Gestion des logs — Rsyslog + LogAnalyzer

Rsyslog LogAnalyzer 4.1.13 MariaDB Apache SIO 2A — SISR

📋 Table des matières

Contexte & Architecture ① Installation de la pile LAMP ② Module MySQL pour Rsyslog ③ Configuration de Rsyslog ④ Installation de LogAnalyzer ⑤ Modification de la table SystemEvents ⑥ Langue française ⑦ Centralisation des logs Apache ⑧ Test de fonctionnement ⑨ Configuration d'un équipement Cisco ✅ Résultat attendu

📋 Contexte

Les logs sont des fichiers texte qui recensent chronologiquement tous les événements survenus sur un système informatique : redémarrages de services, connexions utilisateurs, erreurs système ou applicatives.

Exporter les journaux de tous ses serveurs sur une machine dédiée est une bonne pratique. En y ajoutant une interface graphique, ils peuvent être triés, classés et consultés par source ou par criticité.

📡

Protocole : Rsyslog avec TCP (port 514) pour une transmission fiable — contrairement à UDP qui n'accuse pas réception.
Interface web : LogAnalyzer 4.1.13 · Base de données : MariaDB (base Syslog)

Architecture

Machine	Rôle	Composants
Serveur de logs	Centralisation + Interface	Rsyslog + MariaDB + Apache + LogAnalyzer
Serveur Web (LAMP)	Machine supervisée	Apache + Rsyslog (client)
Équipement Cisco	Équipement réseau supervisé	Syslog TCP → port 514

🔎

Installer l'environnement nécessaire pour héberger LogAnalyzer et stocker les logs dans une base MariaDB.

bash

apt update -y
apt install apache2 php php-cli php-common php-mysqli php-mbstring mariadb-server mariadb-client -y

📖 Explication des paquets

Paquet	Rôle
`apache2`	Serveur web pour héberger LogAnalyzer
`php` + modules `php-*`	Modules PHP nécessaires à LogAnalyzer
`mariadb-server`	Base de données pour stocker les logs
`mariadb-client`	Client MySQL en ligne de commande

Sécurisation MariaDB

bash

mysql_secure_installation

✅

Définit un mot de passe root · Supprime les comptes anonymes · Renforce la sécurité du serveur de base.

🔎

Les logs doivent être enregistrés directement dans une base de données MariaDB.

bash

apt install rsyslog-mysql -y

⚠️

Lors de l'installation, répondre « oui » pour laisser dbconfig-common configurer automatiquement la base.

Cela crée automatiquement :

Élément	Valeur
Base de données	`Syslog`
Table événements	`SystemEvents`
Table propriétés	`SystemEventsProperties`
Utilisateur	`rsyslog`
Mot de passe	`mdp_root`
Port	`3306`

🔎

Le serveur doit recevoir des logs distants en TCP et les stocker en base de données.

Sauvegarde du fichier de configuration

bash

cp /etc/rsyslog.conf /etc/rsyslog.conf.bak

✅

Permet de restaurer la configuration initiale en cas d'erreur.

Activation de la réception TCP

Éditer le fichier puis décommenter les 2 lignes sous # provides TCP syslog reception :

bash

nano /etc/rsyslog.conf

config

# provides TCP syslog reception
module(load="imtcp")
input(type="imtcp" port="514")

📖 Explication

imtcp — module qui active la réception en TCP
port 514 — port standard du protocole syslog
TCP — transmission fiable avec accusé de réception (≠ UDP)

Envoi des logs vers la base de données

Ajouter à la fin du fichier /etc/rsyslog.conf :

config

*.* :ommysql:localhost,Syslog,rsyslog,mdp_root

📖 Explication de la ligne ommysql

Paramètre	Valeur	Description
`.`	Toutes facilities/priorités	Capture tous les types de logs
`ommysql`	Module output	Envoie les logs vers MySQL/MariaDB
`localhost`	Hôte	Serveur de base local
`Syslog`	Nom de la base	Base créée par rsyslog-mysql
`rsyslog`	Utilisateur	Compte dédié
`mdp_root`	Mot de passe	Mot de passe de l'utilisateur

bash

systemctl restart rsyslog

🔎

Déployer l'interface graphique pour consulter et analyser les logs en temps réel.

Téléchargement

bash

cd /srv
wget https://download.adiscon.com/loganalyzer/loganalyzer-4.1.13.tar.gz
tar -xvzf loganalyzer-4.1.13.tar.gz

Déploiement

bash

mkdir /var/www/html/loganalyzer
cp -a loganalyzer-4.1.13/src/* /var/www/html/loganalyzer
chown -R www-data:www-data /var/www/html/loganalyzer

Assistant d'installation web

URL

http://IP_SERVEUR/loganalyzer

Étapes 1–2 — vérification des prérequis PHP et connexion
Étape 3 — cocher Yes pour Enable User Database · Base : Syslog · User : rsyslog · MDP : mdp_root
Étape 4 — connexion à la base vérifiée, tables LogAnalyzer créées
Étape 6 — créer le compte admin : logadmin / admin
Étape 7 — Source Type : MYSQL Native · Nom : Mes logs · Table : SystemEvents
Finalisation — valider et se connecter à l'interface

🔎

Certaines fonctionnalités de LogAnalyzer nécessitent des colonnes supplémentaires dans la table.

