introduction \nÊtes-vous un administrateur Windows qui ne connaît pas grand-chose à Syslog? C'est assez courant car les serveurs Windows utilisent des «événements», pas le standard IETF RFC3164 et RFC5424 syslog. Pourtant, le système d'exploitation Windows peut utiliser syslog si vous prenez les bonnes mesures. Voici ce que vous devez savoir sur syslog et comment configurer vos serveurs Windows pour envoyer syslog.\nQu'est-ce que Syslog?\nUn système standard de rapport de journalisation système standard, syslog, est utilisé par la plupart des appareils et des systèmes d'exploitation du centre de données. Il comprend des messages liés à la gestion des systèmes, à la sécurité, au débogage et aux erreurs de système d'exploitation ou d'application. Non seulement syslog est pris en charge par tous les systèmes d'exploitation Linux et Unix, mais il est également pris en charge par les périphériques réseau (comme les routeurs, les commutateurs et les pare-feu), les périphériques de stockage et même les périphériques comme les imprimantes. En raison de sa large adoption, syslog est un excellent moyen de consolider les données de journalisation de l'ensemble du centre de données en un seul endroit à la fois pour la conservation et l'analyse. L'analyse des données Syslog est essentielle pour l'audit de sécurité, le dépannage et l'identification des erreurs de configuration. Cependant, dans de nombreux cas, il est même utile pour dépanner les configurations de stockage, la sécurité du stockage et même les performances de stockage. De nombreux appareils dans le centre de données (tels que les routeurs et commutateurs Cisco) ne stockent pas les messages Syslog historiques et, par conséquent, il est crucial de les consolider. Si ces données Syslog sont perdues lorsque le routeur perd l'alimentation ou tombe en panne, il peut être difficile, voire impossible, de résoudre le problème avec le périphérique.\nAvec syslog, chaque périphérique envoyant des messages syslog utilise un agent pour ce faire. Ces messages des agents sont envoyés à un serveur Syslog central. Chaque message syslog est envoyé avec un «code d'installation» particulier, utilisé pour identifier le type de logiciel qui a généré le message. Les messages Syslog par défaut sont – auth, authpriv, daemon, cron, ftp, lpr, kern, mail, news, syslog, user, uucp, local0 – local7. Une gravité est attribuée à ces messages en utilisant l'une des classifications suivantes – Urgence, Alerte, Critique, Erreur, Avertissement, Notification, Info ou Débogage. Sous Linux, les messages syslog sont généralement stockés dans / var / log et la plupart des systèmes d'exploitation Linux offrent un outil en ligne de commande pour envoyer des données au fichier journal appelé enregistreur.\nSyslog et le système d'exploitation Windows Server\nAlors, qu'est-ce que tout cela a à faire avec Windows Server 2012, demandez-vous? Avec la plupart des autres appareils du centre de données envoyant des messages Syslog à un serveur Syslog centralisé, qu'en est-il de Windows? Le problème est que, contrairement à Linux, le système d'exploitation Windows n'inclut pas d'agent Syslog capable d'envoyer des données Syslog à un serveur Syslog. Sans agent Syslog, non seulement le système d'exploitation Windows ne peut pas envoyer de messages Syslog à un serveur Syslog, mais il ne peut pas non plus envoyer de messages Syslog à partir d'applications exécutées dans le système d'exploitation Windows (comme un serveur Web ou une base de données).