Installation et gestion d`un serveur de log avec rsyslog, mysql et

1
Installation et gestion d’un serveur de log avec rsyslog, mysql
et loganalyzer
Un réseau est constitué de nombreux équipements actifs tels des switchs, des pare feu et bien sûr
des postes. Tous ces équipements génèrent des journaux d’activité rendant compte de divers
évènements (connexions, changement d’adresse, etc…). Ces journaux ou logs sont formatés d’une
certaine façon qui les rend difficilement lisibles. D’autre part les logs sont éparpillés sur le réseau ce
qui a pour conséquence de devoir être sur le périphérique qui émet ces logs pour les consulter. De
ces constatations on en déduit une solution simple à savoir : la centralisation des logs sur un seul et
même serveur. Une fois le problème de la centralisation résolu il faut ensuite en venir à l’exploitation
de ces logs. On va donc voir ce qu’il est possible de faire avec rsyslog et une interface web:
LogAnalyzer.
Pré-requis : Avoir un serveur web Linux fonctionnel.
Installation
Pour commencer installer Rsyslog
Rsyslog est le daemon de journalisation par défaut de ubuntu, il n’est donc pas nécessaire de
l’installer. Par contre il faut installer rsyslog-mysql :
#apt-get install rsyslog-mysql
Il faut maintenant configurer la base :
Simon Fesnien
Mars 2014
2
Simon Fesnien
Mars 2014
3
Tester la base de données :
Donner les droits à l’utilisateur rsyslog sur la table Syslog :
Simon Fesnien
Mars 2014
4
Configuration rsyslog :
Editer le fichier /etc/rsyslog.conf :
#vim /etc/rsyslog.conf
Dé commenter ces lignes :
Vérifier la configuration du fichier /etc/rsyslog.d/mysql.conf :
Remplacer « password » par le mot de passe défini pour accéder à la base Syslog.
Redémarrer rsyslog :
Installation de LogAnalyzer
Télécharger le paquet à cette adresse : http://download.adiscon.com/loganalyzer/loganalyzer3.6.3.tar.gz
Ou en ligne de commande :
# wget http://download.adiscon.com/loganalyzer/loganalyzer-3.6.3.tar.gz
Décompresser l’archive :
# tar –xvzf loganalyzer-3.6.3.tar.gz
Simon Fesnien
Mars 2014
5
Déplacer le dossier obtenu à la racine du serveur web :
# mv loganalyzer-3.6.3 /var/www
Donner les permissions à ces deux fichiers : secure.sh et configure.sh puis lancer ce dernier :
Il est maintenant possible de se connecter à l’interface web de LogAnalyzer via un navigateur. Entrer
l’adresse l’adresse IP du serveur de log suivi de « /loganalyser »
Simon Fesnien
Mars 2014
6
Cliquer sur « yes » à « enable user database » et remplir les informations de connexion de la base de
donnée rsyslog. Cliquer sur « yes » à « require user to be logged in ».
Créer un utilisateur pour se connecter à l’interface graphique de LogAnalyzer.
Sélectionner « MYSQL Native » dans le menu déroulant de « Source Type » puis renseigner les
informations de connexions de la base de données de rsyslog puis cocher « yes » à « Enable row
counting ».
Simon Fesnien
Mars 2014
7
Page d’accueil de LogAnalyzer : (login : rsyslog / MDP : password)
Paramétrage des clients :
Sur chaque client à paramétrer, éditer le fichier etc/rsyslog.conf puis ajouter cette ligne à la fin du
fichier :
*.*
Simon Fesnien
@<ip_du_serveur> :514
Mars 2014