⚠️

À faire avant la dernière étape de l'assistant LogAnalyzer.

bash

mysql -u root -p

sql

use Syslog;
alter table SystemEvents add column checksum int null;
alter table SystemEvents add column processid varchar(60) null;
quit;

📖 Explication

use Syslog — sélectionne la base de données
alter table — modifie la structure de la table existante
add column checksum — requis pour l'intégrité des messages
add column processid — requis pour l'affichage du PID dans LogAnalyzer

🔎

Optionnel mais recommandé : installer le pack de langue française pour LogAnalyzer.

bash

cd /var/www/html/loganalyzer/lang
wget https://loganalyzer.adiscon.com/plugins/files/translations/loganalyzer_lang_fr_FR_3.6.3.zip
unzip loganalyzer_lang_fr_FR_3.6.3.zip
chown -R www-data:www-data /var/www/html/loganalyzer/lang/

✅

Ne pas oublier de réappliquer les droits www-data après extraction de l'archive.

🔎

Un second serveur LAMP doit envoyer ses logs vers le serveur central de logs.

Modification Apache (sur le serveur web)

Dans /etc/apache2/sites-available/000-default.conf, remplacer :

apache config

ErrorLog "|/usr/bin/logger -t APACHE -p local6.info"
CustomLog "|/usr/bin/logger -t APACHE -p local6.info" combined

📖 Explication

logger — redirige les logs Apache vers Rsyslog local
-t APACHE — tag pour identifier la source dans la base
local6 — facility dédiée pour identifier les logs du site web
combined — format détaillé des requêtes HTTP (IP, méthode, URL, code HTTP)

Configuration Rsyslog côté serveur web

Ajouter à la fin de /etc/rsyslog.conf sur le serveur web :

config

# Tous les logs locaux vers le serveur de logs (TCP)
*.* @@172.17.219.10:514

# Logs Apache (local6) vers le serveur de logs
local6.* @@172.17.219.10

📖 Explication des lignes

Élément	Signification
`.`	Tous les logs locaux (toutes facilities et priorités)
`@@`	Envoi en TCP (fiable, avec accusé de réception)
`172.17.219.10:514`	IP du serveur de logs + port syslog standard
`local6.*`	Uniquement les logs Apache (facility local6)

bash

systemctl restart rsyslog

🔎

Vérifier que les logs remontent correctement dans LogAnalyzer.

Générer des événements

bash

# Redémarrer Apache pour générer des événements DAEMON
systemctl restart apache2

# Générer du trafic web (requêtes GET)
# Naviguer sur : http://IP_SERVEUR_WEB

✅

Le redémarrage d'Apache génère des événements de type DAEMON. Les requêtes GET apparaissent avec l'adresse IP source dans LogAnalyzer.

Si les logs ne remontent pas

Redémarrer Rsyslog sur le serveur de logs : systemctl restart rsyslog
Redémarrer Rsyslog sur le serveur web : systemctl restart rsyslog
Actualiser LogAnalyzer dans le navigateur
Vérifier que le port 514 TCP est ouvert : ss -tlnp | grep 514
Vérifier les logs Rsyslog : tail -f /var/log/syslog

⚠️

Le grand flux d'événements peut rapidement surcharger la table SystemEvents. Il est important d'archiver et purger régulièrement cette table via un script automatisé.

🔎

Un routeur/switch Cisco doit envoyer ses logs vers le serveur central via Syslog TCP.

Configuration sur le routeur/switch

Cisco IOS

Router# clock set 10:30:00 5 June 2025
Router# configure terminal
Router(config)# service timestamps log datetime msec
Router(config)# logging host 172.17.219.10 transport tcp port 514
Router(config)# logging trap notifications
Router(config)# logging facility local0
Router(config)# end
Router# copy running-config startup-config

📖 Explication des commandes

Commande	Description
`clock set`	Règle l'heure du routeur (indispensable pour horodater les logs)
`service timestamps`	Ajoute date et heure à chaque message de log
`logging host`	Définit le serveur de logs destination
`transport tcp port 514`	Utilise TCP pour une transmission fiable
`logging trap notifications`	Niveau de sévérité minimum : notifications (niveau 5)
`logging facility local0`	Identifie la source Cisco dans la base Syslog
`copy running startup`	Sauvegarde la config pour qu'elle persiste au redémarrage

Niveaux de sévérité Syslog Cisco

Niveau	Mot-clé	Description
0	emergencies	Système inutilisable
1	alerts	Action immédiate requise
2	critical	Conditions critiques
3	errors	Messages d'erreur
4	warnings	Messages d'avertissement
5	notifications	Événements normaux mais significatifs
6	informational	Messages informatifs
7	debugging	Messages de débogage (verbeux)

✅ Résultat attendu

Les logs locaux du serveur apparaissent dans LogAnalyzer
Les logs du serveur web Apache remontent avec facility LOCAL6
Les logs Cisco apparaissent avec facility LOCAL0
L'interface permet de trier, filtrer et rechercher par source, facility et sévérité
Une page dynamique (auto-actualisation) est configurée dans LogAnalyzer

💡

Bonne pratique : Mettre en place un cron job de purge régulière pour éviter la saturation de la base :
DELETE FROM Syslog.SystemEvents WHERE ReceivedAt < DATE_SUB(NOW(), INTERVAL 30 DAY);

SIO 2A — SISR · Gestion des logs · Rsyslog + LogAnalyzer 4.1.13 + MariaDB