\nJ'ai découvert cela en testant le nouvel outil de consolidation et d'analyse syslog de VMware – vCenter Log Insight. Log Insight est un serveur syslog qui effectue non seulement une consolidation mais également une analyse en temps réel de toutes les données de journalisation qui lui sont envoyées. Il convient parfaitement à l'infrastructure virtuelle VMware vSphere car il se connecte directement à votre serveur vCenter et aux hôtes ESXi. Il comprend les statistiques qu'il collecte à partir de l'infrastructure vSphere et est un excellent outil pour analyser les journaux système et identifier les erreurs avant qu'elles n'affectent les utilisateurs finaux.\nOptions de l'agent Syslog pour Windows 2012\nSi vous utilisez votre moteur de recherche préféré et que vous effectuez une recherche sur "agent syslog windows", vous aurez le choix entre un certain nombre d'agents syslog (la plupart étant gratuits). Voici quelques-unes des options que j'ai trouvées:\nNotez s'il vous plaît:Je n'ai testé aucun de ces agents syslog à l'exception d'un – Datagram SyslogAgent – (qui s'est avéré être le premier que j'ai choisi et testé ci-dessous). Donc, je ne dis pas que celui que j'ai sélectionné était meilleur ou pire que les autres, c'est justement celui que j'ai utilisé.\nNotez également que vous ne devez pas confondre les serveurs Syslog avec les agents Syslog. Les serveurs Syslog (ou hôtes Syslog) collectent les données Syslog et les agents envoient ces données. Pour Windows Server, vous avez besoin d'un agent, pas d'un collecteur (ou d'un serveur). Par exemple, le serveur syslog Solarwinds (anciennement serveur syslog Kiwi) est un serveur syslog, pas un agent syslog. Si vous n'avez pas encore de serveur Syslog, c'est une bonne option pour une utilisation générale ou vCenter Log Insight est une bonne option si vous utilisez déjà VMware vSphere.\nTéléchargement et installation de Datagram Syslog Agent\nPour mes tests, j'ai sélectionné le Datagram SyslogAgent gratuit. Sur la page du produit, j'ai cliqué sur le Télécharger puis sélectionné le Agent Syslog Datagram 64 bits télécharger (ne choisissez pas le serveur Syslog en haut de la page). Notez que vous pouvez soit accéder à cette page Web directement à partir du serveur sur lequel vous souhaitez installer l'agent syslog, soit le télécharger sur votre ordinateur local, puis le transporter sur le serveur Windows via le réseau ou la clé USB.\nSi vous extrayez le fichier Syslog de 2 Mo que vous avez téléchargé, il y a quelques fichiers mais les trois seuls fichiers importants sont le manuel de l'utilisateur PDF, l'outil de configuration SyslogAgent et le SyslogAgent que vous devez installer sur le serveur.\nFigure 1: Fichiers d'installation de SyslogAgent\nDans le sens d'une installation d'application Windows traditionnelle, il n'y en a pas pour le service SyslogAgent. Vous venez d'exécuter l'outil SyslogAgentConfig et cliquez sur Installer sous le État du service section en haut.\nFigure 2: Installation du service SyslogAgent\nCela créera le service Windows pour le SyslogAgent.\nAvant de devenir trop excité et de démarrer le service, commençons par le configurer.\nLa configuration minimale serait:
"},{"id":"text-2","type":"text","heading":"","plain_text":"Que le service est installé\nUne adresse IP et un port de serveur Syslog sont configurés\nQue les journaux des événements ou des applications soient sélectionnés pour être envoyés à l'hôte syslog (pour le type d'événements et / ou d'applications que vous choisissez)\nEt que le service d'agent syslog est démarré.","html":"Que le service est installé\nUne adresse IP et un port de serveur Syslog sont configurés\nQue les journaux des événements ou des applications soient sélectionnés pour être envoyés à l'hôte syslog (pour le type d'événements et / ou d'applications que vous choisissez)\nEt que le service d'agent syslog est démarré.
