#########
# Français #
#########

Vue d'ensemble:
Le module Centreon EventLog to syslog, Centreon E2S, permet de surveiller les journaux d'évènements Microsoft Windows et de remonter vers un collecteur syslog les évènements qui correspondent à des règles définie par l'utilisateur.

L'utilisateur a la possibilité, en éditant un fichier de configuration, d'enregistrer des règles. Ces règles servent à mettre en évidence des évènements enregistrés dans les journaux d'évènements Windows. en cas de corrélation d'une règle avec un évènements, ce dernier est formaté dans le format syslog et envoyé vers le collecteur.

En complétant ce module avec le module Syslog disponible pour la version 2.0 de Centreon, il est ainsi possible pour les administrateurs réseaux de visualiser l'ensemble des éventuels problèmes enregistrés dans les journaux Windows au sein d'une seule interface, facilitant leurs surveillance.

Vous trouverez plus d'information sur le Wiki: http://syslog.modules.centreon.com/wiki/WikiStart

########
# English #
########

Overview:
The purpose of this module is to traverse with regular interval the Microsoft Windows events in order to control the latter by rules defined by user. It s' install as a service in automatic starting mode. If one event has correspondence with a rule, service translated Windows event with the format syslog, defined in the RFC 3164 of IETF, then send to a syslog collector defined in the configuration file.

By supplementing this module with the Syslog module available for version 2.0 of Centreon, it will possible for network administrator to supervise all events written in Microsoft Windows.

This in one web interface Centreon.

You can find more informations on the Wiki: http://syslog.modules.centreon.com/wiki/Home_EN

Salut,

Tres interressant tout ca, je vais le tester quand j'aurai un moment et je te dirai ce qu'il en est. Apres lecture de la documentation Francaise elle a l'air complete mais avec quelques petites fautes.

Cliquez avec le bouton droit de la sourie p4
Dans cette parte, (petit i oublié) p7
les journaux parcourus par lors de la recherche p8

C'est des détails mais bon, j'ai pas mal survolé et je suis point un pro de la langue francaise donc c'est possible qu'il en reste.

Sinon ca a l'air d'etre du bon boulot!

Bon voila c'est installé, c'est assez simple, mais impossible de lui faire cracher le morceau...

debug.log
[FILTER Application]The following message have passed filters and will sent to syslog server
[FILTER Application]ID: 0 Type: Information Message:Service stopped successfully.
[ERROR] Unable to send syslog message "Application Source: Symantec AntiVirus Type: Information Category: (0) Event ID: 16711696 Computer: computer DateTime: 23/03/2009 11:20:16 Description:

Une idée?

Le .net est 3.5sp1
Wireshark detecte aucun paquet syslog envoyé au server.
La résolution du nom est bonne.
Il n'y a pas de firewall entre les servers

Hum c'est tres bizarre, j'arrive a faire facilement marcher ce systeme sur ma machine, sur un autre serveur mais j'ai un serveur qui ne veut absolument rien entendre!

Les configurations sont les memes et je ne vois pas se qui peux bloquer celui ci a ne pas pouvoir envoyer de message syslog Oo

Il n'y a rien d'autre demandé a part le framework 2.0?

EDIT: C'est uniquement les messages de type info qui ne passent pas en faite.

non absolument rien n'est demandé à par le framework .NET 2.0

Hum il y aurait un caractère spécial dans tes messages de type info qui bloquerait l'envoi mais cela métonne beaucoup.

Si tu as un compilateur .net (visual C# express) et que tu as le temps de regarder, les sources sont dispo sur le svn: http://syslog.modules.centreon.com/svn/trunk/Centreon_E2S/Sources/

je ne pourrais pas regarder avant mercredi.

Merci de vos retour et je corrige la doc dès que possible.

J'ai testé en créant les meme messages, si je les renvois en etat warning ca passe, si je les met en info ca ne passe pas.

Je vais voir avec mes developpeur, mais je pense pas qu'il ai le temps de me preter leur poste et de me faire un cours la dessus, je verrai demain si je peux pas installer visual studio.

Merci pour ta réponse.

ps: poste un ticket sur le trac, c'est fait pour ca :D

http://syslog.modules.centreon.com/report

même si c'est moi qui vais m'en charger

Ok my mistake!!

Apres lecture des sources je comprends mieux! J'étais tombé une fois sur les level de syslog et j'étais tombé sur un qui mettait info au lieux de informational.

