Syslog sur Windows : le logiciel libre à la rescousse
14 septembre 2016
Contrairement à Linux où Syslog est installé nativement via le démon rsyslog, Windows ne dispose que d’un journal des événements accessible au travers des commandes eventvwr.exe ou eventvwr.msc. J’ai aidé à la mise en place de Syslog sur Windows dès 2004 dans une grande assurance française ! A cette époque, nous utilisions la solution commerciale Kiwi Syslog Server pour centraliser les messages Syslog. Il n’y a aujourd’hui plus aucun intérêt à utiliser ce produit.
Evtsys, un agent syslog Open Source pour Windows
Evtsys – traduisez par Eventlog to Syslog – est un agent Syslog Open Source pour Windows qui transfère les événements vers un serveur Syslog. Pour l’installer, vous devez dézipper l’archive que vous aurez téléchargée au préalable et copier l’exécutable dans le dossier c:\windows\system32 de votre système Windows. Puis, vous devrez procéder à l’installation du service, comme suit :
c: cd /windows/system32 evtsys -i -h 192.168.1.100 -f local0 -t server1 -l 0
- -l est le niveau de verbosité. En production, vous pouvez ramener cette valeur à 2 de manière à ne retourner que les erreurs.
- -f envoie les messages dans la catégorie local0, par exemple.
Usage: evtsys -i|-u|-d [-h host[;host2;...]] [-f facility] [-p port] [-t tag] [-s minutes] [-q bool] [-l level] [-n] [-a] -i Install service -u Uninstall service -d Debug: run as console program -a Use our IP address (or fqdn) in the syslog message -h host Name of log host(s), separated by a ';' -f facility Facility level of syslog message -l level Minimum level to send to syslog.\n", stderr); 0=All/Verbose, 1=Critical, 2=Error, 3=Warning, 4=Info -n (**Win9x/Server 2003 Only**) Include only those events specified in the config file. -t tag Include tag as program field in syslog message -p port Port number of syslogd -q bool Query the Dhcp server to obtain the syslog/port to log to (0/1 = disable/enable) -s minutes Optional interval between status messages. 0 = Disabled Default port: 514 Default facility: daemon Default status interval: 0 Host (-h) required if installing
Vous devez ensuite démarrer le service :
net start evtsys
Pour désinstaller evtsys :
net stop evtsys cd /windows/system32 evtsys -u
Visual Syslog Server, un serveur syslog Open Source pour Windows
J’ai essayé des tas de solutions issues du logiciel libre en lieu et place du logiciel commercial Kiwi Syslog Server. Rien ne trouvait grâce à mes yeux, jusqu’à ce que je tombe sur Visual Syslog Server. Le seul inconvénient de ce fabuleux outil est qu’il ne s’exécute pas en service. Pour le reste, il gère à la perfection les alertes mail et la rotation des logs !
Affichage
Pensez tout d’abord à passer en UTF-8 à partir du bouton Setup de la console Visual Syslog Server :
J’ai également désactivé l’écoute en mode TCP.
Rotation des logs
Le logiciel prend également en charge la rotation des logs, par période ou par taille à partir de Setup > Files :
Configuration des alertes mail
Vous devez configurer le serveur d’envoi, ainsi que les contenus des messages d’alertes à partir de Setup > E-Mail.
Construire les alertes mail
Cliquez sur le bouton Processing de la console. Pour construire votre alerte, cochez Action Active, les niveaux de priorité (Priorities) ainsi que les types de message (Facilities). Entrez le texte de l’alerte au niveau de Text contains.
J’ai bien reçu le message !
