Centralisation et analyse des logs sur Linux

Stéphane RAULT -

Version 0.2a - 01 Mars 2004

Version originale : http://www.espace-groupware.com/logs/index.html

Rédiger une documentation est toujours un travail long et difficile. Vous trouverez sans aucun doute des fautes d'orthographes et peut être même techniques, n'hésitez surtout pas à me les signaler.

Les critiques, suggestions et remerciements sont les bienvenues.

Cette documentation peut être reproduite entièrement ou partiellement mais je vous demanderais juste de me le signaler en m'envoyant un message.


Table des matières

Introduction

Types de logs sous Linux :


Types de logs sous Windows :


Rotation des logs :


Archivage des logs :


Analyse des logs :


Syslog-ng

Introduction :


Installation :


Configuration :


Paramètres de configuration - Classement par catégories :


Paramètres de configuration - Classement alphabétique :

Logs Bind

Logs Postfix

Configuration :

Postfix ne propose pas défaut que l'utilisation de syslog pour toutes ces sorties.

Les deux paramètres contrôlant les logs dans postfix sont :


Détail des logs de Postfix :

Remarque : Dans les exemples suivant, je suis obligé d'écrire les logs sur plusieurs lignes pour une meilleure lisibilité

Quelques échantillons de logs pour analyse :

# Scénario : Réception d'un message de <hsp8zf@shults.com> à destination de <roger@franceway.com>

# Message rejeté pendant la transaction SMTP parce que le destinataire est rejeté :

Mar  1 00:00:54 web1 postfix/smtpd[16231]: connect from modemcable208.45-130-66.mc.videotron.ca[66.130.45.208]

Mar  1 00:00:55 web1 postfix/smtpd[16231]: 11730140A1: client=modemcable208.45-130-66.mc.videotron.ca[66.130.45.208]

Mar  1 00:00:56 web1 postfix/smtpd[16231]: 11730140A1: reject: 
                                           RCPT from modemcable208.45-130-66.mc.videotron.ca[66.130.45.208]: 
                                           554 <roger@franceway.com>: Recipient address rejected: 
                                           Access denied; from=<hsp8zf@shults.com> to=<roger@franceway.com> 
                                           proto=SMTP helo=<modemcable208.45-130-66.mc.videotron.ca>

Mar  1 00:00:57 web1 postfix/smtpd[16231]: disconnect from modemcable208.45-130-66.mc.videotron.ca[66.130.45.208]

Analyse du message précédent :

 

# Scénario : Réception d'un message de <srault@rocketmail2.com> à destination de <stephane.rault@espace-groupware2.com>

# Message normal non rejeté :

Mar  1 15:16:35 web1 postfix/smtpd[24589]: connect from web12504.mail.yahoo.com[216.136.173.196]

Mar  1 15:16:35 web1 postfix/smtpd[24589]: EC838140A2: client=web12504.mail.yahoo.com[216.136.173.196]

Mar  1 15:16:36 web1 postfix/cleanup[24591]: EC838140A2: 
                                           message-id=<20040301141636.74532.qmail@web12504.mail.yahoo.com>

Mar  1 15:16:36 web1 postfix/qmgr[12739]: EC838140A2: from=<srault@rocketmail2.com>, size=958, nrcpt=1 (queue active)

Mar  1 15:16:36 web1 postfix/smtpd[24589]: disconnect from web12504.mail.yahoo.com[216.136.173.196]

Mar  1 15:16:38 web1 postfix/smtp[24602]: 3BAF9140A3: to=, 
                                          relay=10.10.0.10[10.10.0.10], delay=0, status=sent 
                                          (250 Message accepted for delivery)

Analyse du message précédent :


Les rejets :

Logs Amavisd-new

Logs Clamav

Logs Razor

Logs DCC

Centralisation des logs

Remerciements

Liens