Qu’est-ce que Syslog ? Introduction au protocole de journalisation du système

Selon Technopedia, le registre du système (syslog) contient un journal des événements du système d’exploitation (OS), avec des informations sur la façon dont les processus et les pilotes du système ont été chargés et les événements d’information, tels que les erreurs et les avertissements liés au système d’exploitation de l’ordinateur.

Qu’est-ce que SysLog et quelle est son importance ?

La pertinence de syslog, se fonde sur l’existence des journaux d’événements des systèmes d’exploitation pour aider à superviser, gérer et résoudre les problèmes d’un système. Des informations sont obtenues sur les événements et les processus importants qui se rapportent à être notifiés à l’utilisateur, y compris les erreurs système, les avertissements, les messages de démarrage, les modifications du système, les pannes ou les arrêts anormaux, etc., en tenant compte du logiciel, du matériel et des composants du système, qui existent dans la plupart des versions des trois systèmes d’exploitation courants (Windows, Linux et Mac OS). Toutes les entrées sont classées par type, comme erreur, information, avertissement, audit de succès et audit de défaillance pour les systèmes Windows, et urgence, alerte, critique, erreur, avertissement, information et débogage pour les systèmes Mac OS et Linux.

Les entrées syslog ont un en-tête et une description des événements, y compris des détails à leur sujet.

Le syslog indique également si les processus ont été chargés avec succès ou non, avec des informations pouvant être utilisées pour diagnostiquer les sources de problèmes informatiques. Les notifications ou les avertissements peuvent être utilisés pour prédire les problèmes potentiels, ce qui aide à prendre des mesures proactives.

Qu’est-ce que un serveur Syslog?

Un serveur Syslog permet d’envoyer les données d’enregistrement de tous les appareils du réseau d’entreprise (ordinateurs, imprimantes, routeurs, serveurs, etc.) vers un emplacement centralisé, à partir duquel il est possible de rechercher, de gérer et d’archiver toutes les informations d’enregistrement.

Le standard syslog définit trois couches :

• Couche de contenu : Les données réelles contenues dans le message d’événement, avec certains éléments d’information, tels que les codes des installations et les niveaux de gravité.
• Couche d’application : Où le message est généré, interprété, acheminé et stocké.
• Couche de transport Syslog : Où le message est transmis sur un réseau.

Le format syslog contient les éléments suivants :

• Seq : Un numéro de séquence indiquant la séquence/l’ordre d’un message.
• Horodatage : Heure à laquelle le message a été généré.
• Installation : Ilindique quel processus sur l’appareil a généré ce message.
• Gravité : indique la gravité de l’événement enregistré- jusqu’à 8 niveaux de gravité :
  • Niveau 0, urgence, événements qui désactivent le système.
  • Le niveau 1, alerte, concerne les événements pour lesquels des mesures doivent être prises immédiatement.   Donc, ce sont aussi des événements très urgents/graves.
  • Le niveau 2 est appelé critique et la description est simplement « conditions critiques ».
  • Le niveau 3, erreur.
  • Le niveau 4, avertissement.
  • Le niveau 5, avertissement/notification, est utilisé pour les messages représentant une « condition normale mais significative ».
  • Le niveau 6 est ‘Informatif’, et enfin.
  • Niveau 7, c’est Débogage. Ce sont les messages les moins graves.
• MNÉMONIQUE : code abrégé pour le message, indiquant ce qui s’est passé.
• Description : Les informations détaillées sur l’événement signalé.

Exemple : Plus tard, nous expliquerons son fonctionnement de base, son utilité et les méthodes de transport les plus courantes.

Fonctionnement de base

Pour comprendre le fonctionnement de syslog, nous devons comprendre qu’un dispositif (ordinateur ou serveur réseau) de l’entreprise peut avoir été configuré pour générer des messages syslog et que ces messages sont envoyés à un serveur syslog, ou Daemon ou collecteur qui collecte, trie, classe et configure l’alerte et la localisation de l’événement au sein du réseau, afin de pouvoir suivre et évaluer les événements ou les problèmes survenant dans les systèmes. Les codes d’installation sont :

Bien sûr, il est important de configurer correctement pour éviter une saturation du serveur et un trafic réseau élevé. 

Les messages syslog sont envoyés du périphérique émetteur au récepteur (serveur syslog), en utilisant un protocole qui ne nécessite pas de connexion, dans des textes courts ne dépassant pas 1024 octets, pour accélérer et faciliter leur compréhension. Pour transporter les messages syslog vers le serveur d’enregistrement (physique ou virtuel), il existe des méthodes courantes telles que l’UDP ou le transport réseau TSL crypté sur TCP, que nous examinerons ci-dessous.

Protocoles de Transport ou d’envoi : UDP et TCP

Dans le protocole UDP, les messages sont transmis et envoyés au réseau dans un paquet sur le port 514. Chaque message tient dans un seul paquet, sans accusé de réception, dans lequel il n’y a pas de reconnaissance ni de mécanisme de retransmission. Cela signifie que, s’il y a un problème sur le réseau, il n’y a aucun moyen de s’assurer que le paquet est livré en temps opportun, et il est même possible de ne pas savoir si le réseau est en panne. Le risque est que les paquets, en particulier les essentiels, puissent être perdus ou endommagés lors de leur transmission et que l’administrateur système n’en soit pas informé.

