Vous êtes ici : Formations en Ligne Gratuites » Catalogue » workbooks » CentOS » CentOS 8 » LCF500 - Présentation de la Formation » LCF508 - Gestion de la Journalisation

Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Les deux révisions précédentesRévision précédente
Prochaine révision		Révision précédente
elearning:workbooks:centos:8:junior:l114 [2021/06/04 06:30] adminelearning:workbooks:centos:8:junior:l114 [2024/09/12 09:15] (Version actuelle) admin
Ligne 1: Ligne 1:
 ~~PDF:LANDSCAPE~~ ~~PDF:LANDSCAPE~~
  
-Version : **2021.01**+Version : **2024.01**
  
 Dernière mise-à-jour : ~~LASTMOD~~ Dernière mise-à-jour : ~~LASTMOD~~
Ligne 10: Ligne 10:
  
   * **LCF508 - Gestion de la Journalisation**   * **LCF508 - Gestion de la Journalisation**
-    * Contenu du Module 
     * Présentation     * Présentation
     * La Commande dmesg     * La Commande dmesg
-    * Surveillance Sécuritaire +    * LAB #1 - Surveillance Sécuritaire 
-      * La Commande last +      * 1.1 - La Commande last 
-      * La Commande lastlog +      * 1.2 - La Commande lastlog 
-      * La Commande lastb +      * 1.3 - La Commande lastb 
-      * Le Fichier /var/log/secure +      * 1.4 - Le Fichier /var/log/secure 
-    * Le fichier /var/log/audit/audit.log +      * 1.5 - Gestion des évènements audit 
-      * Gestion des événements audit+        * Le fichier /var/log/audit/audit.log
         * auditd         * auditd
         * auditctl         * auditctl
-      * La consultation des événements audit +        * audispd 
-        * La Commande aureport +        * La consultation des événements audit 
-        * La Commande ausearch+          * La Commande aureport 
 +          * La Commande ausearch
     * Le fichier /var/log/messages     * Le fichier /var/log/messages
     * Applications     * Applications
-    * rsyslog +    * LAB #2 - rsyslog 
-      * Priorités +      * 2.1 - Priorités 
-      * Sous-systèmes applicatifs +      * 2.2 - Sous-systèmes applicatifs 
-      * /etc/rsyslog.conf+      * 2.3 - /etc/rsyslog.conf
         * Modules         * Modules
         * Directives Globales         * Directives Globales
Ligne 40: Ligne 40:
           * n Sous-systèmes avec la même priorité           * n Sous-systèmes avec la même priorité
           * n Sélecteurs avec la même Action           * n Sélecteurs avec la même Action
-    * La Commande logger +    * LAB #3 - La Commande logger 
-    * La Commande logrotate +    * LAB #4 - La Commande logrotate 
-    * La Journalisation avec journald +    * LAB #5 - La Journalisation avec journald 
-      * Consultation des Journaux +      * 5.1 - Consultation des Journaux 
-        * Consultation des Journaux d'une Application Spécifique +      5.2 - Consultation des Journaux d'une Application Spécifique 
-        * Consultation des Journaux depuis le Dernier Démarrage +      5.3 - Consultation des Journaux depuis le Dernier Démarrage 
-        * Consultation des Journaux d'une Priorité Spécifique +      5.4 - Consultation des Journaux d'une Priorité Spécifique 
-        * Consultation des Journaux d'une Plage de Dates ou d'Heures +      5.5 - Consultation des Journaux d'une Plage de Dates ou d'Heures 
-        * Consultation des Journaux en Live +      5.6 - Consultation des Journaux en Live 
-        * Consultation des Journaux avec des Mots Clefs+      5.7 - Consultation des Journaux avec des Mots Clefs
  
 =====Présentation===== =====Présentation=====
Ligne 90: Ligne 90:
 --More-- --More--
 </code> </code>
- 
-====Options de la Commande==== 
  
 Les option de cette commande sont : Les option de cette commande sont :
Ligne 158: Ligne 156:
 </code> </code>
  
-=====Surveillance Sécuritaire=====+=====LAB #1 - Surveillance Sécuritaire=====
  
-====La Commande last====+====1.1 - La Commande last====
  
 Cette commande indique les dates et heures des connexions des utilisateurs à partir du contenu du fichier **/var/log/wtmp** : Cette commande indique les dates et heures des connexions des utilisateurs à partir du contenu du fichier **/var/log/wtmp** :
Ligne 201: Ligne 199:
 wtmp begins Fri May  8 08:13:49 2020 wtmp begins Fri May  8 08:13:49 2020
 </code> </code>
- 
-===Options de la Commande=== 
  
