Une pincée de tout, un zeste de rien ...

Configurer LogAnalyzer avec Syslog-ng.

3-LogAnalyser-150x150Vous venez de terminer la configuration de Syslog-ng grâce à cet article :

Comment configurer un ASA avec un serveur Syslog (part 2)

Bien-sur,  vous pourriez vous arrêter là mais il est préférable d’améliorer le reporting via l’application Loganalyzer. Vous pourrez ainsi affiner vos recherches, réaliser vos exports en CSV.

Pour cela, je vais reconfigurer le serveur Syslog-ng afin que celui-ci ne génère plus ces logs en fichier mais les stocke dans une base de donnée mysql.

Création de la base Syslog sur MYSQL

Je pars du principe que vous avez déjà installé le paquet mysql-server.

Voici le script nécessaire à la création de la base  nommé  debug.7z  dezippé, vous pourrez utiliser le script debug.sql

Connectez-vous à Mysql , nous allons créer la base de donnée Syslog :

mysql -u root -p

Créer la base :

mysql> CREATE DATABASE `syslog` DEFAULT CHARACTER SET utf8 COLLATE utf8_unicode_ci;

Importer le contenu du script :

mysql> SOURCE dbsetup.sql;

Vérifier que les bases ce sont bien intégrées :

mysql> SHOW TABLES;
+------------------+
| Tables_in_syslog |
+------------------+
| actions          |
| cemdb            |
| logs             |
| search_cache     |
| user_access      |
| users            |
+------------------+
6 rows in set (0.00 sec)

Création de la base réussi !!

 Syslog-ng  communique avec MYSQL

On édite le fichier de configuration de syslog-ng :

vi /etc/syslog-ng/syslog-ng.conf

Dans le fichier de conf ajouter la destination suivante.

Pour info : Pour un peu plus de sécurité, il est préférable de créer un nouvel utilisateur ayant les droits d’insertion et de sélection sur la base syslog. Pour l’exemple j’utilise root.

#CISCO MYSQL
destination d_mysql {
program(
"mysql -u root --password=********** syslog -B > /dev/null"
template("INSERT INTO logs (host, facility, priority,
level, tag, datetime, program, msg) VALUES ( '$HOST', '$FACILITY', '$PRIORITY', '$LEVEL', '$TAG', '$YEAR-$MONTH-$DAY $HOUR:$MIN:$SEC', '$PROGRAM', '$MSG' );n")
template-escape(yes)        );

};

Redémarrage du service Syslog-ng

 /etc/init.d/syslog-ng restart

Si vous n’avez pas de message d’horreur c’est que tout ce passe bien.

Vérification du bon fonctionnement :

Connectez-vous à votre base de donnée puis tester le bon fonctionnement,

>mysql -u root -p mysql> Use syslog; mysql> SELECT * FROM logs LIMIT 5G;

Vous devriez avoir  une remontée des événements.

Installation de Loganalyzer.

Installez les prérequis nécessaires  :

apt-get install php5-mysql php5-gd php5-cli apg mysql-client

Redémarrez les services :

test -x /etc/init.d/php5-fpm && /etc/init.d/php5-fpm restart
test -x /etc/init.d/apache2 && /etc/init.d/apache2 force-reload
test -x /etc/init.d/lighttpd && /etc/init.d/lighttpd force-reload
test -x /etc/init.d/nginx && /etc/init.d/nginx force-reload

Téléchargement et décompression de l’archive:

wget http://download.adiscon.com/loganalyzer/loganalyzer-3.6.1.tar.gz
tar -xvzf loganalyzer-3.6.1.tar.gz

On crée un répertoire logs à la racine du serveur web:

mkdir /var/www/logs

On copie les fichiers LogAnalyser requis dans ce répertoire:

cp -a loganalyzer-3.6.1/src/* /var/www/logs

On rend le user Apache propriétaire du dossier:

chown -R www-data:www-data /var/www/logs

Avec un navigateur on se rend ensuite à l’adresse http://adresse.du.serveur.de.logs/logs et on configure LogAnalyser en suivant les instructions de l’assistant.

slide1-error-300x84

Cliquez sur le here pour lancez l’assistant.

Slide2-prerequisites

Vérification des prérequis.

Slide3-file-permissions

Vérification des prérequis.

Slide-4-basic-configuration

Création des tables.

Comptes utilisateurs nécessaire à la console d’administration :

Slide7-user-account

Configuration de la source.

Slide8source-syslog-messages

Congratulation :

Slide9congratulation

Voila, bonne utilisation !!!

Ensembles d’ articles :

Comment configurer un ASA avec un serveur Syslog
Comment configurer un ASA avec un serveur Syslog (part 2)
Configurer LogAnalyzer avec Syslog-ng

 

4 Commentaires

  1. 3 juillet 2014    

    Salut,

    Tout d’abord merci pour ce tuto, pourriez-vous s’il vous plais me communiquer le script car je n’arrive pas à le télécharger (est-ce que dans le scripte il y a juste la création des champs ?).

    Merci

     
  2. adrien adrien
    18 février 2015    

    Bonjour , merci aussi pur ce tuto et j’aurais aussi besoin de votre script de creation de base de donnée car le lien renvoi sur la page du tuto
    Merci

     
  3. mathieu mathieu
    15 avril 2015    

    Bonjour, Serait-il possible de récupérer le script ? Merci

     
  4. 20 avril 2015    

    Je viens de remettre le script

     

Laisser un commentaire

PUB

Abonnez-vous à ce blog par e-mail.

Saisissez votre adresse e-mail pour vous abonner à ce blog et recevoir une notification de chaque nouvel article par email.

Rejoignez 1 437 autres abonnés

PUB

Dans toutes les langues !!!