No Image

Loganalyzer rsyslog centos 7

СОДЕРЖАНИЕ
729 просмотров
10 марта 2020

LogAnalyzer – это web приложение, которое предназначено для просмотра логов системных событий, полученных от syslog, при помощи веб-браузера. Rsyslog – это приложение, представляющее собой расширение стандартного демона syslog, одной из особенностью которого является возможность сохранять события в БД MySQL. При помощи этих двух замечательных программ, возможно создать централизованный сервер, куда будут перенаправляться все события от различных устройств в сети, который бы реализовывал функции по удобному архивированию и поиску событий по всем событиям на всех сетевых устройствах в периметре сети. В данной статье я опишу процедуру установки на Linux CentOS службы rsyslog (сбор и агрегирование событий syslog) и LogAnalyzer (предоставляет дружественный интерфейс для просмотра и поиска по собранным логам).

Сначал необходимо установить ряд дополнительных пакетов RPM. Т.к. службы LogAnalyzer, Rsyslog и MySQL будут работать на одном сервере, нужно установить следующие пакеты с помощью yum:

Теперь нужно удостоверится, что MySQL и Apache настроены на автоматический запуск, после чего запустим их:

По умолчанию, пользователь root БД MySQL, имеет пустой пароль, поэтому следует обезопасить конфигурацию, задав новый пароль:

Далее импортируем схему базы данных rsyslog в MySQL. В зависимости от версии rsyslog, измените путь к файлу “createDB.sql”.

Хорошим тоном считается ограничение доступа приложений к базе данных, поэтому мы создадим специального пользователя для доступа к БД rsyslog. Для ещё большего затягивания настроек безопасности, можно создать отдельные учетные записи для rsyslog и LogAnalyzer. Необходимо предоставить доступ пользователя rsyslog к базе MySQL только с локального интерфейса localhost. Также мы должны выполнить MySQL команду “flush privileges” для немедленного применения всех прав.

Теперь пора перейти к редактированию файла”/etc/rsyslog.conf”. Здесь мы должны настроить пересылку сообщений syslog в базу данных MySQL. Первая команда загружает драйвер MySQL. Во второй строке мы говорим, что необходимо принимать логи любого уровня важности от “authpriv”, куда включены большинство важных сообщений. Если необходимо сохранять все системные сообщения в MySQL, нужно указать *.*. Мой сервер БД MySQL слушает на адресе 127.0.0.1, Syslog – это имя базы MySQL, и, наконец, указываем имя и пароль MySQL пользователя rsyslog. Здесь можно настроить сбор и запись любых сообщений, каждую комбинацию нужно отделять «;» (например, mail.*;authpriv.* : ommysql…).

Сейчас нужно выключить существующую службу syslog и включить rsyslog:

Настала пора скачать LogAnalyzer. Последнюю версию можно найти тут: http://loganalyzer.adiscon.com/downloads.

Или скачать LogAnalyzer прямо с Linux сервера (должен быть установлен wget):

Распакуем файлы LogAnalyzer:

Теперь нужно скопировать файлы LogAnalyzer в каталог веб-сервера Apache (стандартный конфиг).

Перейдите в созданный каталог LogAnalyzer, запустите скрипт configure.sh. В результате создастся пустой файл конигурации config.php, который наполнится в следующих шагах.

Для дальнейшей настройки LogAnalyzer нам понадобится веб-браузер. В любимом интернет-браузере наберите http://web1/loganalyzer. (web1 – имя нашего web1 сервера, loganalyzer – каталог apache)

В середине окна выберите ссылку “Click here to Install”.

Настройте параметры отображения журналов и опять нажмите Next.

Теперь нужно указать адрес сервера с базой данных, имя пользователя и пароль для доступа к ней (если вы не забыли БД называется rsyslog). Нажав кнопку Next, вы увидите результат проверки правильности введенных данных и корректность подключения.

В том случае, если вы настроили все правильно, перед вами появится главная страница LogAnalyzer, на которой по мере получения будут отображаться логи. Можете попробовать сгенерировать различные системные события и посмотреть что будет происходить на страничке LogAnalyzer. Т.к. я настроил логирование событий типа “authpriv”, это означает, что в лог будут попадать такие события, как вход/выход пользователя, или же вызов команды переключения пользователя (su).

