Сначал необхідно встановити ряд додаткових пакетів RPM. Оскільки служби LogAnalyzer, Rsyslog і MySQL працюватимуть на одному сервері, потрібно встановити наступні пакети:
Тепер потрібно переконається, що MySQL і Apache налаштовані на автоматичний запуск, після чого запустимо їх:
За замовчуванням, користувач root БД MySQL, має порожній пароль, тому слід убезпечити конфігурацію, задавши новий пароль:
Далі імпортуємо схему бази даних rsyslog в MySQL. Залежно від версії rsyslog, змініть шлях до файлу "createDB.sql".
Хорошим тоном вважається обмеження доступу додатків до бази даних, тому ми створимо спеціального користувача для доступу до БД rsyslog. Для ще більшого затягування налаштувань безпеки, можна створити окремі облікові записи для rsyslog і LogAnalyzer. Необхідно надати доступ користувача rsyslog до бази MySQL тільки з локального інтерфейсу localhost. Також ми повинні виконати MySQL команду "flush privileges" для негайного застосування усіх прав.
Зараз потрібно вимкнути існуючу службу syslog і включити rsyslog:
Або завантажити LogAnalyzer прямо з Linux сервера (повинен бути встановлений wget):
Розпакуємо файли LogAnalyzer:
Тепер потрібно скопіювати файли LogAnalyzer в каталог веб-сервера Apache (стандартний конфіг).
Перейдіть в створений каталог LogAnalyzer, запустіть скрипт configure.sh. В результаті створиться порожній файл конігураціі config.php, який наповниться в наступних кроках.
В середині вікна виберіть посилання "Click here to Install".
Налаштуйте параметри відображення журналів і знову натисніть Next.
У тому випадку, якщо ви налаштували все правильно, перед вами з'явиться головна сторінка LogAnalyzer, на якій у міру отримання будуть відображатися логи. Можете спробувати згенерувати різні системні події і подивитися що буде відбуватися на сторінці LogAnalyzer. Оскільки я налаштував логирование подій типу "authpriv", це означає, що в лог будуть потрапляти такі події, як вхід / вихід користувача, або ж виклик команди змінювати користувачів (su).
Наступний крок - настройка служби rsyslog для збору подій syslog з різних мережевих пристроїв. Спочатку необхідно конфігурувати мережевий екран, щоб він пропускав вхідний трафік по 514 порту. Я додам два правила, які дозволяють як TCP, так і UDP трафік. За замовчуванням syslog приймає тільки повідомлення, відправлені по порту 514 UDP, проте в rsyslog додана можливість приймати і TCP трафік. Додайте в файл "/ etc / sysconfig / iptables" такі правила:
Тепер потрібно налаштувати rsyslog для прийому вхідних повідомлень syslog. Я настрою прийом повідомлень по TCP / UDP від localhost і всіх хостів в підмережі 192.168.1.0. У файл "/etc/rsyslog.conf" потрібно додати наступні рядки (перед будівництвом, де налаштовувалася зв'язок з базою MySQL).
Не забудьте перезапустити службу rsyslog на центральному сервері ведення логів:
Наступний етап - налаштування віддалених клієнтів для відправки подій на центральний сервер rsyslog. Якщо на клієнті запущений rsyslog, в файл "/etc/rsyslog.conf" необхідно додати, наприклад, наступний рядок:
Перезапустіть сервер rsyslog на клієнті і спробуйте зайти / вийти на дану систему. Якщо ви нічого не упустили, на веб сторінці LogAnalyzer з'