Vous êtes ici : Formations en Ligne Gratuites » Catalogue » workbooks » Debian » Debian 11 » Présentation de la Certification » LDF508 - Gestion de la Journalisation

Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Les deux révisions précédentesRévision précédente
Prochaine révision		Révision précédente
elearning:workbooks:debian:10:junior:l114 [2022/04/29 13:27] adminelearning:workbooks:debian:10:junior:l114 [2024/03/08 08:41] (Version actuelle) admin
Ligne 1: Ligne 1:
 ~~PDF:LANDSCAPE~~ ~~PDF:LANDSCAPE~~
  
-Version : **2022.01**+Version : **2024.01**
  
 Dernière mise-à-jour : ~~LASTMOD~~ Dernière mise-à-jour : ~~LASTMOD~~
Ligne 13: Ligne 13:
     * Présentation     * Présentation
     * La Commande dmesg     * La Commande dmesg
-    * Surveillance Sécuritaire +    * LAB #1 - Surveillance Sécuritaire 
-      * La Commande last +      * 1.1 - La Commande last 
-      * La Commande lastlog +      * 1.2 - La Commande lastlog 
-      * La Commande lastb +      * 1.3 - La Commande lastb 
-      * Le fichier /var/log/auth.log +      * 1.4 - Le fichier /var/log/auth.log 
-    * Le fichier /var/log/audit/audit.log +      * 1.5 - Gestion des évènements audit 
-      * Gestion des événements audit+        * Le fichier /var/log/audit/audit.log
         * auditd         * auditd
         * auditctl         * auditctl
         * audispd         * audispd
-      * La consultation des événements audit +        * La consultation des événements audit 
-        * La Commande aureport +          * La Commande aureport 
-        * La Commande ausearch+          * La Commande ausearch
     * Le fichier /var/log/messages     * Le fichier /var/log/messages
     * Applications     * Applications
-    * rsyslog +    * LAB #2 - rsyslog 
-      * Priorités +      * 2.1 - Priorités 
-      * Sous-systèmes applicatifs +      * 2.2 - Sous-systèmes applicatifs 
-      * /etc/rsyslog.conf+      * 2.3 - /etc/rsyslog.conf
         * Modules         * Modules
         * Directives Globales         * Directives Globales
Ligne 41: Ligne 41:
           * n Sous-systèmes avec la même priorité           * n Sous-systèmes avec la même priorité
           * n Sélecteurs avec la même Action           * n Sélecteurs avec la même Action
-    * La Commande logger +    * LAB #3 - La Commande logger 
-    * La Commande logrotate +    * LAB #4 - La Commande logrotate 
-    * La Journalisation avec journald +    * LAB #5 - La Journalisation avec journald 
-      * Consultation des Journaux +      * 5.1 - Consultation des Journaux 
-        * Consultation des Journaux d'une Application Spécifique +      5.2 - Consultation des Journaux d'une Application Spécifique 
-        * Consultation des Journaux depuis le Dernier Démarrage +      5.3 - Consultation des Journaux depuis le Dernier Démarrage 
-        * Consultation des Journaux d'une Priorité Spécifique +      5.4 - Consultation des Journaux d'une Priorité Spécifique 
-        * Consultation des Journaux d'une Plage de Dates ou d'Heures +      5.5 - Consultation des Journaux d'une Plage de Dates ou d'Heures 
-        * Consultation des Journaux en Live+      5.6 - Consultation des Journaux en Live
  
 =====Présentation===== =====Présentation=====
Ligne 115: Ligne 115:
 [q] [q]
 </code> </code>
- 
-====Options de la Commande==== 
  
 Les option de cette commande sont : Les option de cette commande sont :
Ligne 185: Ligne 183:
 </code> </code>
  
-=====Surveillance Sécuritaire=====+=====LAB #1 - Surveillance Sécuritaire=====
  
-====La Commande last====+====1.1 - La Commande last====
  
 Cette commande indique les dates et heures des connexions des utilisateurs à partir du contenu du fichier **/var/log/wtmp** : Cette commande indique les dates et heures des connexions des utilisateurs à partir du contenu du fichier **/var/log/wtmp** :
Ligne 207: Ligne 205:
 </code> </code>
  