Настройка Rsyslog для удаленного сбора логов

Следующий шаг – настройка службы rsyslog для сбора событий syslog с различных сетевых устройств. Сначала необходимо сконфигурировать сетевой экран iptables, чтобы он пропускал входящий трафик по 514 порту. Я добавлю два правила, разрешающих как TCP, так и UDP трафик. По умолчанию syslog принимает только сообщения, отправленные по порту 514 UDP, однако в rsyslog добавлена возможность принимать и TCP трафик. Добавьте в файл “/etc/sysconfig/iptables” следующие правила:

Теперь нужно настроить rsyslog для приема входящих сообщений syslog. Я настрою прием сообщений по TCP/ UDP от localhost и всех хостов в подсети 192.168.1.0. В файл “/etc/rsyslog.conf” нужно добавить следующие строки (перед стройкой, где настраивалась связь с базой MySQL).

Читайте также:  Как включить airdrop на mac

Не забудьте перезапустить службу rsyslog на центральном сервере ведения логов:

Следующий этап – настройка удаленных клиентов для отправки событий на центральный сервер rsyslog. Если на клиенте запущен rsyslog, в файл “/etc/rsyslog.conf” необходимо добавить, например, следующую строку:

Перезапустите сервер rsyslog на клиенте и попробуйте зайти/выйти на данную систему. Если вы ничего не упустили, на веб странице LogAnalyzer появится соответствующее событие!

Также рекомендую познакомится со статьей об организации центрального сервера логов на базе Windows Server 2008

Установка Rsyslog и Loganalyzer на Redhat/CentOS/Fedora

Rsyslog — является очень-быстрой системой для обработки логов в системе. Он предоставляет высокую производительность, большие возможности безопасности и модульную конструкцию. Его расширенная версия — Syslog. Rsyslog также поддерживает базы данных (MySQL, PostgreSQL) для хранения логов.

LogAnalyzer — это программа, написанная на C # (и, таким образом, который нуждается в .NET 3.5 Framework), способный анализировать отчеты (логи), созданные многими диагностическими инструментами (HijackThis, ZHPDiag, OTL, …). Этот инструмент не является полным анализатором, он только дает подсказки и выполняет фильтрует, чтобы быстро найти то, что может быть подозрительным или вредоносным. Это для продвинутых пользователей!

Установка Rsyslog и Loganalyzer на Redhat/CentOS/Fedora

В теме «Установка Rsyslog и Loganalyzer на Redhat/CentOS/Fedora» поговорим о том как можно настроить rsyslog, loganalyzer на CentOS, RedHat или Fedora.

Шаг 1. Установим первым делом веб-сервер, сервер MySQL и пхп:

Шаг 2. Установка Rsyslog на сервер:

Шаг 3. Сейчас нужно позапускать все установленные услуги.

Шаг 4. Добавим мы теперь их в автозагрузку ОС.

Добавляем в автозапуск rsylog:

Добавляем в автозапуск apache:

Добавляем в автозапуск mysql

Нужно установить пароль для mysql ( если у вас уже установлен и настроен, то не нужно этого делать):

Шаг 5. Изменим команду DB для Rsyslog и создадим DB для rsysdb:

Создаем БД, выполнив команду:

Вводим пароль от пользователя «root» в mysql.

Шаг 6. Создание конфига для rsyslog (Но для начала, я сделаю копию данного конфига):

И немного видоизменяем его:

Если не будет работать, то следующую строку:

PS: Если включен SELinux, то необходимо выполнить одно из следующий действий:

  • Выключить SELinux на сервере. Вот статья — Как отключить SELinux на CentOS?
  • Пробросить службу, 514 порт в SELinux

И, если используется фаервол на сервере, необходимо пробросить порт, например ( как это с iptables):

Шаг 7. Нужно остановить системный журнал (syslog ), если у вас есть он:

Уберем его с автозагрузки:

Шаг 8. Нужно на данном этапе загрузить и установить LogAnalyzer, для этого.

Скачиваем с сайта архив:

Распаковываем мы его командой:

Шаг 9. Создание config.php по configure.sh

Выставим права и запустим скрипт:

Шаг 10. Перезагружаем наши установленные сервисы.

Шаг 11. Переходим в браузер на настраиваем LogAnalyzer для вашей системы.
http://your_domail_or_IP_server/loganalyser/

Шаг 12. Установите Rsyslog клиент на другиt сервера, мы можем направить журналы Rsyslog сервера

As a System Administrator, logging everything that happens on your systems is an important task for analysis of any unknown issues that occur on your machines. Diagnosis of any system problem starts with checking the system log files. System activity is recorded inside these files which indicate the source of problems that occur.

What is RSYSLOG

RSYSLOG is a super fast system to process logs and events. One of its main features is accepting inputs from various sources, transforming those inputs and outputting the results to different destinations. According to the official website (www.rsyslog.com), it can process up to 1 million messages per second.

