  Centraliser ses logs avec Syslog-ng
[30 mn de lecture - paru le 10/7/2005 11:11:11 AM - Public : Débutant]
|
 
|
Auteur
4 Configuration des clients Windows
Le système de logs sous Windows utilise principalement les journaux
d’évènements pour enregistrer les évènements systèmes. On ne peut pas
comme sous Linux spécifier que l’on désire envoyer les alertes de logs
sur une autre machine, enfin de les centraliser. Il est possible de
définir l'emplacement de ces journaux, afin de les placer sur un
serveur distant, mais cela ne répond pas à nos exigences. De plus,
ces journaux d’évènements ne répondent pas aux normes RFC 3164 du
format syslog Unix. A ce titre, j’ai cherché plusieurs outils
permettant d’envoyer les alertes systèmes à un système Unix, afin de
pouvoir centraliser les logs Windows sur une machine distante. Le plus
performant est sans aucun doute le logiciel Snare de la société
IntersecAlliance.
4.1 Snare
Snare est le logiciel que j’ai choisi d’installer sur les
plates-formes Windows. Il vous permettra de récupérer sous forme de
trames Syslog compatibles à la norme RFC la majorité des évènements de
vos systèmes sous environnement Windows.
Ses avantages sont nombreux :
- Interface GUI très simple d'utilisation
- Gestion des logs Active Directory et DNS sous un système W2K3
- Possibilité de configurer la forme des logs envoyés (niveau, facilité)
- Tournant sous forme de service pour un lancement propre au démarrage
- Entièrement configurable à distance via une interface Intranet (port 6161)
- Possibilité d'ajouter des filtres pour définir les logs (ID évènements, facilité) à envoyer suivant vos besoins
Site Web : http://www.intersectalliance.com/projects/SnareWindows/index.html
Configuration de Snare
Lors de votre installation de Snare, vous aurez à effectuer une
première configuration via le GUI principal. Cliquer sur Setup puis
dans ‘Remote Control Configuration’.
Vous aurez alors accès à une fenêtre pour permettant d’activer le
contrôle à distance. Cliquez sur « Allow Snare Agent to be remote
controlled ». Laissez le champ vide à coté de “Allow remote
control only from this IP address”. Laissez le port par défaut à savoir
le 6161, et appliquez un mot de passe si vous le désirez.
Cliquez sur ok et quittez le programme. Celui-ci va alors redémarrer automatiquement.
La configuration de base est très simple, il suffit de :
- Changer l’adresse IP du serveur de logs selon votre parc
- Changer le port de destination (par défaut ici 6161, changer pour 514)
- Changer le Facility des logs Windows envoyés (par convention, utilisez local6)
- Ajouter une entrée syslog.conf correspondant à la Facility :
local6.* /var/log/win.log, ou configurer syslog-ng en fonction de cette
Facility
Le reste de la configuration peut s’effectuer au niveau du GUI mais
aussi en BackOffice. Pour des raisons évidentes de praticité, nous
allons nous pencher sur le BackOffice. Celui-ci est accessible à partir
de n’importe quel browser, sur le port 6161. Pour y accéder, rentrez
l’adresse IP de la machine puis « :6161 » pour préciser que
vous allez vous connecter sur un port différent du 80 (Exemple : http://ipmachine:6161).
Ce BackOffice est composé de 5 grandes sections :
Network Configuration :
Grâce à cette interface, vous pourrez attribuer un hostname virtuel à
votre machine, préciser l’adresse IP de votre serveur de log, ainsi que
le port à utiliser pour envoyer vos trames, leur niveau de Facility
(permettant de mieux les identifier), ainsi que leur Priorité (qu’il
vaut mieux mettre en dynamique).
Remote Control Configuration
Ici, vous pourrez configurer l’accès à distance de Snare (port, IP, password, etc.…).
Objectives Configuration
Dans cette section vous aurez accès aux différentes
« règles » de logs que vous avez définies, les modifier,
effacer, ou en ajouter. Cela vous permet d’avoir une vue générale des logs
envoyés par rapport à leur nature (Niveau d’audit : Succès, Info,
etc.. au Niveau évènementiel : Système, application, sécurité,
etc.…).