-===Options de la Commande=== 
  
 Les option de cette commande sont : Les option de cette commande sont :
Ligne 242: Ligne 239:
 </code> </code>
  
-====La Commande lastlog====+====1.2 - La Commande lastlog====
  
 Cette commande indique les dates et heures de la connexion au système la plus récente des utilisateurs : Cette commande indique les dates et heures de la connexion au système la plus récente des utilisateurs :
Ligne 285: Ligne 282:
 sshd                                       **Never logged in** sshd                                       **Never logged in**
 </code> </code>
- 
-===Options de la Commande=== 
  
 Les option de cette commande sont : Les option de cette commande sont :
Ligne 304: Ligne 299:
 </code> </code>
  
-====La Commande lastb====+====1.3 - La Commande lastb====
  
 Cette commande indique les dates et heures des connexions infructueueses des utilisateurs à partir du contenu du fichier **/var/log/btmp** : Cette commande indique les dates et heures des connexions infructueueses des utilisateurs à partir du contenu du fichier **/var/log/btmp** :
Ligne 319: Ligne 314:
 btmp begins Fri Apr 29 14:22:11 2022 btmp begins Fri Apr 29 14:22:11 2022
 </code> </code>
- 
-===Options de la Commande=== 
  
 Les options de cette commande sont : Les options de cette commande sont :
Ligne 355: Ligne 348:
 </code> </code>
  
-====Le fichier /var/log/auth.log====+====1.4 - Le fichier /var/log/auth.log====
  
 Sous Debian, ces mêmes informations se trouvent dans le fichier **/var/log/auth.log** : Sous Debian, ces mêmes informations se trouvent dans le fichier **/var/log/auth.log** :
Ligne 378: Ligne 371:
 </code> </code>
  
-=====Le fichier /var/log/audit/audit.log=====+====1.5 - Gestion des Evénements audit====
  
-Ce fichier contient les messages du système d'audit, appelés des **évènements**. Le système audit collectionne des informations telles :+===Le fichier /var/log/audit/audit.log=== 
 + 
 +Ce fichier contient les messages du système d'audit, appelés des **événements**. Le système audit collectionne des informations telles :
  
   * des appels système,   * des appels système,
Ligne 402: Ligne 397:
 type=SERVICE_START msg=audit(1651235065.388:29): pid=1 uid=0 auid=4294967295 ses=4294967295 subj==unconfined msg='unit=auditd comm="systemd" exe="/usr/lib/systemd/systemd" hostname=? addr=? terminal=? res=success'UID="root" AUID="unset" type=SERVICE_START msg=audit(1651235065.388:29): pid=1 uid=0 auid=4294967295 ses=4294967295 subj==unconfined msg='unit=auditd comm="systemd" exe="/usr/lib/systemd/systemd" hostname=? addr=? terminal=? res=success'UID="root" AUID="unset"
 </code> </code>
- 
-====Gestion des évènements audit==== 
  
 La gestion des évènements audit se repose sur trois exécutables : La gestion des évènements audit se repose sur trois exécutables :
Ligne 453: Ligne 446:
 plugin_dir = /etc/audit/plugins.d plugin_dir = /etc/audit/plugins.d
 </code> </code>
- 
-==Options de la Commande== 
  
 Les option de cette commande sont : Les option de cette commande sont :
Ligne 466: Ligne 457:
 ===auditctl=== ===auditctl===
  
-Cet exécutable est utilisé pour configurer les règles du système audit. Au démarrage, auditctl lit et applique les règles contunues dans le fichier **/etc/audit/audit.rules** :+Cet exécutable est utilisé pour configurer les règles du système audit. Au démarrage, auditctl lit et applique les règles contenues dans le fichier **/etc/audit/audit.rules** :
  
 <code> <code>
Ligne 476: Ligne 467:
 --backlog_wait_time 60000 --backlog_wait_time 60000
 </code> </code>
- 
-==Options de la Commande== 
  
 Les options de cette commande sont : Les options de cette commande sont :
Ligne 524: Ligne 513:
 ===audispd=== ===audispd===
  
