Journalisation - ceketrumdev/Zdefender GitHub Wiki

Journalisation 📝

La journalisation est une composante essentielle de ZDefender, permettant de suivre les événements, les actions prises et les anomalies détectées en temps réel. Cette page décrit les modes de journalisation disponibles, leur configuration et leur utilisation.

Table des matières


Introduction

La journalisation dans ZDefender est conçue pour être flexible et adaptée aux besoins de l'utilisateur. Elle permet de capturer des informations détaillées sur les événements réseau, les actions de mitigation et les erreurs système. Ces logs peuvent être utilisés pour surveiller le système, analyser les incidents ou auditer les activités.

Si vous rencontrez des problèmes avec la journalisation, consultez la section Dépannage ou ouvrez une discussion sur GitHub.


Modes de journalisation

ZDefender prend en charge deux modes de journalisation principaux :

Mode Fichier

Les logs sont écrits dans un fichier classique. Par défaut, ils sont stockés dans /var/log/zdefender/zdefender.log.

Avantages :

  • Facile à configurer et à consulter.
  • Compatible avec la plupart des outils d'analyse de logs (par exemple, grep, awk).

Configuration :

Dans le fichier de configuration (/etc/zdefender/config.json), définissez :

"log_mode": "File"

Pour plus de détails sur la configuration, consultez la section Configuration.


Mode SystemdJournal

Les logs sont envoyés directement au journal systemd (systemd-journal). Ce mode est recommandé pour les systèmes modernes qui utilisent systemd comme gestionnaire de services.

Avantages :

  • Intégration native avec systemd.
  • Centralisation des logs système via journalctl.

Configuration :

  1. Compilez ZDefender avec la feature systemd activée :
    cargo build --release --features systemd
    
  2. Modifiez le fichier de configuration (/etc/zdefender/config.json) :
    "log_mode": "SystemdJournal"
    

Pour consulter les logs avec journalctl :

sudo journalctl -u zdefender

Configuration de la journalisation

La journalisation est configurée via le fichier JSON principal (/etc/zdefender/config.json). Voici les options pertinentes :

Option Description Valeur par défaut
log_mode Mode de journalisation (File ou SystemdJournal) File
log_file Chemin du fichier de logs (uniquement en mode File) /var/log/zdefender/zdefender.log
log_level Niveau de détail des logs (info, debug, warn, error) info

Pour recharger la configuration sans redémarrer le service :

zdefender reload

Pour plus d'informations sur la configuration globale, consultez la section Configuration dans le README.


Exemples de logs

Voici quelques exemples typiques de logs générés par ZDefender :

Mode Fichier

Contenu de /var/log/zdefender/zdefender.log :

[INFO] 2023-10-01T12:00:00 ZDefender démarré sur l'interface eth0
[WARN] 2023-10-01T12:05:30 Attaque SYN Flood détectée depuis 192.168.1.100
[ACTION] 2023-10-01T12:10:00 IP 192.168.1.100 bloquée pour 300 secondes
[DEBUG] 2023-10-01T12:15:00 Seuil de paquets atteint : 1000/s

Mode SystemdJournal

Avec journalctl :

$ sudo journalctl -u zdefender
Oct 01 12:00:00 hostname zdefender[1234]: [INFO] ZDefender démarré sur l'interface eth0
Oct 01 12:05:30 hostname zdefender[1234]: [WARN] Attaque SYN Flood détectée depuis 192.168.1.100
Oct 01 12:10:00 hostname zdefender[1234]: [ACTION] IP 192.168.1.100 bloquée pour 300 secondes

Dépannage

Problèmes courants

  1. Logs manquants en mode Fichier :

    • Vérifiez que le répertoire /var/log/zdefender/ existe et que ZDefender a les permissions nécessaires pour écrire dans ce dossier.
    • Assurez-vous que l'option log_mode est définie sur File.
  2. Logs non visibles en mode SystemdJournal :

    • Vérifiez que ZDefender a été compilé avec la feature systemd activée.
    • Utilisez journalctl pour consulter les logs : sudo journalctl -u zdefender.
  3. Niveau de log incorrect :

    • Modifiez l'option log_level dans le fichier de configuration pour ajuster le niveau de détail.

Pour signaler des bugs ou demander de l'aide, consultez la section Support et assistance.


Support et assistance

Si vous rencontrez des problèmes ou avez des questions sur la journalisation, voici quelques ressources utiles :