Mai întâi trebuie să instalați un număr de pachete RPM suplimentare. pentru că serviciile LogAnalyzer, Rsyslog și MySQL vor rula pe același server, trebuie să instalați următoarele pachete:
Acum trebuie să vă asigurați că MySQL și Apache sunt configurate să pornească automat și apoi să le executați:
În mod implicit, utilizatorul rădăcină de bază de date MySQL are o parolă goală, deci trebuie să vă asigurați configurarea prin specificarea unei noi parole:
Apoi, importăm schema bazei de date rsyslog în MySQL. În funcție de versiunea rsyslog, modificați calea către fișierul "createDB.sql".
O modalitate bună este limitarea accesului aplicațiilor la baza de date, astfel încât vom crea un utilizator special pentru a accesa baza de date rsyslog. Pentru a strânge mai mult setările de securitate, puteți crea conturi separate pentru rsyslog și LogAnalyzer. Trebuie să acordați accesul utilizatorului rsyslog la baza de date MySQL numai de la localhost localhost. De asemenea, trebuie să executăm comanda MySQL "privilegii flush" pentru a aplica imediat toate drepturile.
Acum trebuie să dezactivați serviciul syslog existent și să activați rsyslog:
Sau descărcați LogAnalyzer direct de pe serverul Linux (wget trebuie instalat):
Despachetați fișierele LogAnalyzer:
Acum trebuie să copiați fișierele LogAnalyzer în directorul serverului web Apache (config standard).
Accesați directorul LogAnalyzer creat, executați scriptul configure.sh. Ca rezultat, va fi creat un fișier de configurare config.php gol, care va fi completat în pașii următori.
În mijlocul ferestrei, dați clic pe linkul "Faceți clic aici pentru a instala".
Configurați opțiunile de afișare a jurnalului și faceți din nou clic pe Următorul.
În cazul în care ați configurat totul corect, veți vedea pagina principală LogAnalyzer, care va afișa jurnalele pe măsură ce le primiți. Puteți încerca să generați diverse evenimente de sistem și să vedeți ce se întâmplă pe pagina LogAnalyzer. pentru că Am configurat logarea evenimentelor de tip "authpriv", ceea ce înseamnă că în jurnal vor apărea evenimente cum ar fi intrarea / ieșirea utilizatorului sau apelarea comenzii de comutare a utilizatorului (su).
Următorul pas este să configurați serviciul rsyslog pentru a colecta evenimente syslog de la diferite dispozitive de rețea. În primul rând, trebuie să configurați un paravan de protecție pentru a permite traficul de pe portul 514. Voi adăuga două reguli care permit traficul TCP și UDP. În mod implicit, syslog acceptă numai mesajele trimise pe portul 514 UDP, dar în rsyslog se adaugă abilitatea de a primi și traficul TCP. Adăugați următoarele reguli în fișierul "/ etc / sysconfig / iptables":
Acum trebuie să configurați rsyslog pentru a primi mesajele syslog primite. Voi configura mesajele TCP / UDP de la localhost și de la toate host-urile din subnetul 192.168.1.0. În fișierul "/etc/rsyslog.conf" trebuie să adăugați următoarele linii (înainte de construire, unde a fost configurată conexiunea cu baza de date MySQL).
Nu uitați să reporniți serviciul rsyslog pe serverul central de înregistrare:
Următorul pas este să configurați clienții la distanță pentru a trimite evenimente către serverul central rsyslog. Dacă rsyslog rulează pe client, adăugați următoarea linie în fișierul "/etc/rsyslog.conf", de exemplu:
Reporniți serverul rsyslog pe client și încercați să vă conectați / dezactivați pe acest sistem. Dacă nu ați ratat nimic, un eveniment corespunzător va apărea pe pagina web LogAnalyzer!
- syslogd pe Linux
- Testarea firewall-ului
- Comenzile utilizate frecvent
- Canon PowerShot A430 și gphoto2
- PHPIDS (Sistem de detectare a intruziunilor PHP)