-Cet exécutable est responsable de la distribution des évènements audit à des applications tierces. Le démarrage et l'arrêt de cet exécutable est contrôlé par **auditd**. Afin d'informer **audispd** de la façon dont elles veulent recevoir les informations concernant les évènements, les applications placent un fichier de configuration dans le répertoire **/etc/audit/plugins.d** :+Cet exécutable est responsable de la distribution des événements audit à des applications tierces. Le démarrage et l'arrêt de cet exécutable est contrôlé par **auditd**. Afin d'informer **audispd** de la façon dont elles veulent recevoir les informations concernant les événements, les applications placent un fichier de configuration dans le répertoire **/etc/audit/plugins.d** :
  
 <code> <code>
Ligne 551: Ligne 540:
 </code> </code>
  
-====La consultation des évènements audit====+===La consultation des événements audit===
  
-La consultation des évènements audit se fait en utilisant les commandes **ausearch** et **aureport** :+La consultation des événements audit se fait en utilisant les commandes **ausearch** et **aureport** :
  
-===La Commande aureport===+==La Commande aureport==
  
 Cette commande est utilisée pour générer des rapports : Cette commande est utilisée pour générer des rapports :
Ligne 634: Ligne 623:
 </code> </code>
  
-===La Commande ausearch===+==La Commande ausearch==
  
-Cette commande est utilisée pour rechercher des évènements. Par exemple, pour rechercher les évènements liés à un utilisateur représenté par son UID :+Cette commande est utilisée pour rechercher des événements. Par exemple, pour rechercher les événements liés à un utilisateur représenté par son UID :
  
 <code> <code>
Ligne 669: Ligne 658:
 am_env,pam_mail,pam_limits,pam_permit,pam_unix,pam_systemd,pam_ecryptfs acct="root" exe="/usr/bin/su" hostname=debian11 addr=? terminal=pts/0 res=success' am_env,pam_mail,pam_limits,pam_permit,pam_unix,pam_systemd,pam_ecryptfs acct="root" exe="/usr/bin/su" hostname=debian11 addr=? terminal=pts/0 res=success'
 </code> </code>
- 
-==Options de la Commande== 
  
 Les options de cette commande sont : Les options de cette commande sont :
Ligne 739: Ligne 726:
 root@debian11:~# tail -n 15 /var/log/messages root@debian11:~# tail -n 15 /var/log/messages
 Apr 28 06:43:12 debian11 kernel: [149698.386556] Adding 262140k swap on /swap.  Priority:-3 extents:4 across:286716k FS Apr 28 06:43:12 debian11 kernel: [149698.386556] Adding 262140k swap on /swap.  Priority:-3 extents:4 across:286716k FS
-Apr 28 06:43:47 debian11 kernel: [149733.302599] Adding 998396k swap on /dev/sdb5.  Priority:-2 extents:1 across:998396k FS+Apr 28 06:43:47 debian11 kernel: [149733.302599] Adding 998396k swap on /dev/sda5.  Priority:-2 extents:1 across:998396k FS
 Apr 28 06:44:00 debian11 kernel: [149746.478556] Adding 262140k swap on /swap.  Priority:-3 extents:4 across:286716k FS Apr 28 06:44:00 debian11 kernel: [149746.478556] Adding 262140k swap on /swap.  Priority:-3 extents:4 across:286716k FS
 Apr 28 16:47:22 debian11 pipewire-media-session[34487]: error id:0 seq:158 res:-32 (Broken pipe): connection error Apr 28 16:47:22 debian11 pipewire-media-session[34487]: error id:0 seq:158 res:-32 (Broken pipe): connection error
Ligne 795: Ligne 782:
 </code> </code>
  
-=====rsyslog=====+=====LAB #2 - rsyslog=====
  
 **rsyslog**, le successeur de syslog, centralise les journaux du système grâce au daemon **rsyslog**.  **rsyslog**, le successeur de syslog, centralise les journaux du système grâce au daemon **rsyslog**. 
Ligne 816: Ligne 803:
   * transmettre les informations à une application liée à rsyslog via un tube (par exemple, **|logrotate**).   * transmettre les informations à une application liée à rsyslog via un tube (par exemple, **|logrotate**).
  
