OpenLDAP – configuration des logs

Michaël 0

Dans 2 articles précédents (il y a quelques mois déjà…), je vous parlais du remplacement de mon LDAP au boulot, par un OpenLDAP tout neuf. Je continue de préciser un peu la configuration aujourd’hui, avec la configuration et la rotation des logs.

A l’avance, excusez mes imprécisions, je ne suis ni un pro de Linux, ni d’OpenLDAP. Et comme j’ai galéré avec tout ça, je me dis que ça peut intéresser d’autres personnes.

La fois dernière, nous avons déjà vu comment configurer une politique de mot de passe (password policy) et ajouter des classes personnalisées. Voyons la suite.

Configurer les logs

Pour configurer les logs d’OpenLDAP, il vous faudra créer un fichier ‘openldap.syslogng.conf’ dans le répertoire ‘/etc/syslog-ng/conf.d/’. Vous pouvez y coller le contenu suivant :

# Fichier de configuration openldap pour syslog-ng

destination d_ldap      { file("/var/log/openldap.log");  };

filter f_syslog         { not facility(auth, authpriv) and not match(slapd); };

filter f_ldap           { match("slapd"); };

log { source(s_src); filter(f_syslog); destination(d_syslog); };

log { source(s_src); filter(f_ldap); destination(d_ldap); };

J’ai paramétré ça il y a plusieurs mois, et je ne retrouve plus la documentation qui m’a servit pour écrire ça, voir où je l’ai recopié. En tout cas, ce n’est pas mon genre d’écrire ce genre de trucs tout seul… Si je retrouve la source à l’occasion, je remettrai le lien ici.

Globalement, on configure syslog c’est ce qui tourne sur les distribution basées sur Debian il me semble pour intercepter les logs d’OpenLDAP. Et on indique la destination des logs au niveau de la ligne : destination d_ldap.

Ce n’est pas plus compliqué que ça. Mais oui, je suis d’accord avec vous, ça ne s’invente pas.

Rotation des logs

Là comme ça, vous allez vous retrouver avec votre LDAP qui va cracher ses logs dans /var/log/openldap.log. Mais comme il est plutôt bavard, vous allez vite avoir des gros fichiers de logs peu lisibles. Du coup, c’est mieux de configurer une rotation des logs, histoire que les fichiers ne dépassent pas un certains poids, et qu’ils soient purgés au bout d’un certains temps (ou d’un certain nombre de fichiers).

Pour cela, il faut créer un fichier ‘openldap.logrotate.conf’ dans le répertoire ‘/etc/logrotate.d/’. Il doit y avoir un démon logrotate qui s’occupe de gérer les logs de manière générale, et on se contente de lui filer un fichier de configuration pour qu’il prenne en charge nos logs OpenLDAP.

Dans ce fichier openldap.logrotate.conf, vous mettre le contenu suivant :

/var/log/openldap.log {
	daily
	rotate 100
	size 20M
	compress
	delaycompress
	missingok
	notifempty
}

Explications :

  • Daily : les fichiers de logs vont être surveillés de manière quotidienne
  • Rotate 100 : on conserve 100 fichiers de logs, donc 100 jours d’archives vu que le paramètre précédent était daily
  • Size 20M : si le fichier de log dépasse 20 Mo, alors la rotation s’effectue, même si ce n’est pas encore le moment (par rapport au paramètre daily)
  • Pour compress, delaycompress, missingok et notifempty, je vous laisse regarder la doc là : https://doc.ubuntu-fr.org/logrotate

De cette manière, vous allez avoir des fichiers de logs qui ne dépasseront pas les 20 Mo, et vous ne risquerez pas de vous retrouver avec des Go de logs qui saturent votre disque dur, puisque les fichiers ne sont conservés que 100 jours (plus exactement 100 fichiers de logs). A vous d’adapter ces paramètres bien sûr.

Dernière petite info, logrotate est exécuté par un job cron. Dans mon cas, je ne le trouvais pas en tapant la commande “sudo crontab -e”. L’exécution semblait être effectuée à cause de la présence d’un fichier ‘logrotate’ présent dans le répertoire ‘/etc/cron.daily/’.

Conclusion

Bon, c’était un peu rapide, mais il n’y a pas grand-chose à faire en fait. Dans un futur article, je vous détaillerai comment j’ai mis en place mon OpenLDAP avec docker. Il faudra que je m’active un peu pour ne pas attendre 6 mois de plus…

J’espère que ça vous aura été utile. @+ !

Michaël

Tags:

Michaël

Chrétien, de formation scientifique (chimie) mais recyclé (c'est bien vu à notre époque) dans l'informatique, je m'intéresse à un tas de choses. Vous retrouverez donc ce joyeux mélange sur ce site. Certains sujets m'ayant donné du fil à retordre, je me dis qu'en écrivant ces articles, ça peut aider certaines personnes à trouver plus rapidement.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.