Ajouter un type de log
En cliquant sur « Add », vous pourrez ajouter un type de
log à envoyer. Vous devrez tout d’abord définir le niveau de log :
ouverture et fermeture de session, de processus, modification de droits
d’accès, etc… Si vous décidez de logger tous les évènements (Any
Events), vous pourrez les filtrer à l’aide de leur ID (Event ID
Search), et de leur message (General Search Term). Vous pourrez ensuite
définir le niveau de priorité des logs que vous désirez recevoir, tout
comme sur un système Unix (Information, Error, Warning, etc…). Enfin,
vous pourrez définir les logs (Application, Système, etc…),
ainsi que le niveau avec lequel ils seront envoyés (Alert Level).
View Audit Service Status vous permet de connaître l’état du service Snare.
Apply the Latest Audit Configuration vous permet d’appliquer votre configuration.
Vous pourrez aussi avoir accès aux informations de votre domaine (Groupe, Users, etc…).
4.2 ID des évènements sous Windows 2003
Nous avons pu voir que les logs pouvait être filtrés sur le serveur
à l’aide de l’indice « destination » de Syslog-ng et des
filtres qu’il contient. Cependant, il serait stupide de tout configurer
sur Syslog-ng alors qu’un filtre préalable peut être effectué sur les
clients. Cela pourra servir à sauver beaucoup de bande passante,
d’entrées SQL inintéressantes, et de charges processus sur le serveur
tout aussi inutile.
La façon la plus simple de configurer Snare afin de filtrer les logs
envoyés est de connaître l’ID des évènements que l’on souhaite garder.
Voici donc une liste non exhaustive des évènements intéressants que
l’on peut trouver sous un système W2K3.
Journal d'application
2 |
Récupération de la mise à jour automatique |
Information |
7 |
Récupération de la mise à jour automatique |
Information |
100 |
Moteur svhost, issac, etc. a démarré |
Information |
101 |
Moteur svhost, issac, etc. s’est arrêté |
Information |
105 |
Service X démarré |
Information |
108 |
Service X arrêté |
Information |
111 |
L’utilisateur X s’est connecté à distance |
Information |
112 |
L’utilisateur X s’est déconnecté de sa session distante |
Information |
300 |
Initialisation des étapes de récupération |
Information |
301 |
Le lecteur de la base de donnée a commencé à lire le fichier |
Information |
302 |
Le lecteur de la base de donnée a terminé de lire le fichier |
Information |
1000 |
Le compteur de performance a été chargé
Application défaillante du service Mgr |
Information
Erreur |
1001 |
Compteurs de performances pour le WmiApRpl supprimées |
Information |
1002 |
L'environnement s'est arrêté de façon inattendue |
Information |
1004 |
Erreur de file d'attente de rapport |
Information |
1005 |
Windows Installer a initié un redémarrage système |
Information |
1030 |
Windows ne peut accéder à la liste des stratégies de groupe |
Information |
1058 |
Windows ne peut accéder à X pour Stratégie de groupes |
Erreur |
1524 |
Windows ne peut décharger vos classes fichier de Registre |
Avertissement |
1704 |
La stratégie de sécurité a été appliquée correctement. |
Information |
2001 |
X : Gel du cliché instantané 1 démarré. |
Information |
2003 |
X : Gel du cliché instantané 6 arrêté. |
Information |
4097 |
MS DTC a démarré avec les paramètres suivants |
Information |
11707 |
Installation réussie |
Information |
11708 |
Installation échouée |
Information |
12301 |
Erreur du service de cliché instantané des volumes |
Erreur |
17055 |
SQL Database backed up |
Information |
17176 |
Instance of SQL Server last reported using a process id of x |
Information |
17117 |
Instance of SQL Server has been using a process id of x |
Information |
19001 |
SuperSocket info: (SpnRegister) : Error x |
Avertissement |
33152 |
Adamm Mover Error: Unload Status Failure! |
Erreur |
34113 |
Alerte Backup Exec : Travail ayant échoué |
Erreur |
34114 |
Alerte Backup Exec : Travail annulé |
Erreur |
34304 |
Backup Exec : Le serveur de catalogue X a démarré. |
Information |
