5. Enregistrer les logs Windows dans rsyslog

Windows dispose de son propre système de gestion de logs. Toutefois, à partir du moment où on met en place une centralisation, il est judicieux de pouvoir récupérer les logs windows également.

Il existe plusieurs logiciels, certains payants, d'autres gratuits, plus ou moins fonctionnels. Parmi les quelques produits que j'ai testés, EventToSyslog répond globalement à mes attentes. C'est un produit OpenSource, simple, qui sait envoyer les messages à un serveur Syslog distant.

Installer EVTSYS

Téléchargez le logiciel depuis le site : http://code.google.com/p/eventlog-to-syslog/

Il existe une version 32 bits et 64 bits.

Décompressez l'archive, et recopiez les deux fichiers (evtsys.dll et evtsys.exe) dans c:\program files\system32

Le programme ne fonctionne qu'en UDP (les tests réalisés en TCP n'ont pas été concluants). Pour installer le service, ouvrez une console Windows, puis :

cd \windows\system32
evtsys.exe -i -h serveurlog 
net start evtsys

Dans le commutateur -h, vous pouvez indiquer soit le nom DNS du serveur, soit son adresse IP : le programme fera la conversion de l'adresse IP automatiquement.

À noter que si votre serveur de logs fonctionne en DHCP, il est possible de paramétrer le service pour qu'il recherche son adresse chaque fois qu'il en a besoin.

Au moment de l'installation du service, les clés suivantes sont créées dans la base de registre :

[HKEY_LOCAL_MACHINE\SOFTWARE\ECN\EvtSys\3.0]
"Facility"=dword:00000003 
"LogHost"="10.xx.xx.xx" 
"LogHost2"="" 
"LogHost3"="" 
"LogHost4"="" 
"Port"=dword:00000202 
"StatusInterval"=dword:0000001e 
"QueryDhcp"=dword:00000000 
"LogLevel"=dword:00000000 
"IncludeOnly"=dword:00000000 
"Tag"="" 
"MaxMessageSize"=dword:00001000 
"EnableTcp"=dword:00000000

La facilité 3 correspond aux messages systèmes. Les valeurs de LogLevel sont les suivantes :

Type Pre-2k8 Vista/2k8+

CRITICAL N/A 1

ERROR 1 or 2 2

WARNING 3 3

INFORMATION 4 4

AUDIT/ALL 0 0

Limitations

EventToSyslog présente actuellement quelques limitations :

    • le format des dates des messages arrivés ne sont pas dans le même format que les autres. Ça ne pose pas de problème particulier en consultation, mais cela peut être gênant en utilisant le système de recherche de LogAnalyzer.
    • Il ne fonctionne qu'en mode UDP (le mode TCP est en cours de développement, et ne fonctionne pas). Cela peut entraîner une perte des messages en cas d'anomalie réseau, ou si le serveur de logs est arrêté.

Néanmoins, les traces restent également dans les serveurs d'origine : en cas de doute, on peut alors récupérer les journaux concernés.

4. Configurer Awstats depuis le serveur de logs Mettre en place un serveur central de logs avec RSYSLOG 6. Pour aller plus loin : surveiller les logs