Je pense qu'il serait bon pour les etourdis comme moi de les lister dans la doc.

http://www.kiwisyslog.com/kb/info:-syslog-message-levels/
The list of syslog severity Levels:

0 Emergency: system is unusable
1 Alert: action must be taken immediately
2 Critical: critical conditions
3 Error: error conditions
4 Warning: warning conditions
5 Notice: normal but significant condition
6 Informational: informational messages
7 Debug: debug-level messages


Ca marche impec, bon boulot chef!

Si je doit expliquer les niveau de "priority" et "facility" faudrait que je fasse un cours sur le protocol syslog en général.

Peut-être un livre blanc pour aller avec les deux modules si j'ai la motivation et le temps.

IE ayant crashé je me retape pas le poste,

Un détail des sources est suffisant comme :
public SyslogServer()
{
Level.Add("Emergency", 0);
Level.Add("Alert", 1);
Level.Add("Critical", 2);
Level.Add("Error", 3);
Level.Add("Warning", 4);
Level.Add("Notice", 5);
Level.Add("Informational", 6);
Level.Add("Debug", 7);

Facility.Add("Kern", 0);
Facility.Add("User", 1);
Facility.Add("Mail", 2);
Facility.Add("Daemon", 3);
Facility.Add("Auth", 4);
Facility.Add("Syslog", 5);
Facility.Add("LPR", 6);
Facility.Add("News", 7);
Facility.Add("UUCP", 8);
Facility.Add("Cron", 9);
Facility.Add("AuthPriv", 10);
Facility.Add("FTP", 11);
Facility.Add("NTP", 12);
Facility.Add("Audit", 13);
Facility.Add("Audit2", 14);
Facility.Add("CRON2", 15);
Facility.Add("Local0", 16);
Facility.Add("Local1", 17);
Facility.Add("Local2", 18);
Facility.Add("Local3", 19);
Facility.Add("Local4", 20);
Facility.Add("Local5", 21);
Facility.Add("Local6", 22);
Facility.Add("Local7", 23);
}

Vu qu'il faut un texte spécial avec casse dans le fichier de config, c'est bien d'avoir quelque chose pour s'y rattacher.

PS: c'était pas une critique, juste pour les étourdis comme moi. C'est un systeme que j'attendais et je pense pas etre le seul (meme si je suis le seul a participer pour le moment) et je trouve le boulot tres bien fait!

Merci pour les encouragements.

Je modifierais la documentation pour rajouter ce passage et faire les correction orthographique et une petite relecture aussi :rolleyes:

Hi everybody!

After long investigation I found why sometime I don't receive all the log in my syslog module. I've configured to send UDP packet and now I changed to tcp and it's working better!!

That's just create me a bug in the module. In UDP the description is a full block of information. In TCP the description is sent line by line. That's not really a problem but is it normal or there is a way to change it?

I can't upload the screen because it's a bit difficult to send a screen less than 20kb ><