RSYSLOG offers the below features:

  • Multi-threading
  • TCP, SSL, TLS, RELP
  • MySQL, PostgreSQL, Oracle and more
  • Filter any part of syslog message
  • Fully configurable output format
  • Suitable for enterprise-class relay chains

1- Install RSYSLOG v8 and Configure Database

CentOS 7 uses an old version of RSYSLOG. In order to install the latest version (v8), we need to install it from the repository offered by the RSYSLOG official website.

Читайте также:  Диктофон недорогой и хороший

In order for the RSYSLOG service to start in case we reboot the system, issue the below command:

Instead of letting RSYSLOG output the messages to static files, we will create a database for RSYSLOG using its built in database located in /usr/share/doc/rsyslog-mysql-8.18.0/createDB.sql

Install MySQL

But to use MySQL, we need to install the required packages to run a MySQL server:

After install MySQL, we need to start the mysqld service:

To make this service start when the server reboots:

For security reasons, it is advised to change the MySQL Admin password:

To test if MySQL is installed correctly, log into the database:

You should get the below output:

Configure RSYSLOG Database

To create the RSYSLOG using the default database scheme offered by RSYSLOG, issue the below command:

Access the database you created with the password you assigned earlier:

For security reasons, it is advised to add a dedicated admin database user called rsyslogdbadm to access this database only with a password of your choice.

Now let us test login with the user we created to the Syslog database. If it works, means our database is ready:

To configure RSYSLOG to output the messages to its database, we need to edit its configuration using rsyslog.conf located in /etc/rsyslog.conf .

Things to modify in the configuration file:

  • Uncomment the below lines:
  • Add a new forwarding rule:

You can also check the #RULES# section to modify any logs you do not want to see in the RSYSLOG database.

Once you are satisfied with the changes, restart the RSYSLOG service:

To check if the RSYSLOG messages are being forwarded to MySQL database:

2- Install LogAnalyzer v4.1.2 Web Application

Adiscon LogAnalyzer is a web inter-face to syslog and other network event data. It provides easy browsing, analysis of realtime network events and reporting services.

Install Prerequisites

In order for LogAnalyzer to function correctly, there are a number of prerequisite packages that need to be installed on our system.

Start the Service:

Make service automatically starts when the server reboots:

To make sure we have installed Apache correctly, browse to http://your-server-ip/ and you should get the below page:

After installing PHP, let’s create a phpinfo page:

Type the following and save the test.php

Restart the Apache Service

Browse to http://your-server-ip/test.php and you should get the following:

Install LogAnalyzer

Download LogAnalyzer v4.1.3 :

Extract the downloaded tar file:

In order to access LogAnalyzer using the web interface, copy the install files into Apache:

We need to allow execute permissions to the configure.sh and secure.sh files:

Run the ./configure.sh. This will create a blank config.php file with write access:

Now we have to finalise the LogAnalyzer installation using the web interface. Browse to http://your-server-ip/loganalyzer and follow the instructions on the screen similar to the below:

Once you are done with the installation, you will have something like this:

This concludes our tutorial for the installation of the latest versions of RSYSLOG v8 and LogAnalyzer v4 on CentOS 7. If you have any questions or suggestions, do not hesitate to use the comments section below.

Share this:

About Author

SYSteen Founder

Tech savvy and explorer. With over 15 years of IT and Systems experience under his sleeves, SYSteen Founder decided to launch his own blog to fill in the gaps of the lack of robust tech how-to’s online.

Using Wireshark to Calculate Overhead Percentage %

How to Install Graylog 2.4 on CentOS 7 and Configure Graylog Sidecar

How to Install Nagios + Centreon + Nagvis on Debian 6

11 Comments

With
GRANT ALL ON rsyslogdb.* TO rsyslogdbadmin@localhost IDENTIFIED BY ‘PasswordHere’;

Not have access to Syslog database

If you have not figured it out or heard a reply, the DB name is Syslog not rsyslogdb. so it should read:

Читайте также:  Самый большой телескоп в китае

GRANT ALL ON Syslog.* TO rsyslogdbadmin@localhost IDENTIFIED BY ‘PasswordHere’

I was following instructions but kept getting the error:
ERROR: Coult not create the configuration file in ‘.config.php’! Please verify the file permissions!

