows", vous aurez le choix entre un certain nombre d'agents syslog (la plupart étant gratuits). Voici quelques-unes des options que j'ai trouvées:
Notez s'il vous plaît:
Je n'ai testé aucun de ces agents syslog à l'exception d'un – Datagram SyslogAgent – (qui s'est avéré être le premier que j'ai choisi et testé ci-dessous). Donc, je ne dis pas que celui que j'ai sélectionné était meilleur ou pire que les autres, c'est justement celui que j'ai utilisé.
Notez également que vous ne devez pas confondre les serveurs Syslog avec les agents Syslog. Les serveurs Syslog (ou hôtes Syslog) collectent les données Syslog et les agents envoient ces données. Pour Windows Server, vous avez besoin d'un agent, pas d'un collecteur (ou d'un serveur). Par exemple, le serveur syslog Solarwinds (anciennement serveur syslog Kiwi) est un serveur syslog, pas un agent syslog. Si vous n'avez pas encore de serveur Syslog, c'est une bonne option pour une utilisation générale ou vCenter Log Insight est une bonne option si vous utilisez déjà VMware vSphere.
Téléchargement et installation de Datagram Syslog Agent
Pour mes tests, j'ai sélectionné le Datagram SyslogAgent gratuit. Sur la page du produit, j'ai cliqué sur le Télécharger puis sélectionné le Agent Syslog Datagram 64 bits télécharger (ne choisissez pas le serveur Syslog en haut de la page). Notez que vous pouvez soit accéder à cette page Web directement à partir du serveur sur lequel vous souhaitez installer l'agent syslog, soit le télécharger sur votre ordinateur local, puis le transporter sur le serveur Windows via le réseau ou la clé USB.
Si vous extrayez le fichier Syslog de 2 Mo que vous avez téléchargé, il y a quelques fichiers mais les trois seuls fichiers importants sont le manuel de l'utilisateur PDF, l'outil de configuration SyslogAgent et le SyslogAgent que vous devez installer sur le serveur.
Figure 1: Fichiers d'installation de SyslogAgent
Dans le sens d'une installation d'application Windows traditionnelle, il n'y en a pas pour le service SyslogAgent. Vous venez d'exécuter l'outil SyslogAgentConfig et cliquez sur Installer sous le État du service section en haut.
Figure 2: Installation du service SyslogAgent
Cela créera le service Windows pour le SyslogAgent.
Avant de devenir trop excité et de démarrer le service, commençons par le configurer.
La configuration minimale serait:
- Que le service est installé
- Une adresse IP et un port de serveur Syslog sont configurés
- Que les journaux des événements ou des applications soient sélectionnés pour être envoyés à l'hôte syslog (pour le type d'événements et / ou d'applications que vous choisissez)
- Et que le service d'agent syslog est démarré.
Pour sélectionner où les données du journal de votre hôte Windows seront envoyées, entrez l'adresse IP de l'hôte syslog, comme vous le voyez dans le graphique, figure 2, ci-dessus. Dans mon cas, l'adresse IP du serveur syslog Log Insight était 10.0.1.120 et nous utilisions le port UDP 514.
Avec cela activé, j'ai vérifié la Journaux des événements et sélectionné le type de journaux d'événements que je voulais. Pour la surveillance du système, je recommanderais d'envoyer des «journaux système», mais vous êtes invités à envoyer tout type de journaux que vous souhaitez, comme des journaux de sécurité pour
à des fins d'audit.
Figure 3: Sélection des journaux d'événements à envoyer à l'hôte Syslog
En option, vous pouvez configurer les événements du journal des applications pour transférer et même personnaliser leur facilité et leur gravité, comme vous le voyez dans la figure 4.
Figure 4: Personnalisation de l'installation et de la gravité
Facultativement, vous pouvez choisir d'envoyer des événements d'applications Windows spécifiques à l'hôte syslog, même en spécifiant l'exécutable de l'application personnalisée (comme vous le voyez au bas de la figure 2).
Une fois que vous l'avez configuré, cliquez sur Démarrer le service.
Vous êtes invités à vérifier vos services Windows pour voir que le SyslogAgent est ajouté et fonctionne comme vous le voyez ci-dessous dans la figure 5.
Figure 5: SyslogAgent s'exécutant dans les services
Avec l'agent syslog en cours d'exécution, allons vérifier notre serveur syslog pour voir s'il reçoit des messages de notre serveur Windows 2012.
Test de Syslog avec VMware vCenter Log Insight
Supposons que votre serveur Syslog a été installé et fonctionne correctement, à l'adresse IP que vous avez spécifiée sur l'agent. Dans mon cas, j'utilise le nouveau VMware vCenter Log Insight comme hôte syslog, mais il existe de nombreuses options.
Sur la console vCenter Log Insight, en effet, j'ai pu rapidement identifier le trafic syslog provenant de mon serveur Windows 2012 (avec un nom DNS de HV1).
Figure 6: Message Syslog de Windows Server sur vCenter Log Insight
Le graphique montre que le serveur syslog signale les connexions et déconnexions des utilisateurs administratifs (au moins dans cette partie du journal) – ce qui serait très utile à des fins d'audit de sécurité. Gardez à l'esprit que les entrées syslog de Windows ne seront pas uniquement des informations de sécurité. Ils contiendront également des événements système et d'application importants.
Vues du message:
37 523
Commentaires
Laisser un commentaire