Les journaux constituent le moyen le plus fondamental de déterminer l’activité des utilisateurs, des systèmes et des applications sur un réseau. Si un attaquant a accédé au compte root ou administrateur de Plesk, il peut supprimer les preuves de piratage en falsifiant les journaux.

Conformément à la directive NIS2, les organisations doivent garantir que les journaux sont complets, précis et protégés contre toute modification non autorisée ou perturbation. Pour protéger les journaux et rendre votre serveur Plesk conforme à la directive NIS2, vous devez configurer Plesk pour envoyer une copie des enregistrements du Journal des actions de Plesk à un serveur de journaux externe.

Prudence: Les journaux copiés depuis Plesk vers un serveur de journaux externe peuvent contenir des données couvertes par le RGPD (par exemple : des adresses IP, des identifiants, etc.) Assurez-vous de configurer correctement le serveur de journaux externe pour traiter les journaux conformément aux exigences du RGPD.

Configurez votre serveur Plesk pour envoyer une copie des enregistrements du Journal des actions Plesk à un serveur de journaux externe :

  1. Activez la journalisation des événements Plesk dans le service de journalisation système (syslog dans Plesk pour Linux et Journal des événements dans Plesk pour Windows) en ajoutant les lignes suivantes au fichier panel.ini :

    [actionLog]
    syslog = true
    

    Note: Dans Plesk pour Linux, vous pouvez également modifier la fonction de journalisation en ajoutant des lignes correspondant au modèle suivant au fichier panel.ini.

    [actionLog]
    syslogFacility = local0 ; the default facility
    
  2. Configurez le service de journalisation système pour envoyer une copie des journaux à un serveur de journaux externe via un outil tiers (par exemple : rsyslog pour Linux et Windows Event Collector pour Windows).

La procédure exacte pour l’étape 2 des instructions ci-dessus dépend du système d’exploitation sur lequel votre version de Plesk est exécutée. Pour en savoir plus, consultez la documentation du fournisseur de votre système d’exploitation.

Ci-dessous, vous trouverez un exemple de configuration du service de journalisation système (syslog) dans Plesk pour Linux via rsyslog.

(Plesk pour Linux) Configurez syslog pour envoyer une copie des journaux à un serveur de journaux externe via rsyslog :

  1. Connectez-vous au serveur de journaux externe via SSH.

  2. Ajoutez les lignes suivantes au fichier /etc/rsyslog et enregistrez-le :

    module(load="imtcp")
    input(type="imtcp" port="514")
    
    local0.*  /var/log/pleskactions
    

    Note: Le serveur de journaux externe stockera une copie des enregistrements du Journal des actions Plesk dans le fichier /var/log/pleskactions.

  3. Redémarrez rsyslog en exécutant la commande suivante :

    systemctl restart rsyslog
    
  4. Connectez-vous au serveur Plesk.

  5. Ajoutez les lignes suivantes au fichier /etc/rsyslog et enregistrez-le :

    local0.* action(type="omfwd" target="<IP address of the external log server>" port="514" protocol="tcp")
    

    Par exemple :

    local0.* action(type="omfwd" target="192.0.2.1" port="514" protocol="tcp")
    
  6. Redémarrez rsyslog en exécutant la commande suivante :

    systemctl restart rsyslog
    

Plesk enverra désormais une copie des enregistrements du Journal des actions au serveur de journaux externe.