Note : Cet article est assez ancien, depuis BoucheCousue a lancé son propre service de stockage de logs en SaaS. En informatique, le protocole "syslog" est très pratiques pour comprendre ce qui se passe sur un réseau et parfois détecter des anomalies ou tentatives de piratage... (ou plus bêtement remonter à l'origine d'un piratage). Beaucoup d'appareils réseau sont compatibles avec ces syslog dont notamment les bornes Wifi, switches et routeurs Meraki mais aussi les caméras de surveillance Axis, les firewall pfSense, les systèmes de visioconférence type LifeSize etc. Le syslog se fait en interne ou de façon décentralisée (vers un serveur externe).. mais il est aussi possible de le faire en mode "cloud".. et parfois gratuitement. Nous nous sommes intéressé à Papertrail et Loggly qui permettent de le faire avec une simplicité bluffante. Parmi les deux services, le plus simple est vraiment Papertrail qui fournit à chaque utilisateur un port différent sur lequel envoyer les syslog ce qui rend le service facilement compatible avec tout type d'appareil tandis que Loggly nécessite d'envoyer des messages syslog à un format bien particulier (mais plus au gout du jour et des normes) Le résultat ? Un système très simple qui permet de chercher dans les logs .. centralisés .. de beaucoup d'appareils : Pour vous faciliter la vie, ces systèmes permettent aussi de gérer des groupes "dynamiques".. Par exemple "tout ce qui contient le mot EMK doit aller dans le groupe EMK". Avec ça vous pouvez donc déployer des équipements .. et s'ils sont bien nommés ils se retrouveront automatiquement dans le bon groupe ! Les services : - Papertrail (version gratuite : 100 MB de logs par mois) - Loggly (version gratuite : 200 MB de logs par jour gardés 7 jours) - LogOne de Bouchecousue Note : Loggly propose plus d'espace "gratuitement" mais sera plus complexe à configurer pour les novices .. voir même impossible à configurer sur la majeure partie des équipements car rares sont ceux supportants les réglages avancés pour syslog. L'alternative que propose Loggly est d'avoir une machine qui joue le rôle d'intermédiaire dans le réseau mais .. cela revient finalement à quelque chose d'assez compliqué et loin de l'approche "syslog cloud".

Questions fréquentes

À quoi sert syslog sur un réseau professionnel ?

Syslog permet de centraliser des événements envoyés par des firewalls, switches, bornes WiFi, caméras ou serveurs afin de diagnostiquer des incidents, rechercher des anomalies et conserver un historique.

Pourquoi envoyer des logs vers le cloud ?

Un service cloud simplifie la collecte multi-sites, la recherche et la conservation hors du site local. Il évite aussi de perdre les logs si l'équipement ou le serveur local est indisponible.

Quels points vérifier avant de choisir une solution syslog cloud ?

Il faut vérifier le volume mensuel, la durée de rétention, le chiffrement, les filtres, les alertes, la localisation des données, les exports et la compatibilité avec les équipements existants.

Tous les logs doivent-ils être conservés ?

Non. Il faut choisir les événements utiles, sinon le volume devient coûteux et difficile à exploiter. Les logs réseau, sécurité et administration n'ont pas tous la même valeur.

BoucheCousue peut-il mettre en place une collecte de logs ?

Oui. BoucheCousue peut identifier les sources, configurer l'envoi syslog, définir la rétention, créer des alertes et documenter les recherches utiles pour le support.