Задача:

  • Настройка системы централизованного журналирования
    • В качестве сервера системы централизованного журналирования используйте RTR2
    • В качестве системы централизованного журналирования используйте Rsyslog совместно с веб панелью LogAnalyzer
      • Настройте Rsyslog
        • Настройте взаимосвязь сервера баз данных с Rsyslog
          • В качестве сервера баз данных используйте MariaDB на RTR2
          • Имя базы данных: Syslog
          • Пользователь базы данных: rsyslog
          • Пароль пользователя базы данных: rsyslogpwd
          • В базу данных должны записываться только сообщения об ошибках и более важные
        • Настройте возможность приема сообщений по протоколам TCP и UDP по порту 514
      • Установите LogAnalyzer
        • В качестве веб-сервера используйте Apache
        • Файлы LogAnalyzer должны располагаться в папке /var/www/html/loganalyzer
          • Установочные файлы находятся в addons_final.iso
        • Используйте базу данных, с которой работает Rsyslog
        • Веб панель LogAnalyzer должна быть доступна по адресу http://<IP адрес RTR2>/loganalyzer
        • Для авторизации в веб панели LogAnalyzer необходимо использовать пользователя admin с паролем P@ssw0rd
          • Требовать, чтобы пользователь вошел в систему
    • Настройте централизованный сбор журналов с хостов RTR1, SRV1, SRV2
      • Уровень журналирования – сообщения об ошибках и более важные
      • RTR1 использует протокол UDP
      • SRV1 и SRV2 использует протокол TCP

Вариант реализиции:

RTR2:

  • Установим необходимые пакеты для Rsyslog:
apt-get install -y rsyslog rsyslog-mysql
    • Пакет rsyslog-mysql во время конфигурации запросит создание пользователя и базы для хранения будущих логов:
      • Выбираем Да и нажимаем enter

      • В качестве пароля для пользователя rsyslog - задаём rsyslogpwd и нажимаем enter

      • Подтверждаем введённый пароль и нажимаем enter

  • Проверяем:
    • пробуем войти в MariaDB из под пользователя rsyslog с паролем rsyslogpwd:

  • Настраиваем взаимодействие Rsyslog с MariaDB:
vim /etc/rsyslog.d/mysql.conf
    • описываем следующий файл:
      • указываем, что в БД будут записывать сообщения об ошибках (err) и более важные;
      • ommysql — модуль, с помощью которого rsyslog будет писать в MySQL;
      • Syslog — имя базы;
      • rsyslog — пользователь, которому предоставлен доступ писать в базу Syslog;
      • rsyslogpwd— пароль пользователя rsyslog;

  • Вносим изменения в конфигурационный файл /etc/rsyslog.conf:
vim /etc/rsyslog.conf
    • Для разрешения серверу принимать соединение по TCP и UDP раскомментируйте строки в секции Modules

  • Перегружаем службу rsyslog:
systemctl restart rsyslog
  • Проверяем, что rsyslog - готов принемать запросы из сети на портах 514/tcp и 514/udp:
ss -tulpn | grep rsyslog
    • Результат:

  • Устанавливаем веб-сервер Apache2 и PHP с необходимыми модулями:
apt-get install -y apache2 libapache2-mod-php php-mysql php-gd
  • Скачиваем проект LogAnalyzer:
wget http://download.adiscon.com/loganalyzer/loganalyzer-4.1.13.tar.gz
  • Распаковываем архив с LogAnalyzer:
tar xzf loganalyzer-4.1.13.tar.gz
  • Перемещаем файлы LogAnalyzer в каталог /var/www/html/loganalyzer:
mkdir /var/www/html/loganalyzer
mv loganalyzer-4.1.13/src/* /var/www/html/loganalyzer
mv loganalyzer-4.1.13/contrib/* /var/www/html/loganalyzer
  • Задаём права на исполнения для конфигурационных файлов скриптов:
chmod +x /var/www/html/loganalyzer/configure.sh /var/www/html/loganalyzer/secure.sh
  • Переходим в директорию с файлами LogAnalyzer:
cd /var/www/html/loganalyzer/
  • Выполняем запуск двух конфигурационных скриптов:
./configure.sh && ./secure.sh

CLI1 или CLI2:

  • Переходим к дальнейшей установки LogAnalyzer через веб-интсерфейс с браузера на клиенте:

    • нажимаем Next

    • Указываем параметры для подключения к базе данных и нажимаем Next

    • нажимаем Next

    • нажимаем Next

    • Создаём пользователя admin с паролем P@ssw0rd и нажимаем Next

    • Добавляем источник логов для отображения - обращать внимание на регистр и нажимаем Next

    • Нажимаем Finish!

  • Результат:
    • выполняем вход из под созданного пользователя admin с паролем P@ssw0rd:

RTR1:

  • Настраиваем в качестве клиента, для оптравки лог-сообшений на сервер:
vim /etc/rsyslog.d/err.conf
    • добавляем следующее содержимое:
      • *.err - указывает на то что отправляются сообщения об ошибках и выше;
      • @192.168.100.252:514 - указывает что сообщения отправлять на конкретный сервер на порт 514/UDP;

  • Перезапускаем службу rsyslog:
systemctl restart rsyslog
  • Также отправляем тестовый лог уровня "Критическая ошибка" (crit):
logger -p crit "test mess"
  • В веб-интерфейсе LogAnalyzer - должен появиться лог отправленный с RTR1:

SRV1 | SRV2: 

  • Настраиваем в качестве клиента, для оптравки лог-сообшений на сервер:
vim /etc/rsyslog.d/err.conf
    • добавляем следующее содержимое:
      • *.err - указывает на то что отправляются сообщения об ошибках и выше;
      • @@192.168.100.252:514 - указывает что сообщения отправлять на конкретный сервер на порт 514/TCP;

  • Перезапускаем службу rsyslog:
systemctl restart rsyslog
  • Также отправляем тестовый лог уровня "Ошибка" (err):
logger -p err "test mess"
  • В веб-интерфейсе LogAnalyzer - должен появиться лог отправленный с SRV1 и SRV2:

Последнее изменение: понедельник, 8 июля 2024, 16:59