Date / Time Host Facility Priority Tag Program Message
2009-03-30 21:52:55 donald user notice 0d
2009-03-30 21:52:55 donald user notice 0d [From:DONALD]
2009-03-30 21:52:55 donald user notice 0d [Message:DONALD: [JobID:1005 Daily Incremental Backup] Backup Operation Successful.]
2009-03-30 21:52:55 donald user notice 0d [Action:Broadcast,AlphaNumerical Pager,EMail,Trouble Ticket,Event Log,SNMP,Notes,Unicenter TNG,SMTP,eTrust Audit]
2009-03-30 21:52:55 donald user notice 0d [Priority:Information]
2009-03-30 21:52:55 donald user notice 0d [Application:BrightStor AB]
2009-03-30 21:52:55 donald user notice 0d NOTE NOTE : [***** Computer Associates ALERT Event Log File *****]
2009-03-30 21:52:55 donald local0 info 86 Alert Alert Notification Server Application Source: Alert Notification Server Type: Information Category: (0) Event ID: 1 Computer: DONALD DateTime: 30/03/2009 21:49:51 Description:
2009-03-26 21:50:44 donald local0 info 86 Alert Alert Notification Server Application Source: Alert Notification Server Type: Information Category: (0) Event ID: 1 Computer: DONALD DateTime: 26/03/2009 21:47:29 Description: NOTE : [***** Computer Associates ALERT Event Log File *****] [Application:BrightStor AB] [Priority:Information] [Action:Broadcast,AlphaNumerical Pager,EMail,Trouble Ticket,Event Log,SNMP,Notes,Unicenter TNG,SMTP,eTrust Audit] [Message:DONALD: [JobID:997 Daily Incremental Backup] Backup Operation Successful.] [From:DONALD]
2009-03-25 11:20:15 donald local0 info 86 Alert Alert Notification Server Application Source: Alert Notification Server Type: Information Category: (0) Event ID: 1 Computer: DONALD DateTime: 25/03/2009 10:22:08 Description: NOTE : [***** Computer Associates ALERT Event Log File *****] [Application:BrightStor AB] [Priority:Information] [Action:Event Log] [Message:This is a test message sent from the Alert Manager] [From:DONALD]
2009-03-25 11:20:15 donald local0 warning 84 Alert Alert Notification Server Application Source: Alert Notification Server Type: Warning Category: (0) Event ID: 1 Computer: DONALD DateTime: 25/03/2009 10:26:49 Description: NOTE : [***** Computer Associates ALERT Event Log File *****] [Application:BrightStor AB] [Priority:Warning] [Action:Broadcast,AlphaNumerical Pager,EMail,Trouble Ticket,Event Log,SNMP,Notes,Unicenter TNG,SMTP,eTrust Audit] [Message:DONALD: [JobID:993 Daily Incremental Backup] Backup Operation Cancelled.] [From:DONALD]
2009-03-25 10:29:57 donald local0 warning 84 Alert Alert Notification Server Application Source: Alert Notification Server Type: Warning Category: (0) Event ID: 1 Computer: DONALD DateTime: 25/03/2009 10:26:49 Description: NOTE : [***** Computer Associates ALERT Event Log File *****] [Application:BrightStor AB] [Priority:Warning] [Action:Broadcast,AlphaNumerical Pager,EMail,Trouble Ticket,Event Log,SNMP,Notes,Unicenter TNG,SMTP,eTrust Audit] [Message:DONALD: [JobID:993 Daily Incremental Backup] Backup Operation Cancelled.] [From:DONALD]

Centreon E2S module sent message in one block for UDP and TCP.

I don't nok if an action is possible into syslog, syslog-ng or rsyslog

Ok I'll chech this afternoon if I notice anything suspect on syslog-ng. But anyway, it's not really important.

Thanks

Hello ! Avant tout, félicitation pour ce projet qui semble plus que prometteur !
(si toute fois j'arrive un jour à le faire fonctionner...)

Je viens d'installer sur le couple rsyslog / centreon e2s.

J'ai essayé au départ avec syslog-ng , mais je n'ai pas reussit :mad:., par contre ca fonctionne "presque" avec rsylog.

Je dois avoir un problème de configuration quelque part, car lorsque mes machines Windows envoie leurs logs,dans la base de données le nom d'hote est remplacé par le nom d'application qui a généré le logs.

Exemple :
N/A Outlook 16 16:49:07 Application Source: Outlook Type: Error Category: (0) Event ID: 35 Computer: OTTO DateTime: 21/04/2009 15:54:48 Description: Impossible de determiner si la banque se trouve dans l'etendue d'analyse (erreur=0x80070002).

Le nom de machine affichée est OUTLOOK , et non pas OTTO... De plus dans centreon, les champs Tag et Programme indiquent tous deux "Application".
En revanche cela fonctionne bien pour la machine locale linux, ou tous est bien renseigné.


Auriez-vous la gentillesse de me dire ou est-ce que j'ai raté un truc ? :confused:

Voici la ligne que j'ai renseigné dans rsylog.conf :

$template sysMysql,"INSERT INTO logs (host,facility, priority,level,tag,datetime,program,msg) VALUES ('%HOSTNAME%','%syslogfacility%','%syslogpriority% ','%s$
logtag%', '%timereported:::date-mysql%','%programname%', '%msg%')", SQL
*.* >127.0.0.1,syslog,utilisateur,password;sysMysql

Dans le champ "Host" tu as bien le nom ou l'adresse IP de la machine ?

Je n'ai pas d'interface de test sous la main mais il me semble que le fonctionnement est normal.

Tu ne peux avoir strictement la même chose sous Linux et sous Windows puisque sous Linux ce protocole (syslog) est natif.

Je regarderais dès que j'aurais plus de temps.

Non justement je n'ai pas le nom ou l'adresse IP dans le champs host. J'ai le nom de l'application qui a généré le log. Et c'est justement là que ca coince.

Par exemple, deux de mes serveurs Win 2003 renvoi des erreurs "TermServDevice", et je ne sais pas lequel c'est...