57796 |
Alerte Backup Exec : Démarrage du service |
Information |
57797 |
Alerte Backup Exec : Arrêt du service |
Information |
Journal Sécurité
515 |
Un Processus d'ouv. de session s'est fait reconnaître par l'autorité locale |
Audit des succès |
516 |
Les ressources internes allouées pour la file d'attente des messages d'audit sont épuisées. |
Audit des succès |
528 |
Ouverture de session réseau réussie |
Audit des succès |
529 |
Échec de l'ouverture de session |
Audit des échecs |
538 |
Fermeture de la session utilisateur : |
Audit des succès |
540 |
Ouverture de session réseau réussie |
Audit des succès |
552 |
Tentative d'ouverture de session |
Audit des succès |
560 |
Objet ouvert |
Audit des succès |
562 |
Handle fermé : |
Audit des succès |
565 |
Objet ouvert : |
Audit des succès |
567 |
Tentative d'accès à l'objet : |
Audit des succès |
576 |
Privilèges spéciaux assignés à la nouvelle session : |
Audit des succès |
577 |
Service privilégié appelé : |
Audit des succès |
578 |
Opération sur objet privilégié |
Audit des succès |
592 |
Un nouveau processus a été créé |
Audit des succès |
593 |
Un processus est terminé |
Audit des succès |
600 |
Un jeton principal a été attribué à un processus. |
Audit des succès |
612 |
Modification de la stratégie d'audit |
Audit des succès |
646 |
Compte d'ordinateur modifié |
Audit des succès |
672 |
Requête de ticket d'authentification |
Audit des succès |
673 |
Accord de la demande de ticket |
Audit des succès |
674 |
Ticket de service renouvelé |
Audit des succès |
675 |
Échec de pré authentification |
Audit des succès |
680 |
Tentative d'ouverture de session par X |
Audit des succès Audit des échecs |
835 |
DRA de destination |
Audit des succès |
836 |
DRA de destination |
Audit des succès |
837 |
DRA de destination |
Audit des succès |
Journal Système
2 |
Création d’imprimante |
Information |
3 |
Suppression d’imprimante |
Avertissement |
4 |
Attente de suppression d’imprimante |
Avertissement |
6 |
Arrêt temporaire de l’imprimante |
Avertissement |
7 |
Remise en marche de l’imprimante |
Avertissement |
8 |
Imprimante a été vidée |
Avertissement |
9 |
Imprimante paramétrée |
Information |
10 |
Document imprimé |
Information |
11 |
Erreur de contrôleur |
Erreur |
12 |
Reprise de document sur une machine
Fournisseur de temps NtpClient mal configuré |
Information Avertissement |
13 |
Suppression de document |
Information |
15 |
Installation de driver |
Information |
17 |
Installation de carte réseau |
Information |
21 |
Nombre de licence Terminal Server maximal atteint |
Avertissement |
22 |
Erreur de serveur de temps NtpClient |
Avertissement |
26 |
Accès distant sur cet ordinateur |
Information |
35 |
Le mode de cluster ne peut être activé |
Erreur |
36 |
Le serveur de temps n’a pas pu mettre a jour l’heure |
Avertissement |
42 |
L’imprimante a correctement été retirée |
Information |
50 |
La file d’impression a été supprimée |
Information |
54 |
Document endommagé et supprimé |
Erreur |
61 |
Impossible d’imprimer le document |
Erreur |
119 |
Le périphérique X a retardé les requêtes E/S non paginées |
Information |
1044 |
Le serveur DHCP est autorisé à démarrer |
Information |
1056 |
DHCP ne peut utiliser l’enregistrement DNS dynamique |
Avertissement |
1074 |
L’application a redémarré l’ordinateur |
Information |
2013 |
Le disque X est sur le point d'être saturé. |
Avertissement |
4294 |
IPSec est passé en mode sécurisé |
Information |
4295 |
IPSec est passé en mode contournement |
Information |
5719 |
Impossible de configurer une session sécurisé Netlogon |
Erreur |
5723 |
L’installation de la session a échouée |
Erreur |
5774 |
L’inscription DNS dynamique a échoué |
Erreur |
5805 |
L’utilisateur de la session n’a pu être identifié |
Erreur |
6005 |
Le service d’enregistrement d’évènement a démarré |
Information |
6006 |
Le service d’enregistrement d’événement s’est arrêté |
Information |
6009 |
Microsoft MultiProcessor Free |