"},{"id":"text-3","type":"text","heading":"","plain_text":"Pour sélectionner où les données du journal de votre hôte Windows seront envoyées, entrez l'adresse IP de l'hôte syslog, comme vous le voyez dans le graphique, figure 2, ci-dessus. Dans mon cas, l'adresse IP du serveur syslog Log Insight était 10.0.1.120 et nous utilisions le port UDP 514.\nAvec cela activé, j'ai vérifié la Journaux des événements et sélectionné le type de journaux d'événements que je voulais. Pour la surveillance du système, je recommanderais d'envoyer des «journaux système», mais vous êtes invités à envoyer tout type de journaux que vous souhaitez, comme des journaux de sécurité pour à des fins d'audit.\nFigure 3: Sélection des journaux d'événements à envoyer à l'hôte Syslog\nEn option, vous pouvez configurer les événements du journal des applications pour transférer et même personnaliser leur facilité et leur gravité, comme vous le voyez dans la figure 4.\nFigure 4: Personnalisation de l'installation et de la gravité\nFacultativement, vous pouvez choisir d'envoyer des événements d'applications Windows spécifiques à l'hôte syslog, même en spécifiant l'exécutable de l'application personnalisée (comme vous le voyez au bas de la figure 2).\nUne fois que vous l'avez configuré, cliquez sur Démarrer le service.\nVous êtes invités à vérifier vos services Windows pour voir que le SyslogAgent est ajouté et fonctionne comme vous le voyez ci-dessous dans la figure 5.\nFigure 5: SyslogAgent s'exécutant dans les services\nAvec l'agent syslog en cours d'exécution, allons vérifier notre serveur syslog pour voir s'il reçoit des messages de notre serveur Windows 2012.\nTest de Syslog avec VMware vCenter Log Insight\nSupposons que votre serveur Syslog a été installé et fonctionne correctement, à l'adresse IP que vous avez spécifiée sur l'agent. Dans mon cas, j'utilise le nouveau VMware vCenter Log Insight comme hôte syslog, mais il existe de nombreuses options.\nSur la console vCenter Log Insight, en effet, j'ai pu rapidement identifier le trafic syslog provenant de mon serveur Windows 2012 (avec un nom DNS de HV1).\nFigure 6: Message Syslog de Windows Server sur vCenter Log Insight\nLe graphique montre que le serveur syslog signale les connexions et déconnexions des utilisateurs administratifs (au moins dans cette partie du journal) – ce qui serait très utile à des fins d'audit de sécurité. Gardez à l'esprit que les entrées syslog de Windows ne seront pas uniquement des informations de sécurité. Ils contiendront également des événements système et d'application importants.","html":"Pour sélectionner où les données du journal de votre hôte Windows seront envoyées, entrez l'adresse IP de l'hôte syslog, comme vous le voyez dans le graphique, figure 2, ci-dessus. Dans mon cas, l'adresse IP du serveur syslog Log Insight était 10.0.1.120 et nous utilisions le port UDP 514.\nAvec cela activé, j'ai vérifié la Journaux des événements et sélectionné le type de journaux d'événements que je voulais. Pour la surveillance du système, je recommanderais d'envoyer des «journaux système», mais vous êtes invités à envoyer tout type de journaux que vous souhaitez, comme des journaux de sécurité pour à des fins d'audit.\nFigure 3: Sélection des journaux d'événements à envoyer à l'hôte Syslog\nEn option, vous pouvez configurer les événements du journal des applications pour transférer et même personnaliser leur facilité et leur gravité, comme vous le voyez dans la figure 4.\nFigure 4: Personnalisation de l'installation et de la gravité\nFacultativement, vous pouvez choisir d'envoyer des événements d'applications Windows spécifiques à l'hôte syslog, même en spécifiant l'exécutable de l'application personnalisée (comme vous le voyez au bas de la figure 2).\nUne fois que vous l'avez configuré, cliquez sur Démarrer le service.\nVous êtes invités à vérifier vos services Windows pour voir que le SyslogAgent est ajouté et fonctionne comme vous le voyez ci-dessous dans la figure 5.\nFigure 5: SyslogAgent s'exécutant dans les services\nAvec l'agent syslog en cours d'exécution, allons vérifier notre serveur syslog pour voir s'il reçoit des messages de notre serveur Windows 2012.\nTest de Syslog avec VMware vCenter Log Insight\nSupposons que votre serveur Syslog a été installé et fonctionne correctement, à l'adresse IP que vous avez spécifiée sur l'agent. Dans mon cas, j'utilise le nouveau VMware vCenter Log Insight comme hôte syslog, mais il existe de nombreuses options.\nSur la console vCenter Log Insight, en effet, j'ai pu rapidement identifier le trafic syslog provenant de mon serveur Windows 2012 (avec un nom DNS de HV1).\nFigure 6: Message Syslog de Windows Server sur vCenter Log Insight\nLe graphique montre que le serveur syslog signale les connexions et déconnexions des utilisateurs administratifs (au moins dans cette partie du journal) – ce qui serait très utile à des fins d'audit de sécurité. Gardez à l'esprit que les entrées syslog de Windows ne seront pas uniquement des informations de sécurité. Ils contiendront également des événements système et d'application importants.
