Supervision des Systèmes - Bases et Principes Essentiels

Objectifs d'apprentissage

• Comprendre le système de journalisation sous Ubuntu et identifier les fichiers de logs principaux.
• Maîtriser la configuration du démon Syslogd pour une gestion efficace des logs.
• Apprendre à analyser les fichiers de logs des sous-systèmes (applications, services, noyau).
• Configurer et optimiser la rotation des logs avec Logrotate pour éviter la saturation de l'espace disque.
• Utiliser Logwatch pour surveiller et analyser automatiquement les fichiers de logs.
• Comprendre les mécanismes de journalisation des accès (authentification, connexions réseau).

Public cible

Ce cours s'adresse aux administrateurs systèmes, ingénieurs DevOps et techniciens informatiques souhaitant approfondir leurs connaissances en supervision des systèmes sous Linux, en particulier Ubuntu. Les professionnels en charge de la maintenance, du dépannage ou de la sécurité des serveurs trouveront ce contenu particulièrement utile. Une connaissance de base des commandes Linux et de l'administration système est recommandée.

Contenu détaillé

Le système de journalisation et les fichiers de journalisation du système UBUNTU

Les systèmes Linux, dont Ubuntu, utilisent des fichiers de logs pour enregistrer les événements système, les erreurs et les activités des applications. Les principaux fichiers se trouvent dans /var/log/, tels que syslog, auth.log ou kern.log. Ces logs sont essentiels pour diagnostiquer des problèmes ou auditer la sécurité.

Fichiers de journalisation des sous-systèmes

Chaque sous-système (ex : Apache, MySQL) génère ses propres logs. Par exemple, Apache utilise /var/log/apache2/access.log pour les requêtes HTTP. Une compréhension approfondie de ces fichiers permet d'isoler rapidement les défaillances spécifiques à un service.

Journalisation des accès

Les logs d'accès (ex : /var/log/auth.log) tracent les connexions utilisateurs, les commandes sudo et les tentatives d'authentification. Ces données sont cruciales pour détecter les intrusions ou les accès non autorisés.

Syslogd : Configuration du Démon

Syslogd (ou rsyslog) est le démon responsable de la collecte et du stockage des logs. Sa configuration (/etc/rsyslog.conf) permet de définir les règles de priorité (critique, erreur, avertissement) et de redirection vers des fichiers spécifiques ou des serveurs distants.

Fichiers de logs

Une bonne pratique consiste à archiver et compresser les anciens logs (ex : syslog.1.gz). Les outils comme grep, tail -f ou journalctl (pour systemd) facilitent leur analyse en temps réel.

La rotation des logs AVEC LOGROTATE

Logrotate (/etc/logrotate.conf) automatise la rotation, la compression et la purge des logs selon des critères de taille ou de durée. Une configuration typique peut inclure une rotation hebdomadaire et la conservation des logs sur 4 semaines.

Monitoring des fichiers de logs avec LOGWATCH

Logwatch analyse quotidiennement les logs et génère des rapports synthétiques envoyés par email. Son filtrage personnalisable (/etc/logwatch/conf/) permet de surveiller des événements critiques (ex : échecs de connexion, erreurs matérielles).

Bonnes pratiques et sécurité

Il est recommandé de :

• Centraliser les logs sur un serveur dédié pour éviter leur altération en cas de compromission.
• Configurer des alertes pour les événements critiques (ex : root login).
• Chiffrer les logs sensibles et restreindre leurs permissions (chmod 600).