Information |
6013 |
Durée active du système |
Information |
7035 |
Contrôle envoyé au service x (DHCP, DNS, etc.) |
Information |
7036 |
Le service X est passé dans l’état Y (DHCP, DNS, etc.) |
Information |
8015 |
L’explorateur a forcé un choix sur le réseau |
Information |
12503 |
Le service de découverte WinHTTP est inactif |
Information |
12517 |
Le service de découverte WinHTTP est interrompu |
Information |
14351 |
Information du service DFS |
Information |
40961 |
Le système de sécurité n'a pas pu établir une connexion |
Avertissement |
Journal Service d'Annuaire
102 |
NTDSA : moteur de la bdd a démarré une nouvelle instance |
Information |
103 |
NTDSA : moteur de la bdd a arrêté l'instance |
Information |
300 |
NTDSA : moteur de la bdd initie les étapes de récupération |
Information |
301 |
NTDSA : moteur de la bdd a commencé la relecture |
Information |
302 |
NTDSA : moteur de la bdd a terminé les étapes de récup |
Information |
609 |
NTDSA : moteur de bdd lance un nettoyage d'index de bdd |
Information |
612 |
NTDSA : moteur de bdd a terminé le nettoyage d'index bdd |
Information |
700 |
NTDSA : défragmentation en ligne sur bdd |
Information |
701 |
NTDSA : défragmentation en ligne a terminé une passe bdd |
Information |
1000 |
Démarrage de l'annuaire Microsoft Active Directory terminé |
Information |
1000 |
Vérification des cohérences de connaissances terminées |
Information |
1104 |
Vérificateur de cohérence de connaissances terminé |
Information |
1110 |
La promotion de ce contrôleur de domaine retardé |
Information |
1119 |
Ce contrôleur de domaine est maintenant un serveur de CG |
Information |
1128 |
Connexion de réplication créée du CDS vers CDL |
Information |
1308 |
Réplication avec le contrôleur de domaine échouée |
Avertissement |
1394 |
Mises à jours de la bdd Active Directory réussies |
Information |
1404 |
Le CDL devient le générateur de topologies inter site |
Information |
1458 |
Le rôle maître des opérations a été transféré |
Information |
1540 |
Un identifiant de sécurité (SID) n’a pas pu être ajouté |
Information |
1570 |
Le dossier suivant a été choisi pour être utilisé avec SMTP |
Information |
1863 |
Réplication pour la partition d'annuaire |
Erreur |
1869 |
Active Directory a trouvé un catalogue global dans ce site |
Information |
1917 |
Sauvegarde du cliché instantané pour AD réussi |
Information |
2013 |
Active Directory est en train de recréer le nombre d'index |
Information |
2014 |
Active Directory a recréé le nombre d'index suivant. |
Information |
2064 |
AD a détecté une table de suivi des quotas manquante |
Information |
2065 |
AD a terminé la construction de la table de suivi des quotas |
Information |
Journal de réplication de fichiers
13501 |
Le service de réplication de fichiers démarre |
Information |
13502 |
Le service de réplication de fichiers est en cours d'arrêt |
Information |
13503 |
Le service de réplication de fichiers s'est arrêté |
Information |
13508 |
Le Service a des problèmes pour activer la réplication |
Avertissement |
13509 |
Le service de réplication de fichiers a activé la réplication |
Avertissement |
13516 |
Le service n'empêche plus x de devenir un CDD |
Information |
13553 |
Le service de réplication de fichiers a correctement ajouté |
Information |
13562 |
Résumé des avertissements et des erreurs par le service |
Avertissement |
13565 |
Le service initialise le volume système |
Avertissement |
Comme vous pouvez le constater, il y a
beaucoup d’évènements différents sous Windows, et il faut bien garder
en tête que cette liste est incomplète. Elle pourra néanmoins vous
aider afin de filtrer les logs envoyés.
A présent, le serveur et les clients
sont configurés. Il serait judicieux d'installer une base de données
pour stocker les logs, ainsi qu'une interface Web afin de les consulter
de façon claire et agréable.
|
35 Visites
Flavien SALSMANN
[20 mn de lecture - paru le 10/6/2005 1:55:28 PM - Public : Débutant]