LogAnalyzer - ovo je web aplikacija dizajnirana za pregled zapisnika sistemskih događaja primljenih iz syslog-a putem web-preglednika. Rsyslog - ova aplikacija je proširenje standardnog demona syslog, od kojih je jedna od značajki mogućnost spremanja događaja u MySQL bazu podataka. Uz pomoć ova dva prekrasna programa moguće je stvoriti centralizirani poslužitelj na kojem će se preusmjeravati svi događaji s različitih uređaja u mreži, koji bi implementirali funkcije za praktično arhiviranje i traženje događaja iz svih događaja na svim mrežnim uređajima u mrežnom obodu. U ovom ću članku opisati postupak instaliranja rsyslog (prikupljanje i združivanje syslog događaja) i LogAnalyzer (na Linuxu CentOS), koji pruža korisničko sučelje za gledanje i pretraživanje prikupljenih zapisnika).
Prvo morate instalirati brojne dodatne RPM pakete. jer Usluge LogAnalyzer, Rsyslog i MySQL pokrenut će se na istom poslužitelju, morate instalirati sljedeće pakete koristeći yum:
# yum instalirajte httpd php mysql php-mysql mysql-server wget rsyslog rsyslog-mysql
Sada morate biti sigurni da su MySQL i Apache konfigurirani za automatsko pokretanje i pokrenite ih:
# chkconfig mysqld na # chkconfig httpd na # servisu mysqld start # usluga httpd start
Po defaultu, korijenski korisnik baze podataka MySQL ima praznu lozinku, tako da biste trebali osigurati konfiguraciju postavljanjem nove lozinke:
# mysqladmin - u root lozinka NewPassword
Zatim uvezite shemu baze podataka rsyslog u MySQL. Ovisno o verziji rsyslog, promijenite put do datoteke "createDB.sql".
# mysql - u korijen - str < /usr/share/doc/rsyslog-mysql-3.22.1/createDB.sql
Dobra je praksa ograničiti pristup aplikaciji bazi podataka, pa ćemo stvoriti posebnog korisnika koji će pristupiti rsyslog bazi podataka. Da biste dodatno pooštrili sigurnosne postavke, možete stvoriti zasebne račune za rsyslog i LogAnalyzer. Morate omogućiti rsyslog korisničkom pristupu MySQL bazi podataka samo iz localhost localhost sučelja. Također moramo izvršiti MySQL naredbu "ispiranje privilegija" da odmah primijenimo sva prava.
# mysql - u root - p mysql mysql> PODELI SVE NA Syslog. * TO rsyslog @ localhost IDENTIFIKIRANO 'lozinkom'; mysql> ispiranje privilegija; mysql> izlaz
Sada je vrijeme za prelazak na uređivanje datoteke /etc/rsyslog.conf. Ovdje moramo konfigurirati prosljeđivanje syslog poruke u MySQL bazu podataka. Prva naredba učitava MySQL pogonitelj. U drugom retku kažemo da je potrebno prihvatiti zapisnike bilo koje razine važnosti od "authpriv", što uključuje najvažnije poruke. Ako želite spremiti sve sistemske poruke u MySQL, morate navesti *. *. Moj poslužitelj baze podataka MySQL sluša na adresi 127.0.0.1, Syslog je ime MySQL baze podataka, i na kraju odredimo MySQL ime i lozinku korisnika rsyslog. Ovdje možete konfigurirati prikupljanje i snimanje bilo koje poruke, svaka kombinacija mora biti odvojena ";" (npr. mail. *; authpriv. *: ommysql ...).
$ ModLoad ommysql authpriv. *: Ommysql: 127.0.0.1, Syslog, rsyslog, Lozinka
Sada morate isključiti postojeću syslog uslugu i omogućiti rsyslog:
# chkconfig syslog isključen # servis syslog stop # chkconfig rsyslog na # servisu rsyslog start
Vrijeme je za preuzimanje LogAnalyzer. Najnoviju verziju možete pronaći ovdje: http://loganalyzer.adiscon.com/downloads.
Ili preuzmite LogAnalyzer izravno s Linux poslužitelja (wget mora biti instaliran):
# cd ~ # wget http://download.adiscon.com/loganalyzer/loganalyzer-3.0.0.tar.gz
Otpakujte datoteke LogAnalyzer:
# tar zxvf loganalyzer-3.0.0.tar.gz
Sada morate kopirati datoteke LogAnalyzer u direktorij web poslužitelja Apache (standardni config).