"},{"id":"text-4","type":"text","heading":"","plain_text":"Vues du message: \n\t\t\t37 523","html":"Vues du message: \n\t\t\t37 523
"},{"id":"text-5","type":"text","heading":"","plain_text":"signaler cette annonce","html":"signaler cette annonce
"},{"id":"text-6","type":"text","heading":"","plain_text":"Click to rate this post!\n \n [Total: 0 Average: 0]","html":"Click to rate this post!\n \n [Total: 0 Average: 0]
"}],"sections":[{"id":"text-1","heading":"Text","content":"introduction \nÊtes-vous un administrateur Windows qui ne connaît pas grand-chose à Syslog? C'est assez courant car les serveurs Windows utilisent des «événements», pas le standard IETF RFC3164 et RFC5424 syslog. Pourtant, le système d'exploitation Windows peut utiliser syslog si vous prenez les bonnes mesures. Voici ce que vous devez savoir sur syslog et comment configurer vos serveurs Windows pour envoyer syslog.\nQu'est-ce que Syslog?\nUn système standard de rapport de journalisation système standard, syslog, est utilisé par la plupart des appareils et des systèmes d'exploitation du centre de données. Il comprend des messages liés à la gestion des systèmes, à la sécurité, au débogage et aux erreurs de système d'exploitation ou d'application. Non seulement syslog est pris en charge par tous les systèmes d'exploitation Linux et Unix, mais il est également pris en charge par les périphériques réseau (comme les routeurs, les commutateurs et les pare-feu), les périphériques de stockage et même les périphériques comme les imprimantes. En raison de sa large adoption, syslog est un excellent moyen de consolider les données de journalisation de l'ensemble du centre de données en un seul endroit à la fois pour la conservation et l'analyse. L'analyse des données Syslog est essentielle pour l'audit de sécurité, le dépannage et l'identification des erreurs de configuration. Cependant, dans de nombreux cas, il est même utile pour dépanner les configurations de stockage, la sécurité du stockage et même les performances de stockage. De nombreux appareils dans le centre de données (tels que les routeurs et commutateurs Cisco) ne stockent pas les messages Syslog historiques et, par conséquent, il est crucial de les consolider. Si ces données Syslog sont perdues lorsque le routeur perd l'alimentation ou tombe en panne, il peut être difficile, voire impossible, de résoudre le problème avec le périphérique.\nAvec syslog, chaque périphérique envoyant des messages syslog utilise un agent pour ce faire. Ces messages des agents sont envoyés à un serveur Syslog central. Chaque message syslog est envoyé avec un «code d'installation» particulier, utilisé pour identifier le type de logiciel qui a généré le message. Les messages Syslog par défaut sont – auth, authpriv, daemon, cron, ftp, lpr, kern, mail, news, syslog, user, uucp, local0 – local7. Une gravité est attribuée à ces messages en utilisant l'une des classifications suivantes – Urgence, Alerte, Critique, Erreur, Avertissement, Notification, Info ou Débogage. Sous Linux, les messages syslog sont généralement stockés dans / var / log et la plupart des systèmes d'exploitation Linux offrent un outil en ligne de commande pour envoyer des données au fichier journal appelé enregistreur.\nSyslog et le système d'exploitation Windows Server\nAlors, qu'est-ce que tout cela a à faire avec Windows Server 2012, demandez-vous? Avec la plupart des autres appareils du centre de données envoyant des messages Syslog à un serveur Syslog centralisé, qu'en est-il de Windows? Le problème est que, contrairement à Linux, le système d'exploitation Windows n'inclut pas d'agent Syslog capable d'envoyer des données Syslog à un serveur Syslog. Sans agent Syslog, non seulement le système d'exploitation Windows ne peut pas envoyer de messages Syslog à un serveur Syslog, mais il ne peut pas non plus envoyer de messages Syslog à partir d'applications exécutées dans le système d'exploitation Windows (comme un serveur Web ou une base de données).