-====Priorités====+====2.1 - Priorités====
  
 La **Priorité** permet d'indiquer à rsyslog l'importance des informations : La **Priorité** permet d'indiquer à rsyslog l'importance des informations :
Ligne 830: Ligne 817:
 | 7 | debug | Condition normale - message de débogage |  | 7 | debug | Condition normale - message de débogage | 
  
-====Sous-systèmes applicatifs====+====2.2 - Sous-systèmes applicatifs====
  
 Le **Sous-système applicatif**, aussi appelé **facility**, permet d'indiquer à rsyslog le type de programme qui envoie les informations : Le **Sous-système applicatif**, aussi appelé **facility**, permet d'indiquer à rsyslog le type de programme qui envoie les informations :
Ligne 847: Ligne 834:
 | local0 - local7 | Réservés pour des utilisations locales | | local0 - local7 | Réservés pour des utilisations locales |
  
-====/etc/rsyslog.conf====+====2.3 - /etc/rsyslog.conf====
  
 rsyslog est configuré par le fichier **/etc/rsyslog.conf** : rsyslog est configuré par le fichier **/etc/rsyslog.conf** :
Ligne 961: Ligne 948:
  
 ^ Module ^ Fonction ^ ^ Module ^ Fonction ^
-$ModLoad imuxsock.so | Active la trace des messages locaux, per exemple de la commande **logger** | +module(load="imuxsock"| Active la trace des messages locaux, per exemple de la commande **logger** | 
-$ModLoad imklog.so | Active la trace de messages du **noyau** | +module(load="imklog"| Active la trace de messages du **noyau** | 
-$ModLoad immark.so | Active la trace des messages de type **mark** | +module(load="immark"| Active la trace des messages de type **mark** | 
-$ModLoad imudp.so | Active la réception de messages en utilisant le protocole **UDP** | +module(load="imudp"| Active la réception de messages en utilisant le protocole **UDP** | 
-$ModLoad imtcp.so | Active la réception de messages en utilisant le protocole **TCP** |+module(load="imtcp"| Active la réception de messages en utilisant le protocole **TCP** |
  
-Dans le fichier **/etc/rsyslog.conf** nous pouvons constater que les inputs **$ModLoad imuxsock.so** et **$ModLoad imklog.so** sont activés :+Dans le fichier **/etc/rsyslog.conf** nous pouvons constater que les inputs **module(load="imuxsock")** et *module(load="imklog")** sont activés :
  
 <file> <file>
Ligne 1086: Ligne 1073:
 </WRAP> </WRAP>
  
-=====La Commande logger=====+=====LAB #3 - La Commande logger=====
  
 La commande **/usr/bin/logger** permet d'intégrer des informations dans rsyslog. Ceci peut s'avérer utile dans des scripts bash. La commande **/usr/bin/logger** permet d'intégrer des informations dans rsyslog. Ceci peut s'avérer utile dans des scripts bash.
Ligne 1117: Ligne 1104:
 Apr 29 15:06:18 debian11 trainee: Linux est super Apr 29 15:06:18 debian11 trainee: Linux est super
 </code> </code>
- 
-====Options de la commande==== 
  
 Les options de la commande logger sont : Les options de la commande logger sont :
Ligne 1163: Ligne 1148:
 </code> </code>
  
-=====La Commande logrotate=====+=====LAB #4 - La Commande logrotate=====
  
 Les fichiers journaux grossissent régulièrement. Le programme **/usr/sbin/logrotate** est utilisé pour effectuer des rotations de ces fichiers selon la configuration contenue dans le fichier **/etc/logrotate.conf**. Les fichiers journaux grossissent régulièrement. Le programme **/usr/sbin/logrotate** est utilisé pour effectuer des rotations de ces fichiers selon la configuration contenue dans le fichier **/etc/logrotate.conf**.
Ligne 1224: Ligne 1209:
 **Important** : Notez que la compression des fichiers de journalisation n'est pas activée par défaut. **Important** : Notez que la compression des fichiers de journalisation n'est pas activée par défaut.
 </WRAP> </WRAP>
- 
-====Options de la commande==== 
  
 Les options de la commande logrotate sont : Les options de la commande logrotate sont :
Ligne 1246: Ligne 1229:
 </code> </code>
  
-=====La Journalisation avec journald=====+=====LAB #5 - La Journalisation avec journald=====
  