Un autre problème est que, dans UDP, il n’y a pas de cryptage, de sorte que les messages peuvent être interceptés ou falsifiés avec de graves conséquences pour la sécurité de l’entreprise. Une ressource pourrait être d’utiliser le UDP syslog à partir d’un VPN crypté.

Dans le cas de TCP, les messages sont cryptés et basés sur la session, en plus de profiter de la sécurité TLS (Transport Layer Security ou Sécurité de la couche de transport). Cela protège les données des utilisateurs et des appareils contre les menaces de sécurité (par exemple, les logiciels malveillants et les attaques par déni de service ou DoS), car seuls les utilisateurs autorisés peuvent accéder aux données par cryptage. Le port TCP Syslog 6514 est utilisé comme les mêmes certificats d’authentification dans HTTPS. L’avantage de ceci est que chaque appareil a un certificat unique, de sorte que le serveur peut détecter si les appareils ont été détournés ou si un accès non autorisé ou falsifié a eu lieu. Aussi, la livraison de chaque message est garantie. Bien sûr, il sera nécessaire que les sessions et les appareils soient connectés de manière ininterrompue.

En analysant les protocoles UDP et TCP, il est important de considérer que si un ordinateur est déconnecté ou bloqué, il ne pourra pas envoyer le message. Cela nous dit que syslog a ses défis pour superviser l’état actif et inactif des appareils.

Avantages des outils tels que Syslog pour les entreprises

La simplicité des messages syslog a facilité leur mise en œuvre sur la plupart des appareils et les données qu’ils fournissent facilitent la génération de rapports, de diagrammes et de graphiques sur l’infrastructure informatique. Ces informations et cette visibilité permettent d’entreprendre des stratégies de cybersécurité de l’organisation, en plus de faciliter le travail quotidien du personnel technique et de l’administrateur des réseaux d’entreprise.

Syslog permet également le stockage des informations des journaux de manière centralisée, en rationalisant leur administration et en concentrant une seule version des données.

Pour la gestion des appareils et des réseaux, syslog permet le suivi de l’équipement et sa supervision. Pour comprendre cela, il existe un protocole de gestion de réseau simple (SNMP ou Simple Network Management Protocol), qui est un protocole permettant d’échanger des données entre un périphérique compatible SNMP et une solution de gestion de réseau. Cela permet de superviser le réseau, en plus d’accélérer et de gérer efficacement les performances ou la croissance du réseau et d’identifier les problèmes.

Quand utiliser Syslog

Syslog et SNMP sont tous deux utilisés pour envoyer des alertes et des messages aux serveurs centraux afin de suivre et de connaître l’état des appareils et du réseau de l’entreprise. La différence réside dans les déroutements. Les traps sont des messages non sollicités, qui peuvent envoyer des notifications asynchrones, alertant l’administrateur SNMP d’une condition ou d’un événement sur le réseau. Les SNMP ont des formats spéciaux prédéfinis contenus dans un fichier MIB, Cela permet aux utilisateurs du logiciel de savoir à l’avance quelles informations le message aura dans son contenu.

Dans le cas de Syslog, il est recommandé de l’utiliser pour des événements de portée générale ou de masse, qui peuvent être plus difficiles à prévoir, en plus de prendre en compte le grand volume d’enregistrements de différents fournisseurs. Pour relever ce défi, le protocole Syslog peut inclure des champs spéciaux appelés « Facility » et « Severity », avec leurs codes d’identification pour faciliter l’analyse :

• Severity: Ce sont des valeurs simples, avec un nombre compris entre 0 et 7 pour identifier le niveau d’importance d’un message, comme le montre le tableau suivant :
  

  Code numérique	Gravité	Signification
  1	Emérgence	Le système est inutilisable
  2	Alerte	Agir immédiatement
  3	Critique	Conditions critiques
  4	Erreur	Conditions d’erreur
  5	Avertissement	Conditions d’avertissement
  6	Avis	Condition normale mais significative
  7	Informatif	Messages d’information
  8	Débogage	Messages de niveau de débogage

• Les codes Facility sont concentrés dans une base de données commune partagée Facility fonctionnent comme des clés de recherche. Le code Facility fonctionne comme un filtre, de sorte que le message est transmis au serveur Syslog distant uniquement pour les événements dont la fonction correspond à celle définie dans ce champ.
  

