LAB-ANTO

{ * info-rmatique ! }

serveur Rsyslog et LogAnalyzer

installer services LAMP et PHP:
apt-get install apache2 mariadb-server php php-mysql php-gd

Mysql pour Rsyslog :
apt-get install rsyslog-mysql -y
-> nom de DB créé (« Syslog » + user : rsyslog +mdp)

Rsyslog.conf pour permettre au serveur de récupérer les logs. Y décommenter « IMTPC » et le port qui est 514 par défaut :
nano /etc/rsyslog.conf
–> décommenter ligne intitulée « Provides TCP syslog reception » et décommentez les deux lignes en dessous (Module et Input)
Rajouter une ligne à la fin du fichier « Rsyslog.conf » pour renvoyer automatiquement les logs dans la base de données. Nous allons préciser que nous voulons que Syslog soit utilisé par Rsyslog :
*.* :ommysql:localhost,Syslog,rsyslog,[mdpRsyslog]
syntaxe « *.* » : catéorie.gravité -> ex : mail.err
ex udp : *.* @IP_SERVER:514
ex tcp : *.* @@IP_SERVEUR:1514

redémarrer le service Rsyslog
sudo service rsyslog restart

Téléchargement de LogAnalyser :
cd /srv (par ex)
wget http://download.adiscon.com/loganalyzer/loganalyzer-4.1.12.tar.gz (chercher le lien le plus récent)
tar -zxvf /srv/loganalyzer-4.1.12.tar.gz

répertoire syslogweb pour accéder à LogAnalyser dnas navigateur :
mkdir /var/www/html/syslogweb
cp -a /srv/loganalyzer-4.1.12/src/* /var/www/html/syslogweb

rajouter les droits de l’utilisateur www-data d’Apache sur tous les fichiers du répertoire Syslogweb contenant Loganalyzer :
chown -R www-data:www-data /var/www/html/syslogweb

Accès au navigateur :
localhost/syslogweb

terminer config de LogAnalyser :
next jusqu’à étape 3 : « Yes » pour « Enable User Database ».
Le nom de la base de données est « Syslog ». L’utilisateur est l’utilisateur créé précédemment, il faut marquer « rsyslog » et son mot de passe.
Etape 6 : user + mdp pour interface web.
Etape 7 : changez le nom de la source pour les messages syslog. J’ai choisi « Database-syslog ».
Le type de source doit être « MYSQL Native »
Changer le nom de la base de données et l’utilisateur comme dans l’étape 3.

Centralisation :

  • tout en bas du fichier de configuration de l’hôte srvLamp (nano /etc/rsyslog.conf) :
    *.* @@192.168.100.200:514
    systemctl restart rsyslog.service
  • installer l’agent Rsyslog sur le serveur « WinServ-AD » :
    rsyslogwa.exe (Adiscon)
    lancement de Rsyslog Agent Configuration, puis rendez-vous dans :
    Default Rules / ForwardSyslog / Actions / Rsyslog
    champs « Syslog Server » -> adIPsrvSyslog
    save / start

Connexion à l’interface Loganalyzer sur poste d’admin
si erreurs d’affichage -> Retournez sur « Rsyslog Agent Configuration » et, dans la partie « Syslog Message Options » (onglet au milieu), dans « Outpoint Encoding », modifiez « System Default » par « Unicode UTF8 ». Faites un restart et tout rentrera dans l’ordre.