Différences

Ci-dessous, les différences entre deux révisions de la page.

--- sysadmin:linux:rsyslog [2017/05/17 16:08] – yoann
+++ sysadmin:linux:rsyslog [2021/06/12 12:04] (Version actuelle) – 77.192.232.26
@@ Ligne 3: / Ligne 3: @@
 ====== Rsyslog ======
-Rsyslog collecte les messages provenant de différentes sources et les traite en les enregistrant/redirigeant.
+**Rsyslog** comme **Syslog-ng** sont les successeurs de l'application **Syslog** conçue dans les années 1980 par Eric Paul Allman. Syslog désigne à la fois l'application et le standard (protocole) suivi par tout système formatant et échangeant des événements journalisés. Rsyslog s'appuie sur les même mécanismes que Syslog qui a définit une norme. Il réceptionne les messages provenant de différentes sources et les traite en les enregistrant/redirigeant en suivant une table de règles.
 ===== Principe =====
-Les message sont envoyés au daemon rsyslogd par différents canaux (UDP, fichier exécutable, commande). Pour pouvoir écouter ces canaux les modules doivent être chargés. Les modules sont chargés dans le fichier /etc/rsyslog.conf via les directives suivantes:
+Les messages sont communiqués au daemon rsyslogd via différents canaux (UDP, fichier exécutable, commande). Pour pouvoir écouter ces canaux (ou entrée) les modules correspondants doivent être chargés. Les modules sont chargés dans le fichier **/etc/rsyslog.conf**, par convention ils sont nommés avec le préfixe 'im'((**i**nput **m**odule)) via les directives suivantes:
-<code>
+<file>
+#################
+#### MODULES ####
+#################
-</code>
+module(load="imuxsock") # provides support for local system logging
+module(load="imklog")   # provides kernel logging support
+#module(load="immark")  # provides --MARK-- message capability
-Les messages ont des attributs particuliers que la documentation rsyslog désigne sous le nom de **properties** notamment:
+# provides UDP syslog reception
-  * une **catégorie** (nommée facility ou sous-ensemble dans la documentation)
+#module(load="imudp")
-  * une **priorité**
+#input(type="imudp" port="514")
-Les catégories (facilities) existantes pour les messages sont:
+# provides TCP syslog reception
+#module(load="imtcp")
+#input(type="imtcp" port="514")
+</file>
-^ auth     | authentification |
+La norme syslog décrit les messages. Elle définit des attributs (**properties**) notamment:
-^ authpriv | droits d'accès   |
+  * **facility**: désignant une **catégorie**/thème ou sous-ensemble.
+  * **Severity level**: traduisant la priorité ou criticité du message.
+<note>
+Ces attributs **facility** et **severity level** seront utilisés par les règles pour sélectionner les messages et leur appliquer un traitement.
+</note>
+Les "facilities" sont prédéfinies, il y en a 24:
+^ auth     | authentification (obsolète) |
+^ authpriv | authentification, droits d'accès et sécurité   |
 ^ cron     | tâches planifiées |
-^ daemon   | daemons |
+^ daemon   | daemons système |
 ^ ftp      | service FTP |
+^ ntp      | network time protocol |
 ^ kern     | noyau |
 ^ lpr      | système d'impression. |
 ^ mail     | système de mail. |
 ^ news     | système Usenet |
+^ nntp     | news network transfert protocol (obsolète)|
+^ uucp     | système UUCP Unix to Unix Copy Program (obsolète)  |
 ^ syslog   | daemon rsyslog |
 ^ user     | utilisateur |
-^ uucp     | système UUCP Unix to Unix Copy Program |
+^ security | sécurité    |
+^ solaris cron |  |
 ^ local0 à local7 | sous catégories non précisées pour utilisations locales personnalisées |
-Les priorité sont classés info < notice < err < emerg
+Les **severity** levels (niveau de criticité des messages) sont prédéfinis et listés ci-dessous:
+^ N      ^ Niveau        ^ Signification                                         |
+| 0      | Emerg         | Système HS (équivalent panic)                         |
+| 1      | Alert         | Une intervention immédiate est nécessaire             |
+| 2      | Crit          | Erreur critique pour le système (souvent matériel)    |
+| 3      | Err           | Erreur de fonctionnement (arrêt de l'application      |
+| 4      | Warning       | Avertissement dysfonctionnement à corriger. Peut indiquer qu'une erreur va se produire si aucune action n'est entreprise.           |
+| 5      | Notice        | Événement inhabituel ou imprévu ne générant pas d'erreur.              |
+| 6      | Informational | Opérations normales ne requérant aucune action                            |
+| 7      | Debug         | Débogage, information utilisée pour developpement et débogage d'application.                                              |
+Le détail des properties (attributs ou métadonnées) associées aux messages est présenté dans le wiki [[sysadmin:linux:rsyslog:messages-properties| attributs des messages syslog]]
+===== Les règles =====
-Le détail des properties associées aux messages est présenté dans le wiki [[sysadmin:linux:rsyslog:messages-properties| attributs des messages syslog]]
+Elles sont définies dans le fichier **/etc/rsyslog.conf** et les fichiers **/etc/rsyslog.d/***. Elles sont **toutes** évaluées séquentiellement à chaque réception d'un message.
 ===== Les templates =====
@@ Ligne 98: / Ligne 135: @@
   * man 5 rsyslog.conf
   * http://www.rsyslog.com/doc/master/configuration/templates.html
+  * https://support.solarwinds.com/SuccessCenter/s/article/Syslog-Severity-levels?language=en_US

wikinotes

Outils pour utilisateurs

Outils du site

Différences

Outils de la page