Diriger les messages du journal système vers une destination distante

Chaque message du journal système appartient à une fonctionnalité, qui regroupe les messages qui sont générés par la même source (tel qu’un processus logiciel) ou qui concernent une condition ou une activité similaire (telle que les tentatives d’authentification). Un niveau de gravité est également attribué à chaque message, qui indique la gravité de l’impact de l’événement déclencheur sur les fonctions de la plate-forme de routage.

Lorsque vous configurez la journalisation d’une ressource et d’une destination, vous spécifiez un niveau de gravité pour chaque installation. Les messages de l’installation qui sont classés à ce niveau et à un niveau supérieur sont consignés à la destination suivante :

Pour plus d’informations sur les destinations, reportez-vous aux sections Diriger les messages du journal système vers un terminal utilisateur et Diriger les messages du journal système vers la console.

Pour consigner les messages appartenant à plusieurs ressources vers une destination particulière, spécifiez chaque ressource et la gravité associée sous la forme d’une instruction distincte dans l’ensemble d’instructions de la destination.

Tableau 1 répertorie les fonctions de journalisation système de Junos OS que vous pouvez spécifier dans les instructions de configuration au niveau hiérarchique [edit system syslog] .

Tableau 1 : Fonctions de journalisation du système Junos OS

Installation	Type d’événement ou d’erreur
any	Tous (messages de tous les établissements)
authorization	Tentatives d’authentification et d’autorisation
change-log	Modifications apportées à la configuration de Junos OS
conflict-log	La configuration spécifiée n’est pas valide sur le type de routeur
daemon	Actions effectuées ou erreurs rencontrées par les processus du système
dfc	Événements liés à la capture de flux dynamique
explicit-priority	Inclure la priorité et la facilité dans les messages du journal système
external	Actions effectuées ou erreurs rencontrées par les applications externes locales
firewall	Actions de filtrage de paquets effectuées par un filtre de pare-feu
ftp	Actions effectuées ou erreurs rencontrées par le processus FTP
interactive-commands	Commandes émises à l’invite de l’interface de ligne de commande (CLI) de Junos OS ou par une application cliente telle qu’un protocole Junos XML ou un client XML NETCONF
kernel	Actions effectuées ou erreurs rencontrées par le noyau Junos OS
ntp	Actions effectuées ou erreurs rencontrées par les processus Network Time Protocol
pfe	Actions effectuées ou erreurs rencontrées par le moteur de transfert de paquets
user	Actions effectuées ou erreurs rencontrées par les processus de l’espace utilisateur

Tableau 2 Répertorie les niveaux de gravité que vous pouvez spécifier dans les instructions de configuration au niveau de la [edit system syslog] hiérarchie. Les niveaux de jusqu’à la plus info grande gravité (effet le emergency plus important sur le fonctionnement) à la plus faible.

Contrairement aux autres niveaux de gravité, le niveau désactive la none journalisation d’une ressource au lieu d’indiquer la gravité de l’impact d’un événement déclencheur sur les fonctions de routage. Pour plus d’informations, reportez-vous à la section Désactivation de la journalisation système d’une installation.

Tableau 2 : Niveaux de gravité des messages du journal système

Valeur	Niveau de gravité	Description
N/A	none	Désactive la journalisation de la ressource associée vers une destination
0	emergency	Panique du système ou autre condition provoquant l’arrêt du routeur de fonctionner
1	alert	Conditions nécessitant une correction immédiate, comme une base de données système corrompue
2	critical	Conditions critiques, telles que les erreurs matérielles
3	error	Des conditions d’erreur qui ont généralement des conséquences moins graves que les erreurs aux niveaux d’urgence, d’alerte et critique
4	warning	Conditions qui justifient une surveillance
5	notice	Conditions qui ne sont pas des erreurs mais qui peuvent justifier un traitement spécial
6	info	Événements ou conditions de non-erreur d’intérêt
7	any	Comprend tous les niveaux de gravité

Pour diriger les messages du journal système vers un fichier dans le /var/log répertoire du moteur de routage local, incluez l’instruction file au niveau de la [edit system syslog] hiérarchie :

Pour obtenir la liste des installations et des niveaux de gravité, reportez-vous à la section Spécification de l’installation et de la gravité des messages à inclure dans le journal.

Pour éviter que les fichiers journaux ne deviennent trop volumineux, l’utilitaire de journalisation système Junos OS écrit par défaut les messages dans une séquence de fichiers d’une taille définie. En incluant l’instruction archive , vous pouvez configurer le nombre de fichiers, leur taille maximale et qui peut les lire, soit pour tous les fichiers journaux, soit pour un certain fichier journal. Pour plus d’informations, reportez-vous à la section Spécification de la taille, du nombre et des propriétés d’archivage du fichier journal.

