Installation et gestion d`un serveur de log avec rsyslog, mysql et
Transcription
Installation et gestion d`un serveur de log avec rsyslog, mysql et
1 Installation et gestion d’un serveur de log avec rsyslog, mysql et loganalyzer Un réseau est constitué de nombreux équipements actifs tels des switchs, des pare feu et bien sûr des postes. Tous ces équipements génèrent des journaux d’activité rendant compte de divers évènements (connexions, changement d’adresse, etc…). Ces journaux ou logs sont formatés d’une certaine façon qui les rend difficilement lisibles. D’autre part les logs sont éparpillés sur le réseau ce qui a pour conséquence de devoir être sur le périphérique qui émet ces logs pour les consulter. De ces constatations on en déduit une solution simple à savoir : la centralisation des logs sur un seul et même serveur. Une fois le problème de la centralisation résolu il faut ensuite en venir à l’exploitation de ces logs. On va donc voir ce qu’il est possible de faire avec rsyslog et une interface web: LogAnalyzer. Pré-requis : Avoir un serveur web Linux fonctionnel. Installation Pour commencer installer Rsyslog Rsyslog est le daemon de journalisation par défaut de ubuntu, il n’est donc pas nécessaire de l’installer. Par contre il faut installer rsyslog-mysql : #apt-get install rsyslog-mysql Il faut maintenant configurer la base : Simon Fesnien Mars 2014 2 Simon Fesnien Mars 2014 3 Tester la base de données : Donner les droits à l’utilisateur rsyslog sur la table Syslog : Simon Fesnien Mars 2014 4 Configuration rsyslog : Editer le fichier /etc/rsyslog.conf : #vim /etc/rsyslog.conf Dé commenter ces lignes : Vérifier la configuration du fichier /etc/rsyslog.d/mysql.conf : Remplacer « password » par le mot de passe défini pour accéder à la base Syslog. Redémarrer rsyslog : Installation de LogAnalyzer Télécharger le paquet à cette adresse : http://download.adiscon.com/loganalyzer/loganalyzer3.6.3.tar.gz Ou en ligne de commande : # wget http://download.adiscon.com/loganalyzer/loganalyzer-3.6.3.tar.gz Décompresser l’archive : # tar –xvzf loganalyzer-3.6.3.tar.gz Simon Fesnien Mars 2014 5 Déplacer le dossier obtenu à la racine du serveur web : # mv loganalyzer-3.6.3 /var/www Donner les permissions à ces deux fichiers : secure.sh et configure.sh puis lancer ce dernier : Il est maintenant possible de se connecter à l’interface web de LogAnalyzer via un navigateur. Entrer l’adresse l’adresse IP du serveur de log suivi de « /loganalyser » Simon Fesnien Mars 2014 6 Cliquer sur « yes » à « enable user database » et remplir les informations de connexion de la base de donnée rsyslog. Cliquer sur « yes » à « require user to be logged in ». Créer un utilisateur pour se connecter à l’interface graphique de LogAnalyzer. Sélectionner « MYSQL Native » dans le menu déroulant de « Source Type » puis renseigner les informations de connexions de la base de données de rsyslog puis cocher « yes » à « Enable row counting ». Simon Fesnien Mars 2014 7 Page d’accueil de LogAnalyzer : (login : rsyslog / MDP : password) Paramétrage des clients : Sur chaque client à paramétrer, éditer le fichier etc/rsyslog.conf puis ajouter cette ligne à la fin du fichier : *.* Simon Fesnien @<ip_du_serveur> :514 Mars 2014