J'ai vérifié dans la base de donnée mysql, ce n'est pas une erreur d'affichage centreon ou de php-syslog-ng, mais bien rsyslog qui n'ecris pas les bon champs dans la base.

Ou alors est-ce le service windows e2s ?

Salut,

Il ressemble a quoi ton event dans l eventlog?

Tu as essayé sur un autre programme si ca te fais pareil?


Dsl j aurai pas trop le temps de regarder mais si j ai un moment j essayerai de voir ca sur mon systeme demain.

Hum etrange etrange.

Quel Os et Qeul version de rsyslog utilises tu ?

ps: dans la description du message il y a un champs: "Computer: OTTO"v pour savoir lequel est-ce.

Hello,

J'ai regardé brievement mon systeme chez moi et je n'ai rien trouvé qui pourrait creer ca...

[Français]

Sortie de la version Stable 1.0 de Centreon E2S.

Les documentations ont été refondues

Le projet est disponible ici: http://forge.centreon.com/projects/list_files/centreon-e2s

[English]

Centreon E2S 1.0 is now available view new documentations.

Redmine project here: http://forge.centreon.com/projects/list_files/centreon-e2s

Salut AkHeNaToN,

Je vois que le projet continu a son rythme.

Qu'est ce qu'on y trouve de nouveau sur cette version? corrections de bug, petits truc en plus?


Merci

Non pas de correction de bugs,personne ne m'en as remonté. Juste un changement de nom :D

Sinon j'ai refait les doc pour les séparer en deux: Installation + Configuration.

Et enfin, il y a en annexes tous les level Syslog car certains me l'ont demandé.

La prochaine version permettra de parser des log avec de trouver des chaînes (via regexp).
C'est le même principe que pour les journaux Windows mais sur des fichiers logs avec ne plus le nombre d'occurrence avant d'envoyer un message syslog.

Hello ! Avant tout, félicitation pour ce projet qui semble plus que prometteur !
(si toute fois j'arrive un jour à le faire fonctionner...)

Je viens d'installer sur le couple rsyslog / centreon e2s.

J'ai essayé au départ avec syslog-ng , mais je n'ai pas reussit :mad:., par contre ca fonctionne "presque" avec rsylog.

Je dois avoir un problème de configuration quelque part, car lorsque mes machines Windows envoie leurs logs,dans la base de données le nom d'hote est remplacé par le nom d'application qui a généré le logs.

Exemple :


Le nom de machine affichée est OUTLOOK , et non pas OTTO... De plus dans centreon, les champs Tag et Programme indiquent tous deux "Application".
En revanche cela fonctionne bien pour la machine locale linux, ou tous est bien renseigné.


Auriez-vous la gentillesse de me dire ou est-ce que j'ai raté un truc ? :confused:

Voici la ligne que j'ai renseigné dans rsylog.conf :


J'ai exactement le même problème. Voici une capture d'écran :

http://img200.imageshack.us/img200/410/centreone2s.th.png (http://img200.imageshack.us/img200/410/centreone2s.png/)

Comme vous pouvez le constater, j'ai les mêmes symptômes décrits ci-dessus. En plus de cela, j'ai des caractères bizarres qui s'affichent : #015#012

Voici à quoi ressemble le message original dans l'observateur d'évenements :
http://img530.imageshack.us/img530/2357/centreone2soriginal.th.png (http://img530.imageshack.us/img530/2357/centreone2soriginal.png/)

Autre chose, je suis obligé d'utiliser UDP, car avec TCP j'ai des erreurs retournées par rsyslog3 :


Facility Priority Tag Program Message
syslog err rsyslogd-3 rsyslogd-3000 netstream session 0x28426040 will be closed due to error [try http://www.rsyslog.com/e/3000 ]
user notice #015 #015
user notice : Une erreur etendue s'est produite.#015
user notice 4 4
syslog err rsyslogd: rsyslogd Framing Error in received TCP message: invalid octet count 0.
syslog err rsyslogd: rsyslogd Framing Error in received TCP message: delimiter is not SP but has ASCII value 120.

Pour info, je suis sur Windows XP SP2, .Net Framework 2.0

je sais pas encore si c'est d'actualité

mais je rencontre le meme probleme également si une solution a été donnée car ce "petit" module est vraiment puissant :D

Hum je tenterais une nouvelle analyse mais lors de mes tests je n'avais jamais eu ce soucis en TCP ou UDP.

