Установка Rsyslog и Loganalyzer на Redhat/CentOS/Fedora

Rsyslog — является очень-быстрой системой для обработки логов в системе. Он предоставляет высокую производительность, большие возможности безопасности и модульную конструкцию. Его расширенная версия — Syslog. Rsyslog также поддерживает базы данных (MySQL, PostgreSQL) для хранения логов.

LogAnalyzer — это программа, написанная на C # (и, таким образом, который нуждается в .NET 3.5 Framework), способный анализировать отчеты (логи), созданные многими диагностическими инструментами (HijackThis, ZHPDiag, OTL, …). Этот инструмент не является полным анализатором, он только дает подсказки и выполняет фильтрует, чтобы быстро найти то, что может быть подозрительным или вредоносным. Это для продвинутых пользователей!

Установка Rsyslog и Loganalyzer на Redhat/CentOS/Fedora

В теме «Установка Rsyslog и Loganalyzer на Redhat/CentOS/Fedora» поговорим о том как можно настроить rsyslog, loganalyzer на CentOS, RedHat или Fedora.

Шаг 1. Установим  первым делом веб-сервер, сервер MySQL и пхп:

# yum install httpd php mysql php-mysql mysql-server wget -y

Шаг 2. Установка Rsyslog на сервер:

# yum install -y rsyslog-*

Шаг 3. Сейчас нужно позапускать все установленные услуги.

Запускаем rsylog:

# /etc/init.d/rsyslog start

Запускаем апач:

# /etc/init.d/httpd start

Запускаем мускуль:

# /etc/init.d/mysqld start

Шаг 4. Добавим мы теперь их в автозагрузку ОС.

Добавляем в автозапуск rsylog:

# chkconfig rsyslog on

Добавляем в автозапуск apache:

# chkconfig httpd on

Добавляем в автозапуск mysql

# chkconfig mysqld on

Нужно установить пароль для mysql ( если у вас уже установлен и настроен, то не нужно этого делать):

# mysqladmin -u root password 'ваш_пароль_для_БД';

Шаг 5. Изменим команду DB для Rsyslog и создадим DB для rsysdb:

# vim /usr/share/doc/rsyslog-mysql-5.8.10/createDB.sql

# прописываем название базы данных
CREATE DATABASE rsysdb;
USE rsysdb;
# Остальное без  оставляем изменений
[...]

Создаем БД, выполнив команду:

# mysql -u root -p < /usr/share/doc/rsyslog-mysql-5.8.10/createDB.sql

Вводим пароль от пользователя «root» в mysql.

Шаг 6. Создание конфига для rsyslog (Но для начала, я сделаю копию данного конфига):

# cp /etc/rsyslog.conf /etc/rsyslog.conf.bk

Открываем файл:

# vim /etc/rsyslog.conf

И немного видоизменяем его:

[...]
$ModLoad imudp
$UDPServerRun 514
$ModLoad imtcp
$InputTCPServerRun 514
[...]
$ModLoad ommysql
$ModLoad ommysql> 
*.* :ommysql:127.0.0.1,rsysdb,root,captain
$AllowedSender UDP, 127.0.0.1, 192.168.116.0/24
$AllowedSender TCP, 127.0.0.1, 192.168.116.0/24

Если не будет работать, то следующую строку:

*.* :ommysql:127.0.0.1,rsysdb,root,captain

Заменяем на:

*.* :ommysql:localhost,Syslog,rsyslog,myPassword

PS: Если включен SELinux, то необходимо выполнить одно из следующий действий:

• Выключить SELinux на сервере. Вот статья — Как отключить SELinux на CentOS?
• Пробросить службу, 514 порт в SELinux

  # semanage -a -t syslogd_port_t -p udp 514

И, если используется фаервол на сервере, необходимо пробросить порт, например ( как это с iptables):

# iptables -A INPUT -m state --state NEW -m udp -p udp --dport 514 -j ACCEPT

Шаг 7. Нужно остановить системный журнал (syslog ), если у вас есть он:

# /etc/init.d/syslog stop

Уберем его с автозагрузки:

# chkconfig syslog off

Шаг 8. Нужно на данном этапе загрузить и установить LogAnalyzer, для этого.

Скачиваем с сайта архив:

# wget http://download.adiscon.com/loganalyzer/loganalyzer-3.6.3.tar.gz

Распаковываем мы его командой:

# tar zxvf loganalyzer-3.6.3.tar.gz

Делаем перемещение:

# mv loganalyzer-3.6.3/src/ /var/www/html/loganalyser
# mv loganalyzer-3.6.3/contrib/ /var/www/html/loganalyser

Шаг 9. Создание config.php по configure.sh

# cd loganalyser/

Выставим права и запустим скрипт:

# chmod 755 configure.sh secure.sh
# ./configure.sh

Шаг 10. Перезагружаем наши установленные сервисы.

Ребутим мускуль:

# /etc/init.d/mysqld restart

Ребутим rsyslog:

# /etc/init.d/rsyslog restart

Ребутим apache:

# /etc/init.d/httpd restart

Шаг 11. Переходим в браузер на настраиваем LogAnalyzer для вашей системы.
http://your_domail_or_IP_server/loganalyser/

Шаг 12. Установите Rsyslog клиент на другиt сервера, мы можем направить журналы Rsyslog сервера

Для Debian/Ubuntu/Linux Mint:

 Установка клиента Rsyslog на Debian/Ubuntu/Linux Mint

Для RedHat/CentOS/Fedora:

Установка клиента Rsyslog на RedHat/CentOS/Fedora

После всех этих шагов можете пользоваться этими утилитами. А на этом » Установка Rsyslog и Loganalyzer на Redhat/CentOS/Fedora» завершена. Спасибо что посещаете и используете http://linux-notes.org/