Pour plus d’informations sur les déclarations suivantes, reportez-vous aux sections indiquées :

• explicit-priority: reportez-vous à la section Inclusion d’informations de priorité dans les messages du journal système

• match: voir Utilisation de chaînes et d’expressions régulières pour affiner l’ensemble des messages consignés

• structured-data: reportez-vous à la section Consignation des messages au format de données structurées

Pour diriger les messages du journal système vers la session de terminal d’un ou de plusieurs utilisateurs spécifiques (ou de tous les utilisateurs) lorsqu’ils sont connectés au moteur de routage local, incluez l’instruction au user niveau hiérarchique [edit system syslog] :

Spécifiez un ou plusieurs noms d’utilisateur Junos OS, en séparant les valeurs par des espaces, ou utilisez l’astérisque (*) pour indiquer tous les utilisateurs connectés au moteur de routage local.

Pour obtenir la liste des fonctionnalités de journalisation et des niveaux de gravité, reportez-vous à la section Spécification de la fonction et de la gravité des messages à inclure dans le journal. Pour plus d’informations sur l’instruction match , consultez Utilisation de chaînes et d’expressions régulières pour affiner l’ensemble des messages consignés.

Pour diriger les messages du journal système vers la console du moteur de routage local, incluez l’instruction console au niveau de la [edit system syslog] hiérarchie :

Pour obtenir la liste des fonctionnalités de journalisation et des niveaux de gravité, reportez-vous à la section Spécification de la fonction et de la gravité des messages à inclure dans le journal.

Pour diriger les messages du journal système vers une machine distante ou vers l’autre moteur de routage, incluez l’instruction host au niveau de la [edit system syslog] hiérarchie :

Pour diriger les messages du journal système vers une machine distante, incluez l’instruction host hostname spécifiant l’adresse IP version 4 (IPv4), l’adresse IP version 6 (IPv6) ou le nom d’hôte complet de la machine distante. La machine distante doit exécuter l’utilitaire standard syslogd . Nous vous déconseillons de diriger les messages vers un autre équipement Juniper Networks. Dans chaque message du journal système adressé à la machine distante, le nom d’hôte du moteur de routage local apparaît après l’horodatage pour indiquer qu’il s’agit de la source du message.

Pour diriger les messages du journal système vers l’autre moteur de routage sur un périphérique sur lequel deux moteurs de routage sont installés et opérationnels, incluez l’instruction host other-routing-engine . L’instruction n’étant pas automatiquement réciproque, vous devez l’inclure dans chaque configuration du moteur de routage si vous souhaitez que les moteurs de routage s’adressent les messages les uns aux autres. Dans chaque message dirigé vers l’autre moteur de routage, la chaîne re0 ou re1 apparaît après l’horodatage pour indiquer la source du message.

Pour obtenir la liste des fonctionnalités de journalisation et des niveaux de gravité à configurer sous l’instruction host , reportez-vous à la section Spécification de la fonction et de la gravité des messages à inclure dans le journal.

Pour enregistrer des informations sur l’installation et le niveau de gravité dans chaque message, incluez l’instruction explicit-priority . Pour plus d’informations, reportez-vous à la section Inclusion d’informations de priorité dans les messages du journal système.

Pour plus d’informations sur l’instruction match , consultez Utilisation de chaînes et d’expressions régulières pour affiner l’ensemble des messages consignés.

Lorsque vous dirigez des messages vers des machines distantes, vous pouvez inclure l’instruction source-address pour spécifier l’adresse IP du périphérique signalé dans les messages comme source. Dans chaque host instruction, incluez l’instruction facility-override d’affectation d’une autre fonctionnalité et l’instruction log-prefix d’ajout d’une chaîne à chaque message. Vous pouvez inclure l’instruction structured-data permettant d’activer le transfert de messages de journal système structurés à un serveur de journal système distant au format de message de journal système IETF .

Pour spécifier le routeur source à signaler dans les messages du journal système lorsque les messages sont dirigés vers une machine distante, incluez l’instruction source-address au niveau de la [edit system syslog] hiérarchie :

source-address est une adresse IPv4 ou IPv6 valide configurée sur l’une des interfaces du routeur. L’adresse est indiquée dans les messages destinés à toutes les machines distantes spécifiées dans host hostname les instructions au niveau de la [edit system syslog] hiérarchie, mais pas dans les messages dirigés vers l’autre moteur de routage.

Pour ajouter une chaîne de texte à chaque message de journal système dirigé vers une machine distante ou vers l’autre moteur de routage, incluez l’instruction au log-prefix niveau de la [edit system syslog host] hiérarchie :

La chaîne peut contenir n’importe quel caractère alphanumérique ou spécial, à l’exception du signe égal ( = ) et des deux-points ( : ). Il ne peut pas non plus inclure le caractère d’espace ; Ne placez pas la chaîne entre guillemets ( » « ) dans le but d’y inclure des espaces.

