Syslog

Syslog est un protocole standard IETF RFC 5424 pour la journalisation et la collecte informatique qui est populaire dans les systèmes de type Unix, y compris les serveurs, les équipements réseau et les appareils IoT. Les messages de journal générés par un périphérique créent un enregistrement des événements qui se produisent sur le système d'exploitation ou l'application. Le but du message est de fournir aux administrateurs des informations concernant des événements importants, des informations sur la santé et d'autres événements normaux ou anormaux qui pourraient s'avérer utiles lors du dépannage ou du travail sur un problème lié à la sécurité.

Comment fonctionne syslog ?

Lorsqu'un périphérique d'origine exécute le démon syslog, les messages du périphérique sont générés pendant le fonctionnement normal et anormal en fonction de ce que les développeurs de l'application ont jugé comme potentiellement utile. Ces messages peuvent ensuite être visualisés sous plusieurs formes. La première consiste à surveiller les messages en temps réel sur la console du dispositif d'origine lui-même. Une autre méthode consiste à consulter les fichiers journaux locaux qui contiennent des informations de journal historiques.

Bien que le fichier journal local soit un moyen rapide de consulter les événements de messages historiques, notez que sur de nombreux systèmes, le fichier local a une limite maximale sur le nombre de messages de journal stockés. Une fois cette limite atteinte, les messages les plus anciens sont écrasés par les plus récents. Cela signifie que le fichier local ne contient que les journaux les plus récents.

Cependant, il arrive souvent que les administrateurs aient besoin de consulter des journaux beaucoup plus anciens. Ainsi, il est courant d'utiliser la troisième méthode de consultation des journaux qui consiste à relayer tous les journaux à travers un réseau vers un serveur de collecte de journaux centralisé.

Le relais des messages syslog sont couramment envoyés sur le port UDP 514 ou TCP 6514. La méthode TCP offre également l'avantage du protocole Transport Layer Security (TLS) pour préserver la confidentialité des messages. Une fois collectés, un administrateur peut utiliser un visualiseur syslog pour visualiser, trier et même alerter sur les différents messages de journal qui arrivent.

Composants des messages syslog

La liste des codes d'installation syslog et des noms de description.

Chaque événement de journal contient un horodatage ainsi que le message d'événement lui-même et le nom de l'IP/domaine d'origine à des fins d'identification. L'événement est ensuite classé dans l'un des huit niveaux de gravité. Ces niveaux sont basés sur la criticité de l'événement selon le développeur du système d'exploitation ou de l'application utilisée. Chaque catégorie est définie par une valeur numérique et un nom de gravité. Plus la valeur est faible, plus l'événement est grave. L'échelle va de 0 à 7, en commençant par l'urgence et en terminant par le débogage. Les différents noms de gravité sont, dans l'ordre, les suivants : urgence, alerte, critique, erreur, avertissement, avis, information et débogage.

Lorsqu'il crée l'événement de journal, le dispositif d'origine segmente davantage le message en un code d'installation de journalisation. Ce code catégorise les messages en fonction du processus de l'application globale dans lequel le message a été généré. Tout comme les catégories de gravité, les installations sont définies à l'aide d'une valeur numérique et d'un nom. Les installations peuvent être classées dans l'un des 24 codes d'installation différents.