Bonjour à tous
Possédant un NAS QNAP TS-439 Pro avec 4 disques de 1,5 To en Raid 5 je me suis dit que j’allais essayer d’utiliser le plus de fonctionnalités de celui ci.
Avec la dernière mise à jour en 3.5.0 build 0815T, un nouvelle fonctionnalité est apparue : il permet de faire serveur Syslog pour récolter les logs et les événements de différents machines
Mon parc de machine est assez hétérogènes et va l’être encore plus dans les mois à venir avec l’arrivé d’Apple dans mon réseau :
- Serveur Ubuntu 10.04
- Serveur Ubuntu 8.04
- Station Ubuntu 10.04
- Station Windows XP SP3
- Netbook Windows 7 / Ubuntu
Et le but c’est que chaque machine renvoi ces informations sur mon NAS.
Sur le NAS, il faut activer le serveur syslog dans le sous menu Serveur Syslog du menu Serveurs d’Applications et renseigner les champs suivants :
- Choisir le protocole : UDP
- Choisir le port : 541
- Choisir la taille maximum de journal : 100 Mo (taille maximum)
- Choisir le dossier ou sauvegarder les logs : Public
- Choisir le nom du fichier : syslog
- Choisir le niveau d’alerte pour l’envoi d’un mail, pour l’instant je laisse par défaut : Emerg
Pour décrire rapidement l’emplacement de mes machines dans le réseau, elles sont réparties comme ci dessous :
- une ou deux serveurs en hébergement donc dans le WAN
- Des serveurs dans la DMZ
- Des serveurs et station de travail dans le LAN
Pour l’interconnexion avec le NAS, celui ci à une interface dans le LAN et un seconde dans la DMZ, et c’est cette interface qui est rendu accessible depuis le WAN (les deux interfaces réseaux ont fait entre autre pencher la balance dans le choix de ce NAS).
Nous arrivons à la configuration rapide des clients :
Pour les clients Ubuntu (idem pour les clients sous Debian)
Cela reste très simple à mettre en place avec un petit prérequis sous la version 8.04 d’Ubuntu:
aptitude install rsyslog |
Ensuite il suffit de de créer un fichier dans le dossier /etc/rsyslog.d/
vi /etc/rsyslog.d/NAS.conf *.* @ip_du_nas |
L’ip du NAS sera soit celle dans le LAN soit celle dans la DMZ (entre autre pour les clients du WAN).
Ne pas oublier de rediriger le port UDP/514 vers l’IP de la DMZ du NAS sur votre Firewall.
Puis pour la prise en compte, il faut relancer le daemon :
/etc/init.d/rsyslog restart |
Pour les clients sous Microsoft
C’est hélas pas simple car il n’y a rien de prévu nativement pour le renvoi des logs sur un serveur Syslog.
Après un plusieurs tests j’ai décidé de tester Snare Agent for Windows, qui est rapidement configurable via une interface graphique (je referais un article sur le sujet si je décide de le garder).
Il faut dans l’ordre des choses :
- Le télécharger et l’installer
- Se connecter à l’interface web : http://xxx.xxx.xxx.xxx:6161
- Configurer le serveur syslog dans l’onglet : Network Configuration
- Et définir une nouvelle politique d’export en fonction des évènements que vous voulez sysloguer via l’onglet : Objectives Configuration
- Appliquer les paramètres via le lien : Apply the Latest Audit Configuration
Dans tous les cas, cela fonctionne plutôt bien, laissons le fichier syslog se remplir et voir comment affiner l’envoi des logs en fonction des besoins des différentes machines.
Merci à tous et à très vite sur le blog.