 Les option de cette commande sont : Les option de cette commande sont :
Ligne 237: Ligne 233:
 </code> </code>
  
-====La Commande lastlog====+====1.2 - La Commande lastlog====
  
 Cette commande indique les dates et heures de la connexion au système la plus récente des utilisateurs : Cette commande indique les dates et heures de la connexion au système la plus récente des utilisateurs :
Ligne 284: Ligne 280:
 apache                                     **Never logged in** apache                                     **Never logged in**
 </code> </code>
- 
-===Options de la Commande=== 
  
 Les option de cette commande sont : Les option de cette commande sont :
Ligne 303: Ligne 297:
 </code> </code>
  
-====La Commande lastb====+====1.3 - La Commande lastb====
  
-Cette commande indique les dates et heures des connexions infructueueses des utilisateurs à partir du contenu du fichier **/var/log/btmp** :+Cette commande indique les dates et heures des connexions infructueuses des utilisateurs à partir du contenu du fichier **/var/log/btmp** :
  
 <code> <code>
Ligne 315: Ligne 309:
 btmp begins Thu Jun  3 09:51:07 2021 btmp begins Thu Jun  3 09:51:07 2021
 </code> </code>
- 
-===Options de la Commande=== 
  
 Les options de cette commande sont : Les options de cette commande sont :
Ligne 351: Ligne 343:
 </code> </code>
  
-====Le Fichier /var/log/secure====+====1.4 - Le Fichier /var/log/secure====
  
 Sous RHEL/CentOS ce fichier contient la journalisation des opérations de gestion des authentifications : Sous RHEL/CentOS ce fichier contient la journalisation des opérations de gestion des authentifications :
Ligne 374: Ligne 366:
 </code> </code>
  
-=====Le fichier /var/log/audit/audit.log=====+====1.5 - Gestion des Evénements audit====
  
-Ce fichier contient les messages du système d'audit, appelés des **évènements**. Le système audit est installé par défaut dans RHEL/CentOS par le paquet **audit**. Le système audit collectionne des informations telles :+===Le fichier /var/log/audit/audit.log=== 
 + 
 +Ce fichier contient les messages du système d'audit, appelés des **événements**. Le système audit est installé par défaut dans RHEL/CentOS par le paquet **audit**. Le système audit collectionne des informations telles :
  
   * des appels système,   * des appels système,
Ligne 403: Ligne 397:
 </code> </code>
  
-====Gestion des évènements audit==== +La gestion des événements audit se repose sur trois exécutables :
- +
-La gestion des évènements audit se repose sur trois exécutables :+
  
 ===auditd=== ===auditd===
Ligne 453: Ligne 445:
 plugin_dir = /etc/audit/plugins.d plugin_dir = /etc/audit/plugins.d
 </code> </code>
- 
-==Options de la Commande== 
  
 Les option de cette commande sont : Les option de cette commande sont :
Ligne 477: Ligne 467:
  
 </code> </code>
- 
-==Options de la Commande== 
  
 Les options de cette commande sont : Les options de cette commande sont :
Ligne 522: Ligne 510:
 </code> </code>
  
-====La consultation des évènements audit====+===La consultation des événements audit===
  
-La consultation des évènements audit se fait en utilisant les commandes **ausearch** et **aureport** :+La consultation des événements audit se fait en utilisant les commandes **ausearch** et **aureport** :
  
-===La Commande aureport===+==La Commande aureport==
  
 Cette commande est utilisée pour générer des rapports : Cette commande est utilisée pour générer des rapports :
Ligne 561: Ligne 549:
 Number of events: 6030 Number of events: 6030
 </code> </code>
- 
-==Options de la Commande== 
  
 Les options de cette commande sont : Les options de cette commande sont :
Ligne 607: Ligne 593:
 </code> </code>
  
-===La Commande ausearch===+==La Commande ausearch==
  
-Cette commande est utilisée pour rechercher des évènements. Par exemple, pour rechercher les évènements liés à un utilisateur représenté par son UID :+Cette commande est utilisée pour rechercher des événements. Par exemple, pour rechercher les événements liés à un utilisateur représenté par son UID :
  
 <code> <code>
Ligne 672: Ligne 658:
 --More-- --More--
 </code>  </code> 
- 
-==Options de la Commande== 
  
