Article de reference

Syslog

En informatique , syslog ( / ) est une norme de . les stocke et le logiciel qui les analyse et les traite. Chaque message est étiqueté avec un code de service, indiquant le type...

En informatique , syslog ( / ) est une norme de . les stocke et le logiciel qui les analyse et les traite. Chaque message est étiqueté avec un code de service, indiquant le type de système qui l'a généré, et se voit attribuer un niveau de gravité.

Les concepteurs de systèmes informatiques peuvent utiliser syslog pour la gestion du système et l'audit de sécurité, ainsi que pour les messages d'information, d'analyse et de débogage. De nombreux périphériques, tels que les imprimantes, les routeurs et les récepteurs de messages, utilisent la norme syslog sur diverses plateformes. Cela permet de centraliser les données de journalisation provenant de différents types de systèmes dans un référentiel unique. Des implémentations de syslog existent pour de nombreux systèmes d'exploitation.

Lorsqu'il fonctionne sur un réseau, syslog utilise une architecture client-serveur où un serveur syslog écoute et enregistre les messages provenant des clients.

Histoire

Syslog a été développé dans les années 1980 par Eric Allman dans le cadre du projet Sendmail . Il a rapidement été adopté par d'autres applications et est depuis devenu la solution de journalisation standard sur les systèmes de type Unix . Diverses implémentations existent également sur d'autres systèmes d'exploitation et on le trouve couramment dans les périphériques réseau, tels que les routeurs .

Syslog a d'abord fonctionné comme une norme de facto , sans spécification publiée faisant autorité, et de nombreuses implémentations existaient, dont certaines étaient incompatibles. L' Internet Engineering Task Force a documenté l'état actuel des choses dans la RFC 3164 en août 2001. Il a été normalisé par la RFC 5424 en mars 2009.

Plusieurs entreprises ont tenté de déposer des brevets pour des aspects spécifiques des implémentations de syslog. Cela a eu peu d'effet sur l'utilisation et la normalisation du protocole.

Composants du message

Les informations fournies par l'expéditeur d'un message syslog comprennent le code du service et le niveau de gravité. Le logiciel syslog ajoute des informations à l'en-tête avant de transmettre l'entrée au destinataire syslog. Ces informations incluent l'identifiant du processus expéditeur, un horodatage et le nom d'hôte ou l'adresse IP du périphérique.

Facilité

Un code de fonctionnalité est utilisé pour spécifier le type de système qui enregistre le message. Les messages provenant de différentes fonctionnalités peuvent être traités différemment. La liste des fonctionnalités disponibles est décrite par la norme :

La correspondance entre le code de fonctionnalité et le mot-clé n'est pas uniforme dans les différents systèmes d'exploitation et implémentations syslog.

Niveau de gravité

La liste des degrés de gravité des problèmes est également décrite par la norme :

La signification des niveaux de gravité autres que Urgence et Débogage est relative à l'application. Par exemple, si le système a pour but de traiter des transactions pour mettre à jour les informations de solde des comptes clients, une erreur survenant à la dernière étape doit être classée au niveau Alerte . En revanche, une erreur se produisant lors de l'affichage du code postal du client peut être classée au niveau Erreur , voire Avertissement .

Le processus serveur qui gère l'affichage des messages inclut généralement tous les niveaux inférieurs (plus graves) lorsque l'affichage des niveaux moins graves est demandé. Autrement dit, si les messages sont séparés par niveau de gravité individuel, une entrée de niveau Avertissement sera également incluse lors du filtrage des messages Notice , Info et Debug .

Message

Dans la RFC 3164, le composant de message (connu sous le nom de MSG) a été spécifié comme ayant les champs suivants : TAG , qui doit être le nom du programme ou du processus qui a généré le message, et CONTENT qui contient les détails du message.

Décrit dans la RFC 5424 , « MSG correspond à ce qui était appelé CONTENT dans la RFC 3164. L'étiquette (TAG) fait désormais partie de l'en-tête, mais n'est plus un champ unique. Elle est divisée en APP-NAME, PROCID et MSGID. Son utilisation diffère légèrement de celle de l'étiquette d'origine, mais elle offre les mêmes fonctionnalités dans la plupart des cas. » Les outils syslog populaires tels que NXLog et Rsyslog sont conformes à cette nouvelle norme.

