Syslog est un protocole standard de l'IETF RFC 5424 pour la journalisation et la collecte informatique qui est populaire dans les systèmes de type Unix, y compris les serveurs, les équipements de réseau et les dispositifs IoT. Un périphérique génère des messages de journal qui enregistrent les événements sur un système d'exploitation. Ce message fournit aux administrateurs des informations sur les événements importants et des informations de santé qui peuvent être utiles pour résoudre les problèmes de sécurité. Comment fonctionne syslog ? Les messages du périphérique peuvent être générés lorsqu'un périphérique d'origine exécute le syslogdaemon. Ils sont créés pendant des opérations normales ou anormales, en fonction de l'évaluation par les développeurs d'applications de ce qui est potentiellement utile. Ces messages peuvent ensuite être visualisés sous plusieurs formes. La première consiste à surveiller les messages en temps réel sur la console du dispositif d'origine lui-même. Vous pouvez également consulter les fichiers journaux du passé pour voir comment ils sont stockés localement.
Si le fichier journal local est un moyen rapide de visualiser l'historique des messages, notez que sur de nombreux systèmes, le fichier local a une limite maximale quant au nombre de messages journaux stockés. Une fois cette limite atteinte, les messages les plus anciens sont remplacés par les plus récents. Cela signifie que le fichier local ne contient que les journaux les plus récents. Les administrateurs peuvent avoir besoin de consulter des journaux plus anciens que d'habitude. Il est courant de visualiser les journaux en utilisant la troisième méthode, qui consiste à relayer les journaux d'un réseau vers un serveur de collecte de journaux centralisé. Le relais des messages Syslog se fait souvent par le port UDP 514, ou TCP6514. La méthode TCP offre également l'avantage du protocole TLS (Transport Layer Security) pour préserver la confidentialité des messages. Les administrateurs peuvent visualiser et trier les messages de journal qui ont été collectés à l'aide d'un visualiseur syslog. Composants des messages syslog Une liste des codes d'installation syslog et des noms de description. Les événements de journal contiennent un horodatage, ainsi que le message et les noms d'IP/domaine d'origine pour l'identification. L'événement est ensuite classé dans l'un des huit niveaux de gravité. Ces niveaux sont basés sur la criticité de l'événement selon le développeur du système d'exploitation ou de l'application utilisée. Chaque catégorie est définie par une valeur numérique et un nom de gravité. Plus la valeur est faible, plus l'événement est grave. L'échelle va de 0 à 7, en commençant par l'urgence et en terminant par le débogage. Par ordre de gravité, les catégories suivantes sont disponibles : urgence, alerte et critique, avertissement d'erreur, avis, information, débogage, avertissement, avertissement, avertissement ou avertissement.
Le dispositif d'origine segmente ensuite le message pour créer un événement de journal. Ce code catégorise les messages en fonction du processus de l'application globale dans lequel le message a été généré. Tout comme les catégories de gravité, les installations sont définies à l'aide d'une valeur numérique et d'un nom. Vous pouvez classer les installations dans l'un des 24 codes d'installation.