Configuration d'un serveur Syslog pour un routeur Checkpoint

Nous allons mettre en place un serveur Syslog basique afin d'externaliser les logs de notre routeur Checkpoint 600 Appliance. La configuration sera une des plus simples (pas de filtrage par exemple).

Prérequis

Dans cet article, j'utiliserai un serveur Linux Debian. Il est nécessaire d'avoir un système fonctionnel. Pour l'installation d'une distribution Debian vous pouvez consulter cet article :
Installation facile de Linux Debian

Procédure

Configuration du serveur Syslog

1) Connectez vous sur votre serveur Linux Debian

2) Installer le paquet Syslog-ng et ses dépendance avec la commande suivante (le paquet rsyslog sera supprimé)

# apt-get install syslog-ng

install_srv_syslog01

3) Sauvegarder le fichier de configuration de base

# mv /etc/syslog-ng/syslog-ng.conf /etc/syslog-ng/syslog-ng.conf.back

4) Créer un nouveau fichier de configuration

# nano /etc/syslog-ng/syslog-ng.conf

5) Insérer la configuration suivante

====== Début du fichier ======

@version: 3.5
@include "scl.conf"
@include "`scl-root`/system/tty10.conf"

# Syslog-ng configuration file, compatible with default Debian syslogd
# installation.

# First, set some global options.
options { chain_hostnames(off); flush_lines(0); use_dns(no); use_fqdn(no);
owner("root"); group("adm"); perm(0640); stats_freq(0);
bad_hostname("^gconfd$");

keep_hostname(yes);
long_hostnames(on);
create_dirs(yes);

};

source checkpoint {
tcp(ip(0.0.0.0) port(514) max_connections(1000));
udp();
};

destination checkpointlogs {
file("/var/log/checkpoint.log");
};

log {
source(checkpoint); destination(checkpointlogs);
};
###
# Include all config files in /etc/syslog-ng/conf.d/
###
@include "/etc/syslog-ng/conf.d/*.conf"

========== FIN ==========

install_srv_syslog02

6) Redémarrer le service Syslog-ng

# /etc/init.d/syslog-ng restart

install_srv_syslog06

Configuration du routeur Checkpoint 600 Appliance

1) Connectez vous sur l'interface WEB de votre routeur

install_srv_syslog03

2) Cliquer sur l'onglet Logs & Monitoring - External Log Servers puis Configure

install_srv_syslog04

3) Remplir en fonction de votre configuration

install_srv_syslog05

IP Address: Indiquer l'adresse IP de votre serveur Syslog
Port: Indiquer le port utilisé par votre serveur
Enable log server : Cocher pour activer l'externalisation des journaux
Indiquer les journaux que vous souhaitez externaliser (ici les journaux système et de sécurité)

4) Cliquer sur Apply pour valider la configuration

Vous pouvez voir défiler les logs en direct depuis votre serveur Syslog-ng en saisissant la commande suivante :

# tail -f /var/log/checkpoint.log

install_syslog07

 

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *