Rectorat de l`Académie de Nancy-Metz

Rectorat de l'Académie de Nancy-Metz
VIRUSSTAT v1.0
Version
Date
Opérations et Commentaires
V1.0
27/01/03
1ère version officielle du document.
Nom
Fonction
Laurent LE PRIEUR
Responsable du pôle de compétences Supervision
Virusstat – Racvision v1.0
Page 1/5
VIRUSSTAT v1.0
1) Présentation de VIRUSSTAT :
Virrustat permet de collecter et de produire des statistiques concernant l'activité virale du service de
messagerie.
Il s'agit de collecter les incidents sur le(s) mur(s) anti-virus de l'académie.
On dispose des agents de collectes sur les machines qui hébergent le produit Interscan VirusWall. Ces
agents de collectes analysent les logs d'interscan et font remonter les incidents dans une base de données
MySQL située sur la machine RACVISION.
Une interface www permet de consulter les incidents et les statistiques.
2) Implantation sur les serveurs :
Il convient au préalable d'identifier toutes les machines qui hébergent Interscan.
Etant donné que les collecteurs remontent les données dans la base MySQL de RacVision, il faut ouvrir les
différents firewall pour que les machines « interscan » puissent accéder au port 3306 (MySQL) de la
machine RacVision.
a) Préparation sur la machine RacVision :
Activer la base de données (à faire une seule fois) : service virusstats start
Se connecter sur phpMyAdmin (pour se faire cliquer sur le logo Racvision de la page d'accueil du serveur
puis phpMyAdmin).
Le login est root et le mot de passe est situé dans /etc/racvision/mysql/passwords/root
Cliquer sur le menu « Utilisateurs et priviléges »
Ajouter un utilisateur, un mot de passe pour la collecte , ceci pour chaque serveur sans aucun droit
particulier.
Virusstat – Racvision v1.0
Page 2/5
(Exemple d'utilisateur : virusrw)
Ajouter un utilisateur
Tout serveur
Tout utilisateur
aucun mot de
passe
Privilèges :
Select
Update
Create
Reload
Process
Grant
Index
Tout cocher
Serveur :
Nom
d'utilisateur :
Mot de passe :
pasteur.ac-nancy-metz.fr
virusrw
Entrer à nouveau :
Insert
Delete
Drop
Shutdown
File
References
Alter
Tout décocher
Exécuter
Répéter cette opération pour chaque serveur Interscan !!!
Ensuite dans la base mysql, donner à l'utilisateur virusrw (en précisant le nom du serveur interscan) les
droits : select, insert, update et delete sur la base virrustats.
Virusstat – Racvision v1.0
Page 3/5
Ensuite sélectionner la base virrustats et modifier la table configuration afin de préciser le nombre de
serveurs (champ : nb_virus_wall)
b) Préparation d'un mur anti-virus (opération à renouveller sur chaque mur)
Pré-requis : l'agent de collect est écrit en perl. La machine mur anti-virus doit donc disposer du langage
PERL, ainsi que des bibliothèques DBI et DBD-mysql qui permettent de communiquer avec une base de
donnée MySQL (sur RedHat 7.2 et 7.3 il vous est conseillé d'installer les RPMs correspondants en standard
sur la distribution).
L'agent de collecte est disponible en cliquant sur le logo racvision de la page d'accueil de votre serveur ou
sur http://racvision.orion.education.fr/telechargements
Installer l'agent de collecte (virusstat.tgz) dans /usr/local/racvision/virusstat par exemple.
Dans le répertoire virusstats on trouve :
répertoire conf : configuration de l'agent
répertoire result : les logs du dernier traitement
répertoire script : le script en perl qui analyse les logs et alimente la base de données
Exemple de configuration : /usr/local/racvision/virusstat/conf/virusstat.conf
######################################################
#
Configuration pour MYSQL
#
# appli_mysql_host: Adresse du serveur de l'application
# appli_mysql_port: Port de mysql de l'application
# appli_mysql_user: User utilisé pour l'application
# appli_mysql_pass: mot de passe du user pour l'application
# appli_mysql_db: nom de la base de données de l'application
#
#######################################################
appli_mysql_host racvision.in.ac-nancy-metz.fr
appli_mysql_port 3306
appli_mysql_user virusrw
appli_mysql_pass lemotdepassequejechoisi
appli_mysql_db virusstats
#######################################################
#
Configuration pour les logs
#
# virusdir: chemin d'accès au répertoire des logs du mur anti-virus.
#
séparteur / (slash) dans le style Unix
#######################################################
virusdir /var/log/iscan
Virusstat – Racvision v1.0
Page 4/5
Le script virusstat.sh (/usr/local/racvision/virusstat/virusstat.sh), permet de lancer l'agent de collecte. Ce
script sera lancé toute les nuits à 00h10 du matin par exemple.
Editer /etc/crontab
# Insertion des incidents VIRUS dans la Base de données MySQL de Racvision
10 0 * * * root /usr/local/racvision/virusstat/virusstat.sh
Il collectera les données présentes dans les logs depuis la mise en place du mur anti-virus jusqu'à la veille.
IMPORTANT : Les fichiers de logs d'Interscan doivent avoir un nom du style :
virus.log.AAAA.MM.JJ
Vous pouvez utiliser la commande rename (n'oubliez pas de modifier le style des fichiers dans votre
Viruswall /etc/iscan/interscan.ini pour que la nouvelle appelation des fichiers de logs soit prise en compte)
Dans interscan.ini
virus_log=/var/log/iscan/virus.log
Virusstat – Racvision v1.0
Page 5/5