# mv loganalyzer-3.0.0 / src / var / www / html / loganalyzer # mv loganalyzer-3.0.0 / contrib / * / var / www / html / loganalyzer /
Idite u stvoreni direktorij LogAnalyzer, pokrenite skriptu configure.sh. Kao rezultat, stvorit će se prazna konfiguracijska datoteka config.php koja će se popuniti u sljedećim koracima.
# cd / var / www / html / loganalyzer # chmod u + x configure.sh secure.sh # ./configure.sh
Za daljnju konfiguraciju LogAnalyzer potreban nam je web preglednik. U svoj omiljeni internetski preglednik upišite http: // web1 / loganalyzer. (web1 je naziv našeg web1 poslužitelja, loganalyzer je direktorij apache)
U sredini prozora odaberite vezu "Kliknite ovdje za instalaciju".
sljedeći.
Konfigurirajte opcije prikaza dnevnika i ponovo kliknite Dalje.
Sada morate odrediti adresu poslužitelja s bazom podataka, korisničkim imenom i zaporkom da biste joj pristupili (ako niste zaboravili bazu podataka naziva se rsyslog). Klikom na Dalje (Dalje) vidjet ćete rezultat provjere ispravnosti unesenih podataka i ispravne veze.
Napokon završite.
U slučaju da ste ispravno sve konfigurirali, ispred vas će se pojaviti glavna stranica LogAnalyzer, na kojoj će se zapisnici prikazivati kako su primljeni. Možete pokušati generirati različite sistemske događaje i vidjeti što će se dogoditi na stranici LogAnalyzer. jer Postavljao sam evidenciju događaja tipa "authpriv", što znači da će se zabilježiti događaji poput korisničkog unosa / izlaza ili naredbe korisničke sklopke (su).
podešavanje Rsyslog za daljinsko prikupljanje dnevnika
Sljedeći je korak konfiguriranje usluge rsyslog za prikupljanje syslog događaja s različitih mrežnih uređaja. Najprije morate konfigurirati i vatrozid iptables-a kako bi omogućio dolazni promet kroz ulaz 514. Ja ću dodati dva pravila koja omogućuju i TCP i UDP promet. Syslog prema zadanim postavkama prihvaća samo poruke poslane na UDP port 514, ali mogućnost prihvaćanja TCP prometa dodana je u rsyslog. U datoteku "/ etc / sysconfig / iptables" dodajte sljedeća pravila:
-A RH-vatrozid-1-ULAZ - p udp - m udp --portport 514 - j PRIHVAT
-A RH-vatrozid-1-ULAZ - p tcp - m tcp --portport 514 - j PRIJEM
Ponovo pokrenite iptables:
Ponovo pokrenuti iptables usluge
Sada morate konfigurirati rsyslog za primanje dolaznih syslog poruka. Konfigurirat ću TCP / UDP primanje poruka od localhosta i svih domaćina na podmreži 192.168.1.0. Sljedeće retke treba dodati u datoteku “/etc/rsyslog.conf” (prije izgradnje, gdje je konfigurirana komunikacija s MySQL bazom podataka).
$ AllowedSender UDP, 127.0.0.1, 192.168.1.0/24
$ AllowedSender TCP, 127.0.0.1, 192.168.1.0/24
Ne zaboravite ponovo pokrenuti rsyslog uslugu na centralnom poslužitelju zapisnika:
# servis ponovno pokretanje rsyslog
Sljedeći je korak konfiguriranje udaljenih klijenata za slanje događaja na centralni rsyslog poslužitelj. Ako se rsyslog pokreće na klijentu, na primjer, dodajte sljedeći redak u datoteku "/etc/rsyslog.conf":
authpriv. * @ 192.168.10.100
Ponovno pokrenite rsyslog poslužitelj na klijentu i pokušajte se prijaviti / odjaviti na ovom sustavu. Ako ništa ne propustite, odgovarajući događaj pojavit će se na web stranici LogAnalyzer!
Također preporučujem upoznavanje sa člankom o organizaciji centralnog poslužitelja dnevnika temeljen na Windows Server 2008