L’utilitaire de journalisation système Junos OS ajoute automatiquement deux points et un espace à la chaîne spécifiée lorsque les messages du journal système sont écrits dans le journal. La chaîne est insérée après l’identificateur du moteur de routage qui a généré le message.

L’exemple suivant montre comment ajouter la chaîne M120 à tous les messages pour indiquer que le routeur est un routeur M120 et diriger les messages vers la machine distante hardware-logger.mycompany.com :

Lorsque ces instructions de configuration sont incluses sur un routeur M120 appelé origin1, un message dans la hardware-logger.mycompany.com de journal système ressemble à ce qui suit :

Certaines fonctions affectées aux messages consignés sur le routeur ou le commutateur local ont des noms spécifiques à Junos OS (voir Fonctions de journalisation du système Junos OS). Dans la configuration recommandée, une machine distante désignée au niveau hiérarchique n’est pas un routeur ou un commutateur Juniper Networks, de sorte que son utilitaire syslogd ne peut pas interpréter les noms spécifiques à [edit system syslog host hostname] Junos OS. Pour permettre à l’utilitaire syslogd standard de gérer les messages de ces fonctions lorsque les messages sont dirigés vers une machine distante, un nom de ressource standard localX est utilisé à la place du nom de ressource spécifique à Junos OS.

Fonctions par défaut pour les messages du journal système dirigés vers une destination distante répertorie le nom de la fonction alternative par défaut en regard du nom de la ressource spécifique à Junos OS pour laquelle elle est utilisée.

L’utilitaire syslogd d’une machine distante gère tous les messages appartenant à une installation de la même manière, quelle que soit leur source (routeur ou commutateur Juniper Networks ou machine distante elle-même). Par exemple, les instructions suivantes dans la configuration du routeur appelées local-router messages directs de l’installation authorization à la machine distante monitor.mycompany.com :

L’autre fonctionnalité par défaut de l’installation locale authorization est également authorization. Si l’utilitaire syslogd on monitor est configuré pour écrire des messages appartenant à la fonctionnalité dans le fichier /var/log/auth-attempts, le fichier contient les messages générés lorsque les authorization utilisateurs se connectent à local-router et les messages générés lorsque les utilisateurs se connectent à monitor. Bien que le nom de la machine source apparaisse dans chaque message du journal système, le mélange de messages provenant de plusieurs machines peut rendre plus difficile l’analyse auth-attempts du contenu du fichier.

Pour faciliter la séparation des messages de chaque source, vous pouvez affecter une autre fonction à tous les messages générés le local-router lorsqu’ils sont dirigés vers monitor. Vous pouvez ensuite configurer l’utilitaire syslogd pour monitor qu’il écrive des messages avec la fonction alternative vers un fichier différent des messages générés sur monitor lui-même.

Pour modifier la fonction utilisée pour tous les messages dirigés vers une machine distante, incluez l’instruction facility-override au niveau de la [edit system syslog host hostname] hiérarchie :

En général, il est judicieux de spécifier une autre fonction qui n’est pas déjà utilisée sur la machine distante, telle que l’une des localX installations. Sur l’ordinateur distant, vous devez également configurer l’utilitaire syslogd pour qu’il gère les messages de la manière souhaitée.

Facilities for the facility-override Statement répertorie les installations que vous pouvez spécifier dans l’instruction facility-override .

Nous vous déconseillons d’inclure l’instruction facility-override au niveau de la [edit system syslog host other-routing-engine] hiérarchie. Il n’est pas nécessaire d’utiliser d’autres noms de ressources pour diriger des messages vers l’autre moteur de routage, car son utilitaire de journalisation du système Junos OS peut interpréter les noms spécifiques à Junos OS.

L’exemple suivant montre comment consigner tous les messages générés sur le routeur local au niveau d’erreur ou supérieur à la fonction local0 sur la machine distante appelée monitor.mycompany.com :

L’exemple suivant montre comment configurer des routeurs situés en Californie et des routeurs situés dans l’État de New York pour envoyer des messages à une seule machine distante appelée central-logger.mycompany.com. Les messages en provenance de Californie sont affectés à l’installation alternative local0 et les messages en provenance de New York sont affectés à l’installation alternative local2.

• Configurez les routeurs californiens pour agréger les messages dans l’installation local0 :

• Configurez les routeurs New York pour agréger les messages dans l’installation local2 :

Sur central-logger, vous pouvez ensuite configurer l’utilitaire de journalisation système pour qu’il écrive des messages de la fonction local0 dans le fichier change-log et les messages de la fonction local2 dans le fichier new-york-config.