La centralisation des logs est une pratique essentielle en administration système.
Elle permet de regrouper les événements provenant de plusieurs machines sur un serveur unique afin de faciliter leur analyse et leur supervision.
Dans cet article, nous allons voir comment configurer un serveur Syslog centralisé sous Linux.
Plan de l’article
- Pré-requis
- Installation de
rsyslog - Configuration du serveur central
- Configuration des clients
- Vérification de la collecte
- Bonnes pratiques
- Conclusion
Pré-requis
- Un serveur Linux dédié à la centralisation des logs.
- Les clients doivent utiliser
rsyslogousyslog-ng. - Un pare-feu configuré pour autoriser le port UDP/TCP 514.
Installation de rsyslog
Sous Debian/Ubuntu :
sudo apt update
sudo apt install rsyslog
Sous CentOS/RHEL :
sudo yum install rsyslog
Vérifier que le service est actif :
systemctl status rsyslog
Configuration du serveur central
Éditer /etc/rsyslog.conf et activer la réception UDP/TCP :
module(load="imudp")
input(type="imudp" port="514")
module(load="imtcp")
input(type="imtcp" port="514")
Redémarrer rsyslog :
sudo systemctl restart rsyslog
Configuration des clients
Éditer /etc/rsyslog.conf ou /etc/rsyslog.d/50-default.conf :
*.* @192.168.1.100:514 # en UDP
*.* @@192.168.1.100:514 # en TCP
Puis redémarrer rsyslog :
sudo systemctl restart rsyslog
Vérification de la collecte
Sur le serveur central, consulter les logs reçus :
tail -f /var/log/syslog
Vous devriez voir apparaître les événements provenant des clients.
Bonnes pratiques
- Utiliser le protocole TCP plutôt qu’UDP pour garantir la fiabilité.
- Sécuriser les échanges avec TLS.
- Mettre en place une rotation des logs (
logrotate). - Intégrer le serveur Syslog avec une solution d’analyse (ELK, Grafana Loki, Graylog).
Conclusion
Un serveur Syslog centralisé est un élément clé de l’observabilité et de la sécurité en production.
Il permet une analyse efficace des incidents et une meilleure visibilité sur l’ensemble du système d’information.
