Top Qs
Chronologie
Chat
Contexte
Syslog
De Wikipédia, l'encyclopédie libre
Remove ads
Syslog est un protocole définissant un service de journaux d'événements d'un système informatique. C'est aussi le nom du format qui permet ces échanges.
Remove ads
Historique
Syslog a été développé dans les années 1980 par Eric Allman dans le cadre du projet Sendmail[6], et n'était initialement prévu que pour Sendmail. Il s'est avéré si utile que d'autres applications ont commencé à l'utiliser. Syslog est depuis devenu la solution de journalisation standard sur les systèmes Unix et Linux[7], il y a également une variété d'implémentations syslog sur d'autres systèmes d'exploitation (Windows notamment[8]) et est généralement trouvé dans les périphériques réseau tels que les commutateurs ou routeurs.
Remove ads
Le protocole Syslog
Résumé
Contexte
Présentation générale
En tant que protocole, Syslog se compose d'une partie cliente et d'une partie serveur. La partie cliente émet les informations sur le réseau, à destination du port TCP 6514 ou éventuellement UDP 514 était utilisé; seul le port UDP était présent dans la RFC 3164 aussi il reste souvent utilisé. Les serveurs collectent l'information et se chargent de créer les journaux. Un serveur syslog peut également se comporter comme un relai et retransmettre à nouveau l'information reçue du client, on le qualifie de serveur proxy.
L'intérêt du protocole Syslog est donc de centraliser les journaux d'événements, permettant de repérer plus rapidement et efficacement les défaillances d'équipements présents sur un réseau.
Il existe aussi un logiciel appelé Syslog, qui est responsable de la prise en charge des fichiers de journalisation du système. Ceci inclut aussi le démon klogd, responsable des messages émis par le noyau Linux.
Positionnement système
Le protocole syslog utilise un socket afin de transmettre ses messages. Suivant les systèmes, celui-ci est différent:
Une problématique nait de ce choix architectural, l'utilisation d'un point d'entrée unique crée des saturations système qui ont incité nombre de logiciels à utiliser leur propre système d'enregistrement.
Remove ads
Le format Syslog
Résumé
Contexte
Un journal au format syslog comporte dans l'ordre les informations suivantes : la date à laquelle a été émis le log, le nom de l'équipement ayant généré le log (hostname), une information sur le processus qui a déclenché cette émission, le niveau de priorité du log, un identifiant du processus ayant généré le log et enfin un corps de message.
Certaines de ces informations sont optionnelles.
exemple :
Sep 14 14:09:09 machine_de_test dhcp service[warning] 110 corps du message
Le format de ces messages n'a été que formalisé que tard et ce format n'est qu'indicatif suivant la RFC 3164 initiale, tandis que la RFC 3195 suivante propose un formatage plus strict. Ce n'est que par la RFC 5424 qu'un format standard suivant une définition ABNF est normalisé. Il en résulte des problématique sur l’interprétation des données par les serveurs réceptionnant ces messages[9].
Niveau de priorité
La priorité du message permet de déterminer la catégorie et la gravité du journal, elle est entre chevrons dans le journal syslog[7] : priorité = (catégorie × 8) + gravité.
Cette indication est particulièrement importante car elle normalise de fait la représentation de la catégorie et de la gravité d'un log, ce qui rend par exemple possible l'interopérabilité entre équipements de collecte de journaux et équipements de génération d'alertes.
Catégories
Les messages sont orientés au regard de leur origine, dont les codes sont regroupés suivant 24 types ci-dessous énumérés[7] :
Les catégories 9 et 15 sont toutes deux destinées à la gestion des tâches planifiées, aussi certains systèmes d'exploitation journalisent sur l'un ou l'autre, ou les deux catégories en même temps. Il en va de même pour les catégories auth, authpriv, log audit et log alert pour l'authentification et les autorisations utilisateurs.
Niveau de gravité
Les niveaux de gravité Syslog, appelés Severity level en anglais sont au nombre de huit représentés par un chiffre de 0 (Emergency) à 7 (Debug)[7] :
Remove ads
L'écriture dans le journal syslog
La journalisation dans syslog (local ou distant) se fait via
- logger[10] (commande Unix) pour les scripts shell
- vsyslog() ou syslog()[11] pour les programmes compilés ; ce sont des fonctions implémentées dans des bibliothèques logicielles
Fichier de configuration (syslog.conf)
Résumé
Contexte
À l'origine, le fichier de configuration syslog était construit sur le mode ligne, chaque ligne était découpée en deux parties :
- la première indique l'origine du message
- la seconde la destination
Ce fichier de configuration permet de différencier les messages et de les orienter vers des destinations particulières.
Dans les versions récentes (rsyslog, syslog-ng, nxlog ...), la configuration est plus évoluée et permet des filtrages plus élaborés, bien que dans certains cas la configuration basique soit encore utilisée.
Origine
Les origines peuvent être multiples et sont juxtaposées à l'aide d'un ';'.
Elles sont construites sous la forme :
facility.criticity
La criticité doit être comprise comme la criticité minimale, ainsi user.crit correspond au message d'origine utilisateur pour le niveau de criticité critical et les niveaux supérieurs, en l'occurrence alert et emergency.
Le mot clef "none" peut lui aussi être utilisé afin de filtrer les messages, il est alors utilisé en lieu et place de la criticité.
Destination
Dans syslog classique, la destination peut être soit un fichier soit un serveur distant. La destination peut être précédé d'un - afin d'indiquer la finalité de celle-ci. Le signe « - » est utilisé devant les chemins de fichiers les moins critiques pour améliorer les performances en écriture (pas de synchronisation des fichiers) au risque de perdre des données en cas de crash du système.
Exemple
Extrait d'une partie d'un fichier de configuration :
daemon.* -/var/log/daemon.log user.crit @serveurdelog kern.* -/var/log/kern.log lpr.* -/var/log/lpr.log mail.info -/var/log/mail.info mail.warn -/var/log/mail.warn mail.err /var/log/mail.err
Auth/authpriv ⇒ traces sécurité/identifiant ion cron ⇒ traces d'un cron daemon.* ⇒ trace d'un daemon kern.* ⇒ traces du noyau lpr.* ⇒ traces du système d'impression mail ⇒ traces du système de messagerie news ⇒ traces d'un service de news/réseau syslog ⇒ traces du service syslog lui-même user ⇒ trace des processus utilisateur local0 à 7 ⇒ traces issues des klogd
Remove ads
Voir aussi
Articles connexes
Liens externes
- RFC 3164 - Le protocole syslog de BSD
- RFC 5424 - La mise à jour du protocole syslog qui remplace la RFC 3164
- RFC 3195 - Reliable Delivery for syslog
- (en) Groupe de travail sur syslog de l'IETF
- Implémentation d'un client syslog en classe PHP pure
Notes
Wikiwand - on
Seamless Wikipedia browsing. On steroids.
Remove ads