\nJ'ai découvert cela en testant le nouvel outil de consolidation et d'analyse syslog de VMware – vCenter Log Insight. Log Insight est un serveur syslog qui effectue non seulement une consolidation mais également une analyse en temps réel de toutes les données de journalisation qui lui sont envoyées. Il convient parfaitement à l'infrastructure virtuelle VMware vSphere car il se connecte directement à votre serveur vCenter et aux hôtes ESXi. Il comprend les statistiques qu'il collecte à partir de l'infrastructure vSphere et est un excellent outil pour analyser les journaux système et identifier les erreurs avant qu'elles n'affectent les utilisateurs finaux.\nOptions de l'agent Syslog pour Windows 2012\nSi vous utilisez votre moteur de recherche préféré et que vous effectuez une recherche sur "agent syslog windows", vous aurez le choix entre un certain nombre d'agents syslog (la plupart étant gratuits). Voici quelques-unes des options que j'ai trouvées:\nNotez s'il vous plaît:Je n'ai testé aucun de ces agents syslog à l'exception d'un – Datagram SyslogAgent – (qui s'est avéré être le premier que j'ai choisi et testé ci-dessous). Donc, je ne dis pas que celui que j'ai sélectionné était meilleur ou pire que les autres, c'est justement celui que j'ai utilisé.\nNotez également que vous ne devez pas confondre les serveurs Syslog avec les agents Syslog. Les serveurs Syslog (ou hôtes Syslog) collectent les données Syslog et les agents envoient ces données. Pour Windows Server, vous avez besoin d'un agent, pas d'un collecteur (ou d'un serveur). Par exemple, le serveur syslog Solarwinds (anciennement serveur syslog Kiwi) est un serveur syslog, pas un agent syslog. Si vous n'avez pas encore de serveur Syslog, c'est une bonne option pour une utilisation générale ou vCenter Log Insight est une bonne option si vous utilisez déjà VMware vSphere.\nTéléchargement et installation de Datagram Syslog Agent\nPour mes tests, j'ai sélectionné le Datagram SyslogAgent gratuit. Sur la page du produit, j'ai cliqué sur le Télécharger puis sélectionné le Agent Syslog Datagram 64 bits télécharger (ne choisissez pas le serveur Syslog en haut de la page). Notez que vous pouvez soit accéder à cette page Web directement à partir du serveur sur lequel vous souhaitez installer l'agent syslog, soit le télécharger sur votre ordinateur local, puis le transporter sur le serveur Windows via le réseau ou la clé USB.\nSi vous extrayez le fichier Syslog de 2 Mo que vous avez téléchargé, il y a quelques fichiers mais les trois seuls fichiers importants sont le manuel de l'utilisateur PDF, l'outil de configuration SyslogAgent et le SyslogAgent que vous devez installer sur le serveur.\nFigure 1: Fichiers d'installation de SyslogAgent\nDans le sens d'une installation d'application Windows traditionnelle, il n'y en a pas pour le service SyslogAgent. Vous venez d'exécuter l'outil SyslogAgentConfig et cliquez sur Installer sous le État du service section en haut.\nFigure 2: Installation du service SyslogAgent\nCela créera le service Windows pour le SyslogAgent.\nAvant de devenir trop excité et de démarrer le service, commençons par le configurer.\nLa configuration minimale serait:"},{"id":"text-2","heading":"Text","content":"Que le service est installé\nUne adresse IP et un port de serveur Syslog sont configurés\nQue les journaux des événements ou des applications soient sélectionnés pour être envoyés à l'hôte syslog (pour le type d'événements et / ou d'applications que vous choisissez)\nEt que le service d'agent syslog est démarré."