 Les options de cette commande sont : Les options de cette commande sont :
Ligne 821: Ligne 805:
 </code> </code>
  
-=====rsyslog=====+=====LAB #2 - rsyslog=====
  
 **rsyslog**, le successeur de syslog, centralise les journaux du système grâce au daemon **rsyslog**.  **rsyslog**, le successeur de syslog, centralise les journaux du système grâce au daemon **rsyslog**. 
Ligne 860: Ligne 844:
 | SYSLOGD_OPTIONS="-c 0" | syslogd | | SYSLOGD_OPTIONS="-c 0" | syslogd |
  
-====Priorités====+====2.1 - Priorités====
  
 La **Priorité** permet d'indiquer à rsyslog l'importance des informations : La **Priorité** permet d'indiquer à rsyslog l'importance des informations :
Ligne 874: Ligne 858:
 | 7 | debug | Condition normale - message de débogage |  | 7 | debug | Condition normale - message de débogage | 
  
-====Sous-systèmes applicatifs====+====2.2 - Sous-systèmes applicatifs====
  
 Le **Sous-système applicatif**, aussi appelé **facility**, permet d'indiquer à rsyslog le type de programme qui envoie les informations : Le **Sous-système applicatif**, aussi appelé **facility**, permet d'indiquer à rsyslog le type de programme qui envoie les informations :
Ligne 892: Ligne 876:
  
  
-====/etc/rsyslog.conf====+====2.3 - /etc/rsyslog.conf====
  
 rsyslog est configuré par le fichier **/etc/rsyslog.conf** : rsyslog est configuré par le fichier **/etc/rsyslog.conf** :
Ligne 1118: Ligne 1102:
 </WRAP> </WRAP>
  
-=====La Commande logger=====+=====LAB #3 - La Commande logger=====
  
 La commande **/usr/bin/logger** permet d'intégrer des informations dans rsyslog. Ceci peut s'avérer utile dans des scripts bash. La commande **/usr/bin/logger** permet d'intégrer des informations dans rsyslog. Ceci peut s'avérer utile dans des scripts bash.
Ligne 1149: Ligne 1133:
 Jun  3 12:59:01 centos8 systemd[1]: session-241.scope: Succeeded. Jun  3 12:59:01 centos8 systemd[1]: session-241.scope: Succeeded.
 </code> </code>
- 
-====Options de la commande==== 
  
 Les options de la commande logger sont : Les options de la commande logger sont :
Ligne 1195: Ligne 1177:
 </code> </code>
  
-=====La Commande logrotate=====+=====LAB #4 - La Commande logrotate=====
  
 Les fichiers journaux grossissent régulièrement. Le programme **/usr/sbin/logrotate** est utilisé pour effectuer des rotations de ces fichiers selon la configuration contenue dans le fichier **/etc/logrotate.conf**. Les fichiers journaux grossissent régulièrement. Le programme **/usr/sbin/logrotate** est utilisé pour effectuer des rotations de ces fichiers selon la configuration contenue dans le fichier **/etc/logrotate.conf**.
Ligne 1239: Ligne 1221:
 **Important** : Notez que la compression des fichiers de journalisation n'est pas activée par défaut. **Important** : Notez que la compression des fichiers de journalisation n'est pas activée par défaut.
 </WRAP> </WRAP>
- 
-====Options de la commande==== 
  
 Les options de la commande logrotate sont : Les options de la commande logrotate sont :
Ligne 1261: Ligne 1241:
 </code> </code>
  
-=====La Journalisation avec journald=====+=====LAB #5 - La Journalisation avec journald=====
  
-Sous RHEL/CentOS 7, les fichiers de Syslog sont gardés pour une question de compatibilité. Cependant, tous les journaux sont d'abord collectés par **Journald** pour ensuite être redistribués vers les fichiers classiques se trouvant dans le répertoire /var/log. Les journaux de journald sont stockés dans un seul et unique fichier dynamique dans le répertoire **/run/log/journal** :+Sous RHEL/CentOS 8, les fichiers de Syslog sont gardés pour une question de compatibilité. Cependant, tous les journaux sont d'abord collectés par **Journald** pour ensuite être redistribués vers les fichiers classiques se trouvant dans le répertoire /var/log. Les journaux de journald sont stockés dans un seul et unique fichier dynamique dans le répertoire **/run/log/journal** :
  
