Prérequis
Pour transférer les syslogs de Debian vers LogCentral et bénéficier de notre stockage cloud, vous aurez besoin de :
Un compte LogCentral
Une organisation LogCentral
Un emplacement LogCentral qui vous fournira l’adresse IP et le port vers lesquels vous devrez transférer vos syslogs.
Un système Debian : assurez-vous de disposer d’un système basé sur Debian avec des privilèges root ou sudo.
Nous avons mis en ligne une vidéo montrant les différentes étapes, ce qui est appréciable car c’est visuel, mais les instructions écrites ci-dessous vous aideront à copier-coller les commandes. N’oubliez pas de les adapter à votre environnement.
Pour rappel, vous trouverez dans les détails de votre location LogCentral l'IP publique & le port de nos services vers lesquels envoyer vos logs:
Étape 1 : Installer Rsyslog
Debian est généralement livré avec rsyslog préinstallé. Pour vérifier son installation ou l’installer si nécessaire :
Mettre à jour les listes de paquets :
sudo apt-get update
Installer Rsyslog :
sudo apt-get install rsyslog -y
Vérifier le statut de Rsyslog :
sudo systemctl status rsyslog
Assurez-vous que le service est actif et en cours d’exécution.
Étape 2 : Configurer Rsyslog pour transférer les journaux
Modifier le fichier de configuration de Rsyslog :
Ouvrez le fichier de configuration principal avec un éditeur de texte :
sudo nano /etc/rsyslog.conf
Configurer le transfert des journaux :
À la fin du fichier, ajoutez les lignes suivantes pour transférer tous les journaux vers le serveur syslog distant, en les adaptant :
Pour une transmission UDP (notre méthode préférée):
*.* @ip-du-serveur-syslog:514
Remplacez l’IP et le port du serveur de journaux par la configuration fournie dans votre emplacement LogCentral.
Pour une transmission TCP :
*.* @@ip-du-serveur-syslog:514
Remplacez ip-du-serveur-syslog par l’adresse IP réelle ou le nom d’hôte de votre serveur syslog LogCentral. Le symbole @ unique indique l’utilisation de l’UDP, tandis que le double @@ indique le TCP.
Configurer une file d’attente sur disque pour un transfert fiable (optionnel)
Pour éviter la perte de messages de journal si le serveur distant devient temporairement indisponible, ajoutez les lignes suivantes :
$ActionQueueFileName queue $ActionQueueMaxDiskSpace 1g $ActionQueueSaveOnShutdown on $ActionQueueType LinkedList $ActionResumeRetryCount -1
Ces paramètres configurent une file d’attente en mémoire assistée par disque qui stocke les messages jusqu’à ce qu’ils soient envoyés avec succès.
Enregistrer et fermer le fichier de configuration :
Appuyez sur CTRL+O pour enregistrer et CTRL+X pour quitter.
Étape 3 : Redémarrer le service Rsyslog
Pour appliquer les modifications effectuées :
sudo systemctl restart rsyslog
Étape 4 : Configurer le pare-feu (si applicable)
Si un pare-feu est actif sur votre système, assurez-vous qu’il autorise le trafic sortant sur le port utilisé pour syslog (par défaut 514, mais vous devez adapter cela au port dédié de votre emplacement LogCentral). Pour les systèmes utilisant UFW (Uncomplicated Firewall) :
Autoriser le trafic UDP sur le port 514 :
sudo ufw allow 514/udp
Autoriser le trafic TCP sur le port 514 (si vous utilisez TCP) :
sudo ufw allow 514/tcp
Recharger UFW pour appliquer les modifications :
sudo ufw reload
Étape 5 : Vérifier le transfert des journaux
Pour confirmer que les journaux sont bien transférés :
Générer une entrée de journal test :
logger "Entrée de journal test pour le serveur syslog distant"
Vérifier les journaux dans votre emplacement LogCentral :
Vérifiez la présence de l’entrée de journal test dans le fichier de journal et/ou dans les journaux en direct.
En suivant ces étapes, votre système Debian devrait maintenant être configuré pour transférer ses syslogs vers votre organisation LogCentral, facilitant ainsi la gestion et l’analyse centralisées des journaux.
Si vous n'y arrivez pas, contactez nous!