LogAnalyzer - ez egy olyan webalkalmazás, amelyet arra terveztek, hogy a böngészővel megtekintse a syslog-ból kapott rendszer események naplóit. Rsyslog - ez az alkalmazás a szokásos syslog démon kiterjesztése, amelynek egyik jellemzője az a lehetőség, hogy eseményeket mentsünk a MySQL adatbázisba. E két csodálatos program segítségével létrehozható egy központi kiszolgáló, ahol a hálózat különféle eszközeiről minden esemény átirányításra kerül, amely olyan funkciókat valósít meg, amelyek kényelmesek archiválására és események keresésére az összes eseménytől a hálózati kerület minden hálózati eszközén. Ebben a cikkben leírom az rsyslog (a syslog események gyűjtése és összesítése) és a LogAnalyzer (Linux CentOS) telepítését, amely felhasználóbarát felületet biztosít a gyűjtött naplók megtekintésére és keresésére).
Először telepítenie kell számos további RPM-csomagot. mert A LogAnalyzer, az Rsyslog és a MySQL szolgáltatások ugyanazon a szerveren futnak, telepítenie kell a következő csomagokat a yum használatával:
# yum telepíteni httpd php mysql php-mysql mysql-szerver wget rsyslog rsyslog-mysql
Most ellenőriznie kell, hogy a MySQL és az Apache automatikusan elindult-e, és futtassa őket:
# chkconfig mysqld # chkconfig httpd on # service mysqld start # service httpd start
Alapértelmezés szerint a MySQL adatbázis gyökér felhasználója üres jelszóval rendelkezik, ezért a konfigurációt új jelszó megadásával kell biztonságosítania:
# mysqladmin - u root jelszó NewPassword
Ezután importálja az rsyslog adatbázis sémát a MySQL-be. Az rsyslog verziójától függően módosítsa az „createDB.sql” fájl elérési útját.
# mysql - u gyökér - p < /usr/share/doc/rsyslog-mysql-3.22.1/createDB.sql
Jó gyakorlat az alkalmazások adatbázishoz való hozzáférésének korlátozása, ezért létrehozunk egy speciális felhasználót az rsyslog adatbázis eléréséhez. A biztonsági beállítások további szigorítása érdekében külön fiókot hozhat létre az rsyslog és a LogAnalyzer számára. Az rsyslog felhasználói hozzáférést a MySQL adatbázishoz csak a localhost localhost felületről kell biztosítani. Az összes jog azonnali érvényesítéséhez a MySQL „flush privilegies” parancsot is végre kell hajtanunk.
# mysql - u gyökér - p mysql mysql> MINDEN MEGADÁSOT A Syslog-on. * rsyslog @ localhost 'Jelszóval AZONOSÍTOTT; mysql> flush privilégiumok; mysql> kilépés
Itt az ideje, hogy továbblépjünk az /etc/rsyslog.conf fájl szerkesztésére. Itt kell beállítanunk a syslog üzenet továbbítását a MySQL adatbázisba. Az első parancs betölti a MySQL illesztőprogramot. A második sorban azt mondjuk, hogy el kell fogadni az "authpriv" -től bármilyen fontosságú naplót, amely magában foglalja a legfontosabb üzeneteket. Ha az összes rendszerüzenetet el szeretné menteni a MySQL-be, meg kell adnia a *. * -Ot. A MySQL adatbázis-kiszolgáló a 127.0.0.1 címen hallgat, a Syslog a MySQL adatbázis neve, és végül meghatározzuk az rsyslog felhasználó MySQL nevét és jelszavát. Itt konfigurálhatja az üzenetek gyűjtését és rögzítését, minden egyes kombinációt el kell választani ";" (például mail. *; authpriv. *: ommysql ...).
$ ModLoad ommysql authpriv. *: Ommysql: 127.0.0.1, Syslog, rsyslog, Password
Most ki kell kapcsolnia a meglévő syslog szolgáltatást, és engedélyeznie kell az rsyslog szolgáltatást:
# chkconfig syslog off # service syslog stop # chkconfig rsyslog on # service rsyslog start
Ideje letölteni a LogAnalyzer alkalmazást. A legújabb verzió itt található: http://loganalyzer.adiscon.com/downloads.
Vagy töltse le a LogAnalyzer szoftvert közvetlenül egy Linux szerverről (a programot telepíteni kell):
# cd ~ # wget http://download.adiscon.com/loganalyzer/loganalyzer-3.0.0.tar.gz
Bontsa ki a LogAnalyzer fájlokat:
# tar zxvf loganalyzer-3.0.0.tar.gz
Most át kell másolnia a LogAnalyzer fájlokat az Apache webkiszolgáló könyvtárába (szokásos konfiguráció).