 <code> <code>
Ligne 1336: Ligne 1316:
 </code> </code>
  
-====Consultation des Journaux====+====5.1 - Consultation des Journaux====
  
 L'utilisation de la commande **journalctl** permet la consultation des journaux : L'utilisation de la commande **journalctl** permet la consultation des journaux :
Ligne 1406: Ligne 1386:
 </WRAP> </WRAP>
  
-===Consultation des Journaux d'une Application Spécifique===+====5.2 - Consultation des Journaux d'une Application Spécifique====
  
 Pour consulter les entrées concernant une application spécifique, il suffit de passer l'exécutable, y compris son chemin complet, en argument à la commande journalctl :  Pour consulter les entrées concernant une application spécifique, il suffit de passer l'exécutable, y compris son chemin complet, en argument à la commande journalctl : 
Ligne 1425: Ligne 1405:
 </WRAP> </WRAP>
  
-===Consultation des Journaux depuis le Dernier Démarrage===+====5.3 - Consultation des Journaux depuis le Dernier Démarrage====
  
 Pour consulter les entrées depuis le dernier démarrage, il suffit d'utiliser l'option **-b** de la commande journalctl :  Pour consulter les entrées depuis le dernier démarrage, il suffit d'utiliser l'option **-b** de la commande journalctl : 
Ligne 1469: Ligne 1449:
 </WRAP> </WRAP>
  
-===Consultation des Journaux d'une Priorité Spécifique===+====5.4 - Consultation des Journaux d'une Priorité Spécifique====
  
 Pour consulter les entrées à partir d'une priorité spécifique et supérieur, il suffit d'utiliser l'option **-p** de la commande journalctl en spécifiant la priorité concernée :  Pour consulter les entrées à partir d'une priorité spécifique et supérieur, il suffit d'utiliser l'option **-p** de la commande journalctl en spécifiant la priorité concernée : 
Ligne 1493: Ligne 1473:
 </code> </code>
  
-===Consultation des Journaux d'une Plage de Dates ou d'Heures===+Les priorités reconnues par Journald sont : 
 + 
 +^ Niveau ^ Priorité ^ Description ^ 
 +| 0 | emerg | Système inutilisable | 
 +| 1 | alert | Action immédiate requise | 
 +| 2 | crit | Condition critique atteinte | 
 +| 3 | err | Erreurs rencontrées | 
 +| 4 | warning | Avertissements présentés | 
 +| 5 | notice | Condition normale - message important | 
 +| 6 | info | Condition normale - message simple | 
 +| 7 | debug | Condition normale - message de débogage |  
 + 
 +====5.5 - Consultation des Journaux d'une Plage de Dates ou d'Heures====
  
 Pour consulter les entrées d'une plage de dates ou d'heures, il suffit de passer cette plage en argument à la commande journalctl :  Pour consulter les entrées d'une plage de dates ou d'heures, il suffit de passer cette plage en argument à la commande journalctl : 
Ligne 1537: Ligne 1529:
 </WRAP> </WRAP>
  
-===Consultation des Journaux en Live===+====5.6 - Consultation des Journaux en Live====
  
 Pour consulter les journaux en live, il suffit d'utiliser l'option **-f** de la commande journalctl :  Pour consulter les journaux en live, il suffit d'utiliser l'option **-f** de la commande journalctl : 
Ligne 1597: Ligne 1589:
 </WRAP> </WRAP>
  
-===Consultation des Journaux avec des Mots Clefs===+====5.7 - Consultation des Journaux avec des Mots Clefs===
  
 Pour consulter les mots clefs compris par Journald, tapez la commande **journalctl** puis appuyer **deux** fois sur la touche <key>Tab</key> : Pour consulter les mots clefs compris par Journald, tapez la commande **journalctl** puis appuyer **deux** fois sur la touche <key>Tab</key> :
Ligne 1638: Ligne 1630:
  
 ----- -----
-<html> +Copyright © 2024 Hugh Norris.
-<div align="center"> +
-Copyright © 2021 Hugh Norris. +
-</html>+

Piste : LDF902 - Les Commandes ansible, ansible-playbook et ansible-galaxy RH12404 - Commandes de Base et de Manipulation de Fichiers Texte LCF901 - La Ligne de Commande LCF500 - CentOS 8 : Administration Système WEB400 - SASS avec Compass LDF100 - Debian 8 Linux : User LDF704 - Gestion de la Configuration des Clients LCF512 - Gestion du Noyau et des Quotas LCE512 - Compiling the Kernel and Managing Quotas SER300 - Administration d'un serveur d'applications JEE avec Tomcat

Menu