},{"id":"text-3","heading":"Text","content":"Pour sélectionner où les données du journal de votre hôte Windows seront envoyées, entrez l'adresse IP de l'hôte syslog, comme vous le voyez dans le graphique, figure 2, ci-dessus. Dans mon cas, l'adresse IP du serveur syslog Log Insight était 10.0.1.120 et nous utilisions le port UDP 514.\nAvec cela activé, j'ai vérifié la Journaux des événements et sélectionné le type de journaux d'événements que je voulais. Pour la surveillance du système, je recommanderais d'envoyer des «journaux système», mais vous êtes invités à envoyer tout type de journaux que vous souhaitez, comme des journaux de sécurité pour à des fins d'audit.\nFigure 3: Sélection des journaux d'événements à envoyer à l'hôte Syslog\nEn option, vous pouvez configurer les événements du journal des applications pour transférer et même personnaliser leur facilité et leur gravité, comme vous le voyez dans la figure 4.\nFigure 4: Personnalisation de l'installation et de la gravité\nFacultativement, vous pouvez choisir d'envoyer des événements d'applications Windows spécifiques à l'hôte syslog, même en spécifiant l'exécutable de l'application personnalisée (comme vous le voyez au bas de la figure 2).\nUne fois que vous l'avez configuré, cliquez sur Démarrer le service.\nVous êtes invités à vérifier vos services Windows pour voir que le SyslogAgent est ajouté et fonctionne comme vous le voyez ci-dessous dans la figure 5.\nFigure 5: SyslogAgent s'exécutant dans les services\nAvec l'agent syslog en cours d'exécution, allons vérifier notre serveur syslog pour voir s'il reçoit des messages de notre serveur Windows 2012.\nTest de Syslog avec VMware vCenter Log Insight\nSupposons que votre serveur Syslog a été installé et fonctionne correctement, à l'adresse IP que vous avez spécifiée sur l'agent. Dans mon cas, j'utilise le nouveau VMware vCenter Log Insight comme hôte syslog, mais il existe de nombreuses options.\nSur la console vCenter Log Insight, en effet, j'ai pu rapidement identifier le trafic syslog provenant de mon serveur Windows 2012 (avec un nom DNS de HV1).\nFigure 6: Message Syslog de Windows Server sur vCenter Log Insight\nLe graphique montre que le serveur syslog signale les connexions et déconnexions des utilisateurs administratifs (au moins dans cette partie du journal) – ce qui serait très utile à des fins d'audit de sécurité. Gardez à l'esprit que les entrées syslog de Windows ne seront pas uniquement des informations de sécurité. Ils contiendront également des événements système et d'application importants."},{"id":"text-4","heading":"Text","content":"Vues du message: \n\t\t\t37 523"},{"id":"text-5","heading":"Text","content":"signaler cette annonce"},{"id":"text-6","heading":"Text","content":"Click to rate this post!\n \n [Total: 0 Average: 0]"}],"media":{"primary_image":"https://tutos-gameserver.fr/wp-content/uploads/2020/05/image001_83.png"},"relations":[{"rel":"canonical","href":"https://tutos-gameserver.fr/2020/05/11/configuration-dun-agent-syslog-dans-windows-server-2012-serveur-dimpression/"},{"rel":"alternate","href":"https://tutos-gameserver.fr/2020/05/11/configuration-dun-agent-syslog-dans-windows-server-2012-serveur-dimpression/llm","type":"text/html"},{"rel":"alternate","href":"https://tutos-gameserver.fr/2020/05/11/configuration-dun-agent-syslog-dans-windows-server-2012-serveur-dimpression/llm.json","type":"application/json"},{"rel":"llm-manifest","href":"https://tutos-gameserver.fr/llm-endpoints-manifest.json","type":"application/json"}],"http_headers":{"X-LLM-Friendly":"1","X-LLM-Schema":"1.1.0","Content-Security-Policy":"default-src 'none'; img-src * data:; style-src 'unsafe-inline'"},"license":"CC BY-ND 4.0","attribution_required":true,"allow_cors":false}