  Numéro	Description
  0	Menssages Kernel
  1	Message à niveau d’utilisateur
  2	Système d’email
  3	Démons du système
  4	Messages de sécurité/autorisation par défaut
  5	Messages générés en interne par syslog
  6	Sous-système d’imprimante en ligne
  7	Sous-système de nouvelles en ligne
  8	Sous-système de copie de Unix à Unix (UUPC)
  9	Démon de horloge
  10	Messages de sécurité/autorisation
  11	Démon FTP
  12	Sous-système NTP
  13	Audit de journal
  14	Alerte de journal
  15	Démon de horloge
  16	Usage local 0 (Local 0)
  17	Usage local 1 (Local 1)
  18	Usage local 2 (Local 2)
  19	Usage local 3 (Local 3)
  20	Usage local 4 (Local 4)
  21	Usage local 5 (Local 5)
  22	Usage local 6 (Local 6)
  23	Usage local 6 (Local 7)

Comparison avec des déroutements SNMP

Grâce au SNMP, les administrateurs réseau peuvent superviser et contrôler les performances des périphériques et même, à distance, effectuer des configurations et diagnostiquer les problèmes. Son utilisation est recommandée pour des événements définis, contrairement à syslog, qui est recommandé pour des événements généraux.

Analysons maintenant les avantages et les inconvénients de SNMP par rapport à syslog :

Avantages :

1. Implémentation et configuration faciles, puisqu’ il n’a pas besoin d’une infrastructure complexe ni d’une grande quantité de ressources pour son fonctionnement.
2. Support pour de différents appareils et fabricants, en outre indépendants du fabricant de l’équipement ou l’appareil, pouvant être utilisé pour plusieurs de marques ou modèles.
3. Supervision proactive, basée en temps réel sur l’état et les performances des périphériques sur le réseau, facilitant la prise de mesures avant d’avoir un impact sur les performances du réseau ou de provoquer des interruptions de service.
4. Efficace dans l’utilisation de la bande passante, en gardant sur compte que les donnés ne sont envoyés que lorsqu’il y a une changement significatif dans l’appareil, en évitant la saturation du réseau et améliorant la performance générale.
5. Grande disponibilité d’outils de gestion qui prennent en charge SNMP, qui rationalise la supervision et l’administration des appareils. Aujourd’hui, il existe des outils avec des interfaces plus intuitives et des fonctionnalités avancées pour faciliter la tâche de l’administrateur réseau.

Désavantages :

1. Manque de sécurité avancée telle que la détection des intrus ou protection de données sensibles. Cela peut être un problème critique pour l’organisation.
2. Limitations de performance et extensibilité, particulièrement lorsque nous savons que les écosystèmes numériques croissent en taille et complexité, en difficultant la gestion de grands volumes de données et différents appareils. Cela conduit à gâcher les performances et l’évolutivité de la solution SNMP.
3. Dépendance de la connectivité du réseau stable et confiable afin qu’il fonctionne. La capacité de SNMP peut être affectée par des pannes ou des défaillances de connexion pour superviser et gérer les appareils.
4. Limitations pour superviser des applications, puisque SNMP ne compte pas avec des capacités pour obtenir des données sur le fonctionnement interne des applications.
5. Besoin de configuration additionnelle sur chacun des appareils, ce qui implique du temps et du effort additionnel de l’équipe technique en charge de l’administration réseau.

Ce qui nous amène à dire que SNMP contribue à la surveillance et à la gestion des périphériques réseau, mais il existe des limites en matière de sécurité, de performance et d’évolutivité.

Questions Fréquentes sur Syslog

Qu’est-ce que le syslog ?

Syslog est un protocole pour envoyer des données sur les appareils et leur état vers un emplacement central pour le stockage, l’analyse et la gestion. Les données suivent une norme dans leur format et utilisent des codes d’installation (Facility) et des niveaux de gravité (Severity) pour identifier l’origine et l’urgence des messages. Syslog facilite l’échange d’informations de registre et la compatibilité entre plusieurs systèmes d’exploitation. Comme limitations, nous pouvons mentionner la possibilité de perdre des messages lorsque les appareils sont déconnectés du réseau en plus des faiblesses de sécurité dues aux messages non cryptés.

Quel est le fonctionnement des ports Syslog sur les serveurs ?

Un serveur Syslog ouvre le port 514 (pour la méthode UDP) ou le port 6514 (pour la méthode TCP) et prend les alertes des événements Syslog entrants générés par les périphériques. Les alertes ou messages suivent un protocole, tel que le RFC 5424 pour transmettre des messages de notification d’événements, dans une architecture en couches. Le protocole a été conçu pour être indépendant du transport du message et peut être utilisé via TCP, UDP ou tout autre protocole de transport.

Comment afficher les messages syslog ?

Pour afficher les messages syslog, vous devez installer un serveur syslog sur le serveur ou la station de travail sur le même réseau où le périphérique est installé. Il existe des serveurs syslog sans frais comme le Serveur Kiwi Syslog, compatible avec Windows 2008, 2012, Windows 8.1 et 1012 et le  Serveur de logs Pandora FMS, gratuit. Il permet non seulement de collecter des journaux pour les stocker de manière centralisée, mais aussi d’établir des alertes en temps réel. 

Comment activer ou désactiver syslog de plusieurs appareils ?

Étant donné que la plupart des fabricants incluent déjà les protocoles syslog dans les équipements et les appareils, si vous souhaitez activer les syslogs pour différents appareils, vous devez utiliser les modèles ou templates de scripts d’automatisation (Configlets), à partir desquels vous sélectionnez le fournisseur de l’appareil et choisissez d’activer ou de désactiver le syslog. Ces modèles de scripts peuvent également être utilisés pour transférer instantanément les messages syslog.