syslog-ng

Fiche logiciel validé
  • Création ou MAJ importante : 27/02/12
  • Correction mineure : 02/03/14
Mots-clés

syslog-ng : gestion de journaux systèmes informatiques

  • Site web
  • Système : UNIX-like, MacOS X
  • Téléchargement
  • Version évaluée : 3.5 LTS
  • Langue(s) de l'interface : anglais
  • Licence : GPL

    La société Balabit IT Security qui est à l'origine du développement de syslog-ng propose deux déclinaisons dans la distribution du produit, l'une est opensource et l'autre propriétaire avec des fonctionnalités additionnelles. Voici la charte d'acceptation de contribution à la licence de syslog-ng ( http://www.balabit.com/dl/CLA_patch.pdf )

Description
Fonctionnalités générales

Syslog-ng (ng=new generation) est une implémentation étendue du protocole standard de gestion des journaux système (les "logs") sous différentes distributions Linux et Unix. Syslog-ng est largement utilisé dans la centralisation des "logs" provenant de différents systèmes d'infrastructures hétérogènes. Syslog-ng peut travailler en mode serveur (réception des logs) ou agent (envoi des logs). Chaque machine serveur peut ainsi envoyer ses logs systèmes vers un serveur central syslog-ng. Syslog-ng est flexible et simple a configurer. Il propose des fonctionnalités puissantes de filtrage de contenu permettant de répartir les logs dans des fichiers et répertoires propres à chaque systèmes.

Au niveau de la centralisation des journaux syslog-ng permet la discrimination des sources, une meilleure sécurité des échanges (envois chiffrés en TLS) et la possibilité d'utiliser le protocole TCP comme couche de transport alternative au standard UDP de syslog.

Autres fonctionnalités
  • Gestion de configuration souple, structurante et "human readable"
  • Gestion intelligente et fine dans la rotation des fichiers logs et des filtrages de logs avec des expressions régulières
  • Réception/envoi de logs sur le réseau en TCP et en UDP et sachant écouter plusieurs ports à la fois
  • Compatible IPv6
Interopérabilité
  • Compatible avec le format standard UNIX syslog
  • Alimente un moteur de corrélation de logs en entrée comme sec.pl
Contexte d'utilisation dans mon laboratoire/service

syslog-ng archive et traite les journaux informatiques d'une vingtaine de serveurs internes du laboratoire LPNHE ( http://lpnhe.in2p3.fr ) et des serveurs de système d'acquisition de l'Observatoire Pierre Auger en Argentine ( www.auger.org ). A terme, les matériels réseaux (routeurs, switchs et bornes wifi) et imprimantes vont également voir leurs logs systèmes et trafic gérés entièrement par syslog-ng afin d'avoir une maitrise et un contrôle des données journalisées.

Limitations, difficultés, fonctionnalités importantes non couvertes

Si le flux de données réseaux en entrée de syslog-ng devient important, il n'est pas dit que celui-ci ne perde pas des informations en route. Mais une étude faite par Balabit rassure tout de même un peu la situation (cf. http://www.balabit.com/support/knowledge_base/arti... ) .. (à suivre)

Environnement du logiciel
Distributions dans lesquelles ce logiciel est intégré

DragonFly BSD, FreeBSD, NetBSD, OpenBSD, MacOSX, Solaris, IBM AIX, HP-UX, Cygwin, Tru64 et certaines distributions Linux (Debian, Fedora, Gentoo, Mandriva, Suse, Ubuntu, RedHat).

Plates-formes
  • syslog-ng et addons officiels tournent sur plate-forme UNIX/Linux. Ils sont téléchargeables sous forme de tarballs et rpm/deb/ports.
  • Il existe des contributions de plugins/addons pour renvoyer les journaux évènements Windows vers du format syslog.
Logiciels connexes
Autres logiciels aux fonctionnalités équivalentes
Environnement de développement
Type de structure associée au développement

Bien que le développement principal soit entièrement supporté par l'éditeur BalaBit IT Security et par l'auteur, Balázs Scheidler, la communauté opensource de syslog-ng apporte tout de même sa très forte contribution via les sites de développement opensource comme freshmeat.org et sourceforge.net .

Eléments de pérennité

syslog-ng apporte de nouvelles fonctionnalités indispensables à syslog. Tout en restant 100% compatible avec ce dernier il est devenu incontestablement le nouveau successeur de syslog.

Vous pourrez désormais faire un clone git de la source en local via github:

$ git clone git://github.com/balabit/syslog-ng

Références d'utilisateurs institutionnels

Dans mon environnement proche :

Environnement utilisateur
Liste de diffusion ou de discussion, support et forums
Documentation utilisateur

Les livres sur syslog-ng disponibles sur http://www.balabit.com/network-security/syslog-ng/...

Divers (astuces, actualités, sécurité)
  • syslogd et syslog-ng peuvent travailler ensemble, en configurant syslog pour que celui-ci renvoie tous ces logs en localhost (dans le fichier /etc/syslog.conf, vous devez avoir que cette ligne : *.* @127.0.0.1) et syslog-ng ne doit recevoir les logs locaux que via le port udp en local uniquement.
  • Pour éviter d'éclater les données de vos traces, sachez organiser et restez simple dans la gestion. Pour proposition :
    • rangez toujours vos fichiers logs dans une arborescence simple, par ex. /var/log/<année>/<mois>/<jour>/messages_<annee>_<mois>_<jour>_<heure>.log, vous faites ici de la rotation de logs tout simplement ;)
    • séparez dans un fichier à part les messages dont l'id priorité < 4 (emerg,alert,crit,error) par ex.
    • pour les lectures en temps réel sans grossir un fichier log, configurez syslog-ng pour qu'il écrive les logs sur un tube nommé unix. Vous pourrez par la suite lire les logs en faisant tout simplement un cat ou injecter sur un stdin d'un programme tiers.
  • Comment compiler syslog-ng depuis une source: http://www.balabit.com/network-security/syslog-ng/...
Contributions

http://www.balabit.com/network-security/syslog-ng/...