Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

modifier la criticité de certains messages dans Rsyslog

zzzeb

Bonjour,

Je souhaiterais configurer la criticité de certains messages loggués (car ensuite sur le critère de la criticité je déclenche un envoi de mail)
Par exemple les logs de sshd sont importants pour moi afin de détecter si quelqu'un tente des connexions vers mon serveur ssh (différent que du simple scan de port loggué au niveau du FW)
J'ai regardé dans /etc/ssh/sshd_config où j'ai :
SyslogFacility AUTH
LogLevel INFO

mais la modification de logLevel semble plutot permettre de ne selectionner qu'une souspartie des logs pour envoi vers rsyslog. Mais pas de modifier la criticité paramétrée

J'ai creusé directement dans rsyslog
https://access.redhat.com/documentation/fr-fr/red_hat_enterprise_linux/7/html/system_administrators_guide/s1-basic_configuration_of_rsyslog
pour voir si un fichier de config permettait de modifier la criticité initiale mais après plusieurs jours, je seche.

Si quelqu'un a une idée ?

Merci !

zzzeb

personne ? 🙁

bruno

Bonjour,

Personne, sans doute parce que l'on ne comprend pas ce que tu veux faire…
Si tu veux voir qui tente des connexions SSH, il suffit de regarder /var/log/auth.log. Si tu veux des alertes par courriel concernant le contenu des logs, tu as logwatch ou logcheck.

zzzeb

Merci bruno pour ta réponse !
je vais creuser les 2 logiciels.
Si vous ne comprenez pas c'est que je n'ai pas dû etre très clair 🙂
Si je reformule et détaille un peu :
Mon serveur avec sshd envoi tous ses logs ( utilise rsyslog ) vers mon Synology.
Mon Syno reçoit donc tout un tas de logs de mon serveur et sur des critères de gravité (si criticité du log >= à Critical ; donc aussi Alert ou Emergency ) il m'envoie des mails
Par exemple le FW en iptables envoi des logs en "Critical" lors d'accès à certains ports de mon serveur. Du coup mon Syno m'envoie un mail (c'est cool et ca marche bien comme méthode)
Pour sshd j'aimerais que certains de ses logs par exemple ceux là :
sshd[X]: Accepted publickey for X from XXX.XXX.XXX.XXX port XXXXX ssh2: RSA SHA256:XXXX/XX
soient configurés en "Critical" pour bénéficier de la même fonctionnalité d'envoi de mails par mon Syno

Est ce que je suis plus clair ? :-/

bruno

Re,

Ce que tu appelle « critère de gravité » correspond à la priorité du message (info, notice, warn, …, crit, emerg). Je ne crois pas que ce soit configurable et c'est une drôle d'idée de vouloir transformer des messages qui ont une priorité « info » en message critiques.

Il faut prendre le problème dans le bon sens : modifier les réglages de l'application qui t'envoie des courriels plutôt que de changer des paramètres hautement sensibles du système.