Connecter Windows à un serveur syslog distant

Dans ce tutoriel, nous allons voir comment utiliser RSyslog Windows Agent pour envoyer les événements enregistrés dans le journal d’événements de Windows vers un serveur Syslog distant.

Syslog ?

Syslog est un protocole définissant un service de journaux d’événements d’un système informatique. C’est aussi le nom du format qui permet ces échanges.

En tant que protocole, Syslog se compose d’une partie cliente et d’une partie serveur. La partie cliente émet les informations sur le réseau, via le port UDP 514. Les serveurs collectent l’information et se chargent de créer les journaux.

Source: Wikipédia.org

Rsyslog ?

Rsyslog est un logiciel open source (ou logiciel libre) utilisé sur des systèmes d’exploitation de type Unix (Unix, Linux) transférant les messages des journaux d’événements sur un réseau IP.

Rsyslog implémente le protocole basique syslog – qui centralise les journaux d’événements, permettant de repérer plus rapidement et efficacement les défaillances d’ordinateurs présents sur un réseau.

Source: Wikipédia.org

Mise en place

Après avoir télécharger l’agent Windows, lancez l’installateur:

2014-06-10-16_45_00.png

Une fois installé, lancez l’application Rsyslog Windows Agent Configuration Client:

2014-06-10-16_45_58.png

Sélectionnez la langue française et validez par Start.

Rsyslog Windows Agent fonctionne avec un ensemble de règles, chacune ayant ses critères et déclenchant des actions. Commençons par créer une première règle pour les messages d’avertissements (warning), d’erreurs et d’alertes en effectuant un clic droit sur rule sets puis Ajouter le RuleSet:

2014-06-11-14_27_20

Un assistant s’ouvre, choisissez un nom de votre choix puis cliquez sur Ensuite. Cliquez directement sur Ensuite à l’écran suivant puis Finir.

Maintenant que notre groupe de règles (rule sets) a été créé, passons à la création d’une règle en effectuant un clic-droit sur RuleSet 1 (votre groupe de règles) puis Ajouter une règle:

2014-06-11-14_29_53

Indiquez le nom de votre choix et validez par Ajouter une règle. Nous y sommes presque 😉

Nous souhaitons donc n’envoyer à notre serveur syslog que les messages dont la priorité (séverité) est >= à WARNING. Pour ce faire, cliquez sur le AND vert puis sur le bouton Add Filer > sur la droite:

2014-06-11-14_31_49

Dans le menu déroulant, allez ensuite dans Add Filter puis Syslog et cliquez sur Priority. Une nouvelle condition est ajoutée:

2014-06-11-14_33_03

Cliquez sur celle-ci et changez les réglages pour les valeurs visibles dans la capture:

2014-06-11-14_33_49

Notre règle ne s’applique désormais plus qu’aux événements >= WARNING. Passons à la création d’une action en cliquant droit sur Actions dans la barre latérale puis Ajouter l’Action et Envoyer par Syslog:

2014-06-11-14_35_16.png

Laissez les valeurs par défaut dans l’assistant. Si une fenêtre vous demande confirmation pour enregistrer les changements, indiquez que vous êtes d’accord. Nous arrivons sur un nouvel écran:

2014-06-11-14_37_50

Seuls deux réglages vont nous intéresser:

  • Le nom d’hôte du serveur syslog
  • L’encodage de sortie (co_lblOutputEncoding)

Selon la configuration de votre serveur, vous aurez aussi peut être à changer de protocole et/ou de port.

Ne reste plus qu’à enregistrer la configuration en cliquant sur la petite disquette puis à relancer le service.

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s