Contenu | Rechercher | Menus

Annonce

Si vous avez des soucis pour rester connecté, déconnectez-vous puis reconnectez-vous depuis ce lien en cochant la case
Me connecter automatiquement lors de mes prochaines visites.

À propos de l'équipe du forum.

#1 Le 11/02/2018, à 12:23

zzzeb

modifier la criticité de certains messages dans Rsyslog

Bonjour,

Je souhaiterais configurer la criticité de certains messages loggués  (car ensuite sur le critère de la criticité je déclenche un envoi de mail)
Par exemple les logs de sshd sont importants pour moi afin de détecter si quelqu'un tente des connexions vers mon serveur ssh (différent que du simple scan de port loggué au niveau du FW)
J'ai regardé dans /etc/ssh/sshd_config où j'ai :
SyslogFacility AUTH
LogLevel INFO

mais la modification de logLevel semble plutot permettre de ne selectionner qu'une souspartie des logs pour envoi vers rsyslog. Mais pas de modifier la criticité paramétrée

J'ai creusé directement dans rsyslog
https://access.redhat.com/documentation … of_rsyslog
pour voir si un fichier de config permettait de modifier la criticité initiale mais après plusieurs jours, je seche.

Si quelqu'un a une idée ?

Merci !

Hors ligne

#2 Le 19/02/2018, à 19:12

zzzeb

Re : modifier la criticité de certains messages dans Rsyslog

personne ? sad

Hors ligne

#3 Le 21/02/2018, à 09:38

bruno

Re : modifier la criticité de certains messages dans Rsyslog

Bonjour,

Personne, sans doute parce que l'on ne comprend pas ce que tu veux faire…
Si tu veux voir qui tente des connexions SSH, il suffit de regarder /var/log/auth.log. Si tu veux des alertes par courriel concernant le contenu des logs, tu as logwatch ou logcheck.

Hors ligne

#4 Le 23/02/2018, à 19:13

zzzeb

Re : modifier la criticité de certains messages dans Rsyslog

Merci bruno pour ta réponse !
je vais creuser les 2 logiciels.
Si vous ne comprenez pas c'est que je n'ai pas dû etre très clair smile
Si je reformule et détaille un peu :
Mon serveur avec sshd envoi tous ses logs ( utilise rsyslog ) vers mon Synology.
Mon Syno reçoit donc tout un tas de logs de mon serveur et sur des critères de gravité (si criticité du log >= à Critical ; donc aussi  Alert ou Emergency ) il m'envoie des mails
Par exemple le FW en iptables envoi des logs en "Critical" lors d'accès à certains ports de mon serveur. Du coup mon Syno m'envoie un mail (c'est cool et ca marche bien comme méthode)
Pour sshd j'aimerais que certains de ses logs par exemple ceux là :
sshd[X]: Accepted publickey for X from XXX.XXX.XXX.XXX port XXXXX ssh2: RSA SHA256:XXXX/XX
soient configurés en "Critical" pour bénéficier de la même fonctionnalité d'envoi de mails par mon Syno

Est ce que je suis plus clair ? :-/

Hors ligne

#5 Le 24/02/2018, à 09:13

bruno

Re : modifier la criticité de certains messages dans Rsyslog

Re,

Ce que tu appelle « critère de gravité » correspond à la priorité du message (info, notice, warn, …, crit, emerg). Je ne crois pas que ce soit configurable et c'est une drôle d'idée de vouloir transformer des messages qui ont une priorité « info » en message critiques.

Il faut prendre le problème dans le bon sens : modifier les réglages de l'application qui t'envoie des courriels plutôt que de changer des paramètres hautement sensibles du système.

Hors ligne