Thank you for reading this post, don't forget to subscribe!
Rsyslog — является очень-быстрой системой для обработки логов в системе. Он предоставляет высокую производительность, большие возможности безопасности и модульную конструкцию. Его расширенная версия — Syslog. Rsyslog также поддерживает базы данных (MySQL, PostgreSQL) для хранения логов.
LogAnalyzer — это программа, написанная на C # (и, таким образом, который нуждается в .NET 3.5 Framework), способный анализировать отчеты (логи), созданные многими диагностическими инструментами (HijackThis, ZHPDiag, OTL, …). Этот инструмент не является полным анализатором, он только дает подсказки и выполняет фильтрует, чтобы быстро найти то, что может быть подозрительным или вредоносным
становим первым делом веб-сервер, сервер MySQL и пхп:
yum install httpd php mysql php-mysql mysql-server wget -y
Шаг 2. Установка Rsyslog на сервер:
yum install -y rsyslog-*
Шаг 3. Сейчас нужно позапускать все установленные услуги.
Запускаем rsylog:
/etc/init.d/rsyslog start
Запускаем апач:
/etc/init.d/httpd start
Запускаем мускуль:
/etc/init.d/mysqld start
Шаг 4. Добавим мы теперь их в автозагрузку ОС.
Добавляем в автозапуск rsylog:
# chkconfig rsyslog on
Добавляем в автозапуск apache:
# chkconfig httpd on
Добавляем в автозапуск mysql
# chkconfig mysqld on
Нужно установить пароль для mysql ( если у вас уже установлен и настроен, то не нужно этого делать):
# mysqladmin -u root password 'ваш_пароль_для_БД';
Шаг 5. Изменим команду DB для Rsyslog и создадим DB для rsysdb:
nano /usr/share/doc/rsyslog-mysql-5.8.10/createDB.sql
# прописываем название базы данных
CREATE DATABASE rsysdb;
USE rsysdb;
Остальное без оставляем изменений
Создаем БД, выполнив команду:
# mysql -u root -p < /usr/share/doc/rsyslog-mysql-5.8.10/createDB.sql
Вводим пароль от пользователя «root» в mysql.
Рекомендуется ограничение доступа приложений к базе данных, поэтому мы создадим специального пользователя для доступа к БД rsyslog.
Для ещё большего затягивания настроек безопасности, можно создать отдельные учетные записи для rsyslog и LogAnalyzer.
Необходимо предоставить доступ пользователя rsyslog к базе MySQLтолько с локального интерфейса localhost.
Также мы должны выполнить MySQL команду “flush privileges” для немедленного применения всех прав.
1 2 3 4 5 6 |
mysql - u root - p mysql mysql> GRANT ALL ON rsysdb.* TO rsysdb@localhost IDENTIFIED BY 'Password'; mysql> flush privileges; mysql> exit |
Шаг 6. Создание конфига для rsyslog (Но для начала, я сделаю копию данного конфига):
# cp /etc/rsyslog.conf /etc/rsyslog.conf.bk
nano /etc/rsyslog.conf
[…]
$ModLoad imudp
$UDPServerRun 514
$ModLoad imtcp
$InputTCPServerRun 514
[…]
$ModLoad ommysql
$ModLoad ommysql>
*.* :ommysql:127.0.0.1,rsysdb,rsysdb,Password
$AllowedSender UDP, 127.0.0.1, 192.168.1.0/24
$AllowedSender TCP, 127.0.0.1, 192.168.1.0/24
Если не будет работать, то следующую строку:
*.* :ommysql:127.0.0.1,rsysdb,root,captain
Заменяем на:
*.* :ommysql:localhost,Syslog,rsyslog,myPassword
Шаг 7. Нужно остановить системный журнал (syslog ), если у вас есть он:
/etc/init.d/syslog stop
Уберем его с автозагрузки:
chkconfig syslog off
Шаг 8. Нужно на данном этапе загрузить и установить LogAnalyzer, для этого.
Скачиваем с сайта архив:
# wget http://download.adiscon.com/loganalyzer/loganalyzer-3.6.3.tar.gz
Распаковываем мы его командой:
tar zxvf loganalyzer-3.6.3.tar.gz
Делаем перемещение:
mv loganalyzer-3.6.3/src/* /var/www/rsyslog/site/rsyslog/
mv loganalyzer-3.6.3/src/.htaccess /var/www/rsyslog/site/rsyslog/
mv loganalyzer-3.6.3/contrib/ /var/www/rsyslog/site/rsyslog/
Шаг 9. Создание config.php по configure.sh
# cd loganalyser/
Выставим права и запустим скрипт:
chmod 755 /var/www/rsyslog/site/rsyslog/contrib/*
/var/www/rsyslog/site/rsyslog/contrib/configure.sh
правим владельца:
chown -R rsyslog:rsyslog /var/www/rsyslog/
Шаг 10. Перезагружаем наши установленные сервисы.
Ребутим мускуль:
# /etc/init.d/mysqld restart
Ребутим rsyslog:
# /etc/init.d/rsyslog restart
Ребутим apache:
# /etc/init.d/httpd restart
Далее обращаемся к сайту и проводим настройку:
В том случае, если все настроено правильно, должна открыться главная страница LogAnalyzer, на которой по мере получения будут отображаться логи. Т.к. в настройках стоят — логирование событий типа “authpriv”, это означает, что в лог будут попадать такие события, как вход/выход пользователя, или же вызов команды переключения пользователя (su).
Установка клиента Rsyslog
yum install rsyslog -y
nano /etc/rsyslog.conf
добавляем IP сервера:
*.* @@192.168.1.180