Rectorat de l`Académie de Nancy-Metz
Transcription
Rectorat de l`Académie de Nancy-Metz
Rectorat de l'Académie de Nancy-Metz VIRUSSTAT v1.0 Version Date Opérations et Commentaires V1.0 27/01/03 1ère version officielle du document. Nom Fonction Laurent LE PRIEUR Responsable du pôle de compétences Supervision Virusstat – Racvision v1.0 Page 1/5 VIRUSSTAT v1.0 1) Présentation de VIRUSSTAT : Virrustat permet de collecter et de produire des statistiques concernant l'activité virale du service de messagerie. Il s'agit de collecter les incidents sur le(s) mur(s) anti-virus de l'académie. On dispose des agents de collectes sur les machines qui hébergent le produit Interscan VirusWall. Ces agents de collectes analysent les logs d'interscan et font remonter les incidents dans une base de données MySQL située sur la machine RACVISION. Une interface www permet de consulter les incidents et les statistiques. 2) Implantation sur les serveurs : Il convient au préalable d'identifier toutes les machines qui hébergent Interscan. Etant donné que les collecteurs remontent les données dans la base MySQL de RacVision, il faut ouvrir les différents firewall pour que les machines « interscan » puissent accéder au port 3306 (MySQL) de la machine RacVision. a) Préparation sur la machine RacVision : Activer la base de données (à faire une seule fois) : service virusstats start Se connecter sur phpMyAdmin (pour se faire cliquer sur le logo Racvision de la page d'accueil du serveur puis phpMyAdmin). Le login est root et le mot de passe est situé dans /etc/racvision/mysql/passwords/root Cliquer sur le menu « Utilisateurs et priviléges » Ajouter un utilisateur, un mot de passe pour la collecte , ceci pour chaque serveur sans aucun droit particulier. Virusstat – Racvision v1.0 Page 2/5 (Exemple d'utilisateur : virusrw) Ajouter un utilisateur Tout serveur Tout utilisateur aucun mot de passe Privilèges : Select Update Create Reload Process Grant Index Tout cocher Serveur : Nom d'utilisateur : Mot de passe : pasteur.ac-nancy-metz.fr virusrw Entrer à nouveau : Insert Delete Drop Shutdown File References Alter Tout décocher Exécuter Répéter cette opération pour chaque serveur Interscan !!! Ensuite dans la base mysql, donner à l'utilisateur virusrw (en précisant le nom du serveur interscan) les droits : select, insert, update et delete sur la base virrustats. Virusstat – Racvision v1.0 Page 3/5 Ensuite sélectionner la base virrustats et modifier la table configuration afin de préciser le nombre de serveurs (champ : nb_virus_wall) b) Préparation d'un mur anti-virus (opération à renouveller sur chaque mur) Pré-requis : l'agent de collect est écrit en perl. La machine mur anti-virus doit donc disposer du langage PERL, ainsi que des bibliothèques DBI et DBD-mysql qui permettent de communiquer avec une base de donnée MySQL (sur RedHat 7.2 et 7.3 il vous est conseillé d'installer les RPMs correspondants en standard sur la distribution). L'agent de collecte est disponible en cliquant sur le logo racvision de la page d'accueil de votre serveur ou sur http://racvision.orion.education.fr/telechargements Installer l'agent de collecte (virusstat.tgz) dans /usr/local/racvision/virusstat par exemple. Dans le répertoire virusstats on trouve : répertoire conf : configuration de l'agent répertoire result : les logs du dernier traitement répertoire script : le script en perl qui analyse les logs et alimente la base de données Exemple de configuration : /usr/local/racvision/virusstat/conf/virusstat.conf ###################################################### # Configuration pour MYSQL # # appli_mysql_host: Adresse du serveur de l'application # appli_mysql_port: Port de mysql de l'application # appli_mysql_user: User utilisé pour l'application # appli_mysql_pass: mot de passe du user pour l'application # appli_mysql_db: nom de la base de données de l'application # ####################################################### appli_mysql_host racvision.in.ac-nancy-metz.fr appli_mysql_port 3306 appli_mysql_user virusrw appli_mysql_pass lemotdepassequejechoisi appli_mysql_db virusstats ####################################################### # Configuration pour les logs # # virusdir: chemin d'accès au répertoire des logs du mur anti-virus. # séparteur / (slash) dans le style Unix ####################################################### virusdir /var/log/iscan Virusstat – Racvision v1.0 Page 4/5 Le script virusstat.sh (/usr/local/racvision/virusstat/virusstat.sh), permet de lancer l'agent de collecte. Ce script sera lancé toute les nuits à 00h10 du matin par exemple. Editer /etc/crontab # Insertion des incidents VIRUS dans la Base de données MySQL de Racvision 10 0 * * * root /usr/local/racvision/virusstat/virusstat.sh Il collectera les données présentes dans les logs depuis la mise en place du mur anti-virus jusqu'à la veille. IMPORTANT : Les fichiers de logs d'Interscan doivent avoir un nom du style : virus.log.AAAA.MM.JJ Vous pouvez utiliser la commande rename (n'oubliez pas de modifier le style des fichiers dans votre Viruswall /etc/iscan/interscan.ini pour que la nouvelle appelation des fichiers de logs soit prise en compte) Dans interscan.ini virus_log=/var/log/iscan/virus.log Virusstat – Racvision v1.0 Page 5/5