Le champ de contenu doit être encodé dans un jeu de caractères UTF-8 et les valeurs d'octet appartenant à la plage traditionnelle des caractères de contrôle ASCII doivent être évitées.

Bûcheron

Les messages de journalisation générés peuvent être dirigés vers différentes destinations, notamment : la console , des fichiers, des serveurs syslog distants ou des relais. La plupart des implémentations fournissent un utilitaire en ligne de commande, souvent appelé logger , ainsi qu’une bibliothèque logicielle , pour envoyer des messages au journal.

Pour afficher et surveiller les journaux collectés, il est nécessaire d'utiliser une application cliente ou d'accéder directement au fichier journal sur le système. Les outils en ligne de commande de base sont `tail` et `grep` . Les serveurs de journaux peuvent être configurés pour envoyer les journaux sur le réseau (en plus des fichiers locaux). Certaines implémentations incluent des programmes de génération de rapports permettant de filtrer et d'afficher les messages syslog.

Protocole réseau

Lorsqu'il fonctionne sur un réseau, syslog utilise une architecture client-serveur où le serveur écoute les requêtes de protocole des clients sur un port connu ou enregistré . Historiquement, le protocole de couche transport le plus courant pour la journalisation réseau était le protocole UDP (User Datagram Protocol ), le serveur écoutant sur le port 514. Comme UDP ne dispose pas de mécanismes de contrôle de congestion, le port 6514 du protocole TCP ( Transmission Control Protocol ) est utilisé ; le protocole TLS (Transport Layer Security) est également requis dans les implémentations et recommandé pour une utilisation générale.

Limites

Chaque processus, application et système d'exploitation ayant été développé indépendamment, le contenu des messages de journalisation présente peu d'uniformité. C'est pourquoi aucune hypothèse n'est formulée quant à leur formatage ou leur contenu. Un message syslog est formaté (la RFC 5424 définit la forme ABNF augmentée ), mais son champ MSG ne l'est pas.

Le protocole réseau est une communication simplex , sans moyen d'accuser réception de la livraison à l'expéditeur.

Perspectives

Divers groupes travaillent sur des projets de normes détaillant l'utilisation de syslog pour plus que la simple journalisation des événements réseau et de sécurité, comme son application proposée dans le domaine de la santé.

Des réglementations telles que la loi Sarbanes-Oxley , la norme PCI DSS , la loi HIPAA et bien d'autres imposent aux organisations de mettre en œuvre des mesures de sécurité complètes, incluant souvent la collecte et l'analyse de journaux provenant de sources diverses. Le format syslog s'est avéré efficace pour la consolidation de ces journaux, grâce à la multitude d'outils, libres et propriétaires, disponibles pour leur génération et leur analyse. Des utilitaires permettent également la conversion des journaux d'événements Windows et autres formats vers syslog.

Les fournisseurs de services de sécurité gérés tentent d'appliquer des techniques analytiques et des algorithmes d'intelligence artificielle pour détecter des tendances et alerter les clients en cas de problèmes.

Documents conformes aux normes Internet

Le protocole Syslog est défini par des documents RFC ( Request for Comments ) publiés par l' Internet Engineering Task Force ( normes Internet ). Voici une liste des RFC qui définissent le protocole Syslog :

  • Le protocole syslog BSD . IETF . RFC 3164 .(obsolète par le protocole Syslog . IETF . RFC 5424 .)
  • Livraison fiable pour syslog . IETF . RFC 3195 .
  • Le protocole Syslog . IETF . RFC 5424 .
  • Mappage de transport TLS pour Syslog . IETF . RFC 5425 .
  • Transmission des messages Syslog sur UDP . IETF . RFC 5426 .
  • Conventions textuelles pour la gestion de Syslog . IETF . RFC 5427 .
  • Messages Syslog signés . IETF . RFC 5848 .
  • Mappage de transport DTLS (Datagram Transport Layer Security) pour Syslog . IETF . RFC 6012 .
  • Transmission des messages Syslog sur TCP . IETF . RFC 6587 .

Plus d articles de Worldlex Wiki

Revenez a l index pour explorer davantage de pages sur l histoire, la science, la culture, la geographie et la societe en francais.

Explorer l index