 Sous Debian 11, les fichiers de Syslog sont gardés pour une question de compatibilité. Cependant, tous les journaux sont d'abord collectés par **Journald** pour ensuite être redistribués vers les fichiers classiques se trouvant dans le répertoire /var/log. Les journaux de journald sont stockés dans un seul et unique fichier dynamique dans le répertoire **/var/log/journal** : Sous Debian 11, les fichiers de Syslog sont gardés pour une question de compatibilité. Cependant, tous les journaux sont d'abord collectés par **Journald** pour ensuite être redistribués vers les fichiers classiques se trouvant dans le répertoire /var/log. Les journaux de journald sont stockés dans un seul et unique fichier dynamique dans le répertoire **/var/log/journal** :
Ligne 1314: Ligne 1297:
 </code> </code>
  
-====Consultation des Journaux====+====5.1 - Consultation des Journaux====
  
 L'utilisation de la commande **journalctl** permet la consultation des journaux : L'utilisation de la commande **journalctl** permet la consultation des journaux :
Ligne 1375: Ligne 1358:
 </WRAP> </WRAP>
  
-===Consultation des Journaux d'une Application Spécifique===+====5.2 - Consultation des Journaux d'une Application Spécifique====
  
 Pour consulter les entrées concernant une application spécifique, il suffit de passer l'exécutable, y compris son chemin complet, en argument à la commande journalctl :  Pour consulter les entrées concernant une application spécifique, il suffit de passer l'exécutable, y compris son chemin complet, en argument à la commande journalctl : 
Ligne 1436: Ligne 1419:
 </WRAP> </WRAP>
  
-===Consultation des Journaux depuis le Dernier Démarrage===+====5.3 - Consultation des Journaux depuis le Dernier Démarrage====
  
 Pour consulter les entrées depuis le dernier démarrage, il suffit d'utiliser l'option **-b** de la commande journalctl :  Pour consulter les entrées depuis le dernier démarrage, il suffit d'utiliser l'option **-b** de la commande journalctl : 
Ligne 1548: Ligne 1531:
 </code> </code>
  
-===Consultation des Journaux d'une Priorité Spécifique===+====5.4 - Consultation des Journaux d'une Priorité Spécifique====
  
 Pour consulter les entrées à partir d'une priorité spécifique et supérieur, il suffit d'utiliser l'option **-p** de la commande journalctl en spécifiant la priorité concernée :  Pour consulter les entrées à partir d'une priorité spécifique et supérieur, il suffit d'utiliser l'option **-p** de la commande journalctl en spécifiant la priorité concernée : 
Ligne 1605: Ligne 1588:
 </code> </code>
  
-===Consultation des Journaux d'une Plage de Dates ou d'Heures===+====5.5 - Consultation des Journaux d'une Plage de Dates ou d'Heures====
  
 Pour consulter les entrées d'une plage de dates ou d'heures, il suffit de passer cette plage en argument à la commande journalctl :  Pour consulter les entrées d'une plage de dates ou d'heures, il suffit de passer cette plage en argument à la commande journalctl : 
Ligne 1631: Ligne 1614:
 </WRAP> </WRAP>
  
-===Consultation des Journaux en Live===+====5.6 - Consultation des Journaux en Live====
  
 Pour consulter les journaux en live, il suffit d'utiliser l'option **-f** de la commande journalctl :  Pour consulter les journaux en live, il suffit d'utiliser l'option **-f** de la commande journalctl : 
Ligne 1652: Ligne 1635:
  
 ----- -----
-<html> +Copyright © 2024 Hugh Norris.
-<div align="center"> +
-Copyright © 2022 Hugh Norris.<br><br> +
-</div> +
-</html> +
------+

Piste : LCF606 - Gestion de la Sécurité RH13407 - Gestion des Machines Virtuelles avec KVM LCF300 - Présentation de la Formation VIC604 - Gestion des VMs et KVM RH12401 - File Hierarchy System SO214 - Gestion des Services Réseau TCPv4 SO205 - Gestion des Processus et des Tâches LRF406 - Système de Fichiers LCF204 - Gestion des Disques, des Systèmes de Fichiers et du Swap LPI202 - Préparation à l'Examen LPIC 202-450

Menu