Le protocole Syslog, initialement créé pour le serveur de messagerie Senmail, est si efficace qu’il est désormais utilisé par une majorité d’applications. Dans cet article, nous vous livrons les informations essentielles pour comprendre le protocole Syslog.
Historique et principes du Syslog
Le protocole Sylslog a été initialement écrit par Eric Allman dans les années 1980, et est défini dans la Request For Comments (RFC) n° 3164. Les RFC sont des documents numérotés qui décrivent les aspects techniques de l’Internet. Syslog est l’abréviation de System Logging Protocol (protocole de journalisation du système). Il s’agit d’un protocole standard informatique utilisé pour envoyer des messages de journalisation ou d’événements système à un serveur spécifique, appelé serveur Syslog. Il est principalement utilisé pour collecter les journaux de divers périphériques réseau à partir de plusieurs machines différentes dans un emplacement central. Les messages Syslog sont de différents types, dont voici quelques exemples :
- Horodatages
- Messages d’évènements
- Niveaux de gravité de 0 à 7
- Adresses IP d’hôtes
- Diagnostics
Les messages sont envoyés à travers les réseaux IP vers les collecteurs de messages d’évènements ou les serveurs Syslog. Pour communiquer, la norme Syslog utilise le protocole UDP (User Datagram Protocol), port 154. En 2009, Syslog a été normalisé par l’IETF dans la RFC 5424.
L’intérêt du protocole Syslog
Le protocole Syslog permet de surveiller les périphériques et les systèmes du réseau afin d’envoyer des messages de notification en cas de problèmes de fonctionnement. De plus, cette norme permet l’envoi d’alertes pour les évènements pré-notifiés. Elle surveille également les activités suspectes via le journal des modifications/évènements des périphériques du réseau participant.
Pour tirer profit du système Syslog, et repérer plus rapidement les défaillances d’ordinateurs présents sur son réseau, il peut être pertinent de s’appuyer sur un outil de collecte et surveillance des messages Syslog. Centraliser les messages Syslog sur tous les périphériques réseau, comme les commutateurs, routeurs, pare-feux et serveurs dans un même emplacement représente un gain de temps précieux pour tout administrateur réseau ou système. En effet, un accès et une recherche faciles dans les messages Syslog permettent de résoudre rapidement les problèmes et donc de limiter l’impact des pannes sur le réseau.
Les systèmes d’exploitation et Syslog
Un grand nombre d’entreprises ont recours au système Syslog, puisqu’il est supporté par plusieurs systèmes d’exploitation, dont Linux, Unix, MacOS et Microsoft Windows. Ce dernier supporte Syslog par l’intermédiaire des sources ouvertes et des bibliothèques commerciales tierces.
Le journal Syslog
Un journal au format Syslog comporte différentes informations. Elles apparaissent dans cet ordre :
1. La date d’émission du log
2. Le hostname, autrement dit, l’équipement générateur du log
3. La raison du déclenchement de l’émission
4. Le niveau de priorité
5. L’identifiant du processus générant le log
6. Le message en lui-même
Comprendre les niveaux de gravité Syslog
Le protocole Syslog comporte sept niveaux de gravité, également appelé Severity levels.
- 0. Emergency : c’est le pire niveau puisque cela signifie que le système est inutilisable.
- 1. Alert : ce niveau indique qu’une intervention immédiate est nécessaire.
- 2. Critical : cela indique l’existence d’une erreur critique pour le système.
- 3. Error : il s’agit d’une erreur de fonctionnement.
- 4. Warning : ce message est un avertissement, indiquant qu’une erreur est susceptible de survenir si aucune action n’est réalisée.
- 5. Notice : ce message signale un évènement méritant d’être signalé.
- 6. Informational : il s’agit d’une simple information.
- 7. Debugging : ceci est un message de mise au point.
Le Syslog est devenu incontournable pour une large partie des entreprises. Apprenez à en tirer parti pour faciliter le travail de vos équipes et améliorer la surveillance du réseau de vos actifs informatiques !