# mv loganalyzer-3.0.0 / src / var / www / html / loganalyzer # mv loganalyzer-3.0.0 / hozzájárul / * / var / www / html / loganalyzer /
Lépjen a létrehozott LogAnalyzer könyvtárba, futtassa a configure.sh szkriptet. Ennek eredményeként létrejön egy üres config.php konfigurációs fájl, amelyet a következő lépésekben kitöltenek.
# cd / var / www / html / loganalyzer # chmod u + x configure.sh secure.sh # ./configure.sh
A LogAnalyzer további konfigurálásához webböngészőre van szükségünk. Írja be a kedvenc Internet böngészőbe a http: // web1 / loganalyzer parancsot. (a web1 a web1 szerverünk neve, a loganalyzer az apache könyvtár)
Az ablak közepén válassza ki a „Kattintson ide a telepítéshez” linket..
következő.
Konfigurálja a naplómegjelenítési beállításokat, majd kattintson újra a Tovább gombra.
Most meg kell adnia a kiszolgáló címét az adatbázis, a felhasználónév és a jelszó segítségével annak eléréséhez (ha még nem felejtette el, az adatbázist rsyslog néven hívják meg). A Tovább gombra kattintva megjelenik a bevitt adatok helyességének és a helyes kapcsolat ellenőrzésének eredménye.
Végül befejezni.
Abban az esetben, ha mindent helyesen konfigurált, akkor előtted megjelenik a LogAnalyzer főoldal, amelyen a naplók megjelennek, ahogyan azok beérkeztek. Megpróbálhat különféle rendszereseményeket generálni, és megnézheti, mi fog történni a LogAnalyzer oldalon. mert Beállítottam az „authpriv” típusú eseménynaplót, ami azt jelenti, hogy az események, például a felhasználói bemenet / kimenet vagy a felhasználói kapcsoló (su) parancs naplózódnak..
beállítás Rsyslog távoli naplógyűjtéshez
A következő lépés az rsyslog szolgáltatás konfigurálása, hogy összegyűjtse a syslog eseményeket különböző hálózati eszközökről. Először be kell állítania az iptable tűzfalat, hogy engedélyezze a bejövő forgalmat az 514-es porton keresztül. Két szabályt adok hozzá, amelyek megengedik mind a TCP, mind az UDP forgalmat. Alapértelmezés szerint a syslog csak az 514 UDP porton küldött üzeneteket fogadja el, de az rsyslog hozzátette a TCP forgalom elfogadásának képességét. Adja hozzá a következő szabályokat az “/ etc / sysconfig / iptables” fájlhoz:
-RH-tűzfal-1-INPUT - p udp - m udp --dd 514 - j ACCEPT
-RH-tűzfal-1-INPUT - p tcp - m tcp --dd 514 - j ACCEPT
Indítsa újra az iptables:
# service iptables újraindul
Most be kell állítania az rsyslog-t a bejövő syslog-üzenetek fogadására. Konfigurálom a TCP / UDP üzenet vételét a localhost és a 192.168.1.0 alhálózat összes gazdagépén. A következő sorokat kell hozzáadni az „/etc/rsyslog.conf” fájlhoz (az épület létrehozása előtt, ahol a MySQL adatbázis kommunikációja konfigurálva volt).
$ AllowedSender UDP, 127.0.0.1, 192.168.1.0/24
$ AllowedSender TCP, 127.0.0.1, 192.168.1.0/24
Ne felejtse el újraindítani az rsyslog szolgáltatást a központi naplózási szerveren:
# szolgáltatás rsyslog újraindítása
A következő lépés a távoli ügyfelek konfigurálása az események küldésére a központi rsyslog szerverre. Ha például az rsyslog fut az ügyfélen, akkor adja hozzá a következő sort a „/etc/rsyslog.conf” fájlhoz:
authpriv. * @ 192.168.10.100
Indítsa újra az rsyslog szervert az ügyfélen, és próbáljon be vagy ki jelentkezni ezen a rendszeren. Ha nem marad le semmiről, akkor a megfelelő esemény megjelenik a LogAnalyzer weboldalon!
Azt is javaslom, hogy ismerkedjenek meg a Windows Server 2008 alapú központi naplószerver szervezéséről szóló cikkel