C'était avec Syslog-NG mais je ne pense pas que Rsyslog bloque sur quelque chose. J'essayerais quand même.

Ha oui par contre moi j'ai pas le souci de TCP UDP ^^

c'est juste au niveau des host j'ai le nom du services :D apres si je dois passer par une autre solution pour que ça fonctionne que Rsyslog je suis pas sectaire je cherche juste une solution qui fonctionne bien :D

Bonjour,

Je suis nouveau sur le forum. Je viens d'installer Centreon avec le module syslog.

J'ai aussi configurer un host avec e2s. Je rencontre le même problème mentionné ci-dessus. C'est à dire que j'ai le nom de l'application qui s'affiche en lieu et place du nom de l'host.

Avez-vous résolut ce problème?

Merci d'avance

je regarderais cela la semaine prochiane.

Rebonjour,

Pour information, voici les système que j'utilise :

Syslog server :

Ubuntu 9.10 avec les paquets de base de la distribution. Le serveur syslog est rsyslog.

Voici un ligne dans mon fichier syslog :

Dec 18 08:42:12 EventLogToSyslog Application Source: EventLogToSyslog Type: Information Category: (0) Computer: Nameserver.local DateTime: 18.12.2009 08:42:03 Description: Service started successfully.


Et voici ce que j'obtiens sur la partie syslog de centreon :


2009-12-18 10:54:50 Winword.exe 16 3 Applicatio Application Source: Winword.exe Type: Error Category: (0) Event ID: 1000 User: Domain\user Computer: nameserver.local DateTime: 18.12.2009 10:54:17 Description: ?Description?

Merci pour ce retour que je prendrais en compte

[Français]

Sortie de la version 1.1-RC1 de Centreon E2S.

Le projet est disponible ici: http://forge.centreon.com/projects/show/centreon-e2s

Le format de sortie à été modifié car il causait des problèmes avec certains démon syslog. Le format respecte maintenant la RFC Syslog:

<Facility*8+Severity>HEADER MSG

- HEADER : TIMESTAMP HOSTNAME
- TIMESTAMP = Mmm dd hh:mm:ss ; for day < 10 => 2 spaces (ex: "Aug 7", "Sep 12")
- HOSTNAME = NAME or IP address, Domain Name MUST NOT be included in the HOSTNAME field
- MSG : TAG CONTENT
- TAG = alphanumeric characters that MUST NOT exceed 32 characters.
- CONTENT = message


[English]

Centreon E2S 1.1-RC1 is now available/

Forge project here: http://forge.centreon.com/projects/show/centreon-e2s

Output format was modified because it exist some problems with syslog daemon. The format now respect RFC Syslog:

<Facility*8+Severity>HEADER MSG

- HEADER : TIMESTAMP HOSTNAME
- TIMESTAMP = Mmm dd hh:mm:ss ; for day < 10 => 2 spaces (ex: "Aug 7", "Sep 12")
- HOSTNAME = NAME or IP address, Domain Name MUST NOT be included in the HOSTNAME field
- MSG : TAG CONTENT
- TAG = alphanumeric characters that MUST NOT exceed 32 characters.
- CONTENT = message

Merci beaucoup pour le module

Tester rapidement a l'instant a priori le probleme est réglé
je vais le laisser tourner toute la journée
je confirme demain si tout est ok

Ok j'attends confirmation de plusieurs tests pour passer en stable.

[Français]

Sortie de la version 1.1-RC2 de Centreon E2S.

Le projet est disponible ici: http://forge.centreon.com/projects/show/centreon-e2s

Le format de l'heure était incorrect (sur 12h au lieu de 24h)

[English]

Centreon E2S 1.1-RC2 is now available

Forge project here: http://forge.centreon.com/projects/show/centreon-e2s

Time format was incorrect (AM/PM instead of 24h)

Rebonjour,

De mon coté cela fonctionne bien en UDP, par contre, je n'arrive pas a envoyé de message en TCP.

Un grand merci pour cette mise à jours

Hum pourtant je n'ai pas touché à la partie TCP. Seul le corps du message a été revu et non les méthodes d'envois

Merci du retour.

PS: j'ai encore un point à corriger sur l'encodage qui dans certains génère des caractères spéciaux supplémentaires dans le message.

Can someone please post the direct link to download ?
I am not able to find the files.

thanks

You must create an account on http://login.centreon.com to access at "Download" and "Documentation" sections. This account is the same for all forge (RedMaine, SVN) of Centreon

got it, will try to setup today
thanks