My file permissions are:

drwxr-xr-x. 2 root root 4096 Dec 9 14:51 admin
-rw-r–r–. 1 root root 5509 Dec 9 14:51 asktheoracle.php
drwxr-xr-x. 2 root root 4096 Dec 9 14:51 BitstreamVeraFonts
-rw-r–r–. 1 root root 18722 Dec 9 14:51 chartgenerator.php
drwxr-xr-x. 6 root root 4096 Dec 9 14:51 classes
-rw-rw-rw-. 1 root root 0 Dec 9 14:57 config.php
-rwxr-xr-x. 1 root root 49 Dec 9 14:51 configure.sh
-rw-r–r–. 1 root root 9205 Dec 9 14:51 convert.php
drwxr-xr-x. 2 root root 4096 Dec 9 14:51 cron
drwxr-xr-x. 2 root root 90 Dec 9 14:51 css
-rw-r–r–. 1 root root 16882 Dec 9 14:51 details.php
drwxr-xr-x. 2 root root 4096 Dec 9 14:51 doc
-rw-r–r–. 1 root root 12748 Dec 9 14:51 export.php
-rw-r–r–. 1 root root 1150 Dec 9 14:51 favicon.ico
drwxr-xr-x. 5 root root 4096 Dec 9 14:51 images
drwxr-xr-x. 2 root root 4096 Dec 9 14:51 include
-rw-r–r–. 1 root root 39024 Dec 9 14:51 index.php
-rw-r–r–. 1 root root 0 Dec 9 14:56 Installer
-rw-r–r–. 1 root root 42534 Dec 9 15:09 install.php
drwxr-xr-x. 2 root root 4096 Dec 9 14:51 js
drwxr-xr-x. 4 root root 24 Dec 9 14:51 lang
-rw-r–r–. 1 root root 3395 Dec 9 14:51 login.php
-rw-r–r–. 1 root root 7164 Dec 9 14:51 reportgenerator.php
-rw-r–r–. 1 root root 4146 Dec 9 14:51 reports.php
-rw-r–r–. 1 root root 9438 Dec 9 14:51 search.php
-rwxr-xr-x. 1 root root 31 Dec 9 14:51 secure.sh
-rw-r–r–. 1 root root 4878 Dec 9 14:51 statistics.php
drwxr-xr-x. 3 root root 4096 Dec 9 14:51 templates
drwxr-xr-x. 5 root root 50 Dec 9 14:51 themes
-rw-r–r–. 1 root root 3383 Dec 9 14:51 userchange.php

As you can see config.php is writable for all users.
What is going on?

Try this:
You can circumvent this problem by granting write permissions to the web server. I have heared this can be done as follows:

# chcon -h -t httpd_sys_script_rw_t /var/www/html/loganalyzer/config.php
from this link http://wiki.rsyslog.com/index.php/PhpLogCon_SeLinux

Имеется такая услуга – добровольное медицинское обслуживание .
Она предполагает, что вы платите небольшую сумму за абонемент и посещает врачей в течение года не платя за каждый прием.
Однако соцопросы показывают, что лишь 4% жителей Питера знают о такой услуге.
По какой причине?
Потому что частным клиникам выгоднее сдирать с людей деньги за каждый визит.
А если честный врач попытается посоветовать добровольное медицинское обслуживание клиенту – это сулит ему увольнением.
Эта информация уже вызвала множество возмущений, сразу после того как информацию об услуге рассекретил один врач.
Его уволили , после того, как он посоветовал ДМО своему пациенту.
Самое удивительное, что информация по ДМО есть в открытом доступе, просто натыкались на эту информацию только случайные люди.
Как отстоять свои права?
О правилах предоставления услуги и обязанностях частных клиник можно узнать, просто вбив в Яндекс фразу: “добровольное медицинское обслуживание”.
Именно обслуживание, а не страхование.

Существует такая услуга – добровольное медицинское обслуживание .
Она предполагает, что вы платите небольшую сумму за то, что ходит на прием целый год БЕСПЛАТНО.
Однако соцопросы показали, что лишь 6% жителей города знают о такой услуге.
По какой причине?
Да потому что частным клиникам намного выгодней сдирать с людей деньги за каждый визит.
А если честный врач посоветует добровольное медицинское обслуживание клиенту – это сулит ему увольнением.
Эта информация уже спровоцировала множество скандалов, после того как информацию об этом распространил один врач.
Его уволили , после того, как он предложил ДМО постоянному клиенту.
Самое удивительное, что информация по ДМО находились в открытом доступе, просто натыкались на эту информацию единицы.
Как отстоять свои права?
О правилах оказания такой услуги и обязанностях клиник можно узнать, сделав запрос в Яндексе: “добровольное медицинское обслуживание”.
Обязательно обслуживание, а не страхование.

When using the mariadb is the load module command in the /etc/rsyslog.conf file the same, i.e. module(load=”ommysql”)?

Hi, any idea what could be the problem for this error prompt?

Could not find the configured database

Extra Error Details:
mysqli_connect(): Headers and client linrary minor version mismatch. Headers 50556 Library:100130

Комментировать
729 просмотров
Комментариев нет, будьте первым кто его оставит

Это интересно
Adblock
detector