syslog est un protocole standardisé utilisé pour envoyer des Logs et des événements au serveur de Log. syslog peut être utilisé dans différentes plateformes comme Linux, Windows, Unix, Applications etc. Dans ce tutoriel, nous allons regarder le port syslog par défaut et le port syslog sécurisé et quelques exemples sur la façon de changer ce numéro de port.
syslog est un protocole qui est défini dans RFC 5424 et RFC 3164 . Le numéro de port est défini comme 514 avec le protocole UDP pour les services syslog. Il existe également une recommandation concernant le port source qui doit être UDP 514 également. Ce numéro de port a également été enregistré par l’IANA au protocole syslog ce qui signifie que les autres applications ne peuvent pas utiliser 514 comme port officiel par défaut.
Numéro de port alternatif et fiable TCP 514
Comme indiqué précédemment le port par défaut de syslog est UDP 514 comme nous le savons UDP est un protocole peu fiable selon TCP. syslog peut être utilisé pour les journaux de sécurité importants qui ne peuvent pas tolérer la perte de journaux. Nous pouvons utiliser TCP qui est bien plus fiable que UDP avec le même numéro de port 514.
Numéro de port crypté sécurisé TCP 6514
Dans certains cas, des normes de sécurité strictes comme PCI-DSS et HIPAA nécessitent que les logs soient transférés de manière sécurisée. Aussi la politique de sécurité de l’entreprise peut exiger aussi ce type de la sécurité de transport. Dans ce cas, nous pouvons utiliser le port TCP 6514. Ce n’est pas un port officiel mais sa norme de facto de la mise en œuvre.
Cisco Set Syslog Server Port Number
À titre d’exemple, nous pouvons collecter les syslogs dans les appareils Cisco avec les commandes et la configuration suivantes.
D’abord, nous devons activer la journalisation et démarrer le service syslog avec la commande suivante.
sw(config)# logging enable
ensuite, nous allons spécifier l’adresse IP du serveur de journal. Mais nous pouvons aussi spécifier explicitement le protocole et le numéro de port. Ce n’est pas obligatoire et si on ne le précise pas, la valeur par défaut udp/514 sera définie.
sw(config)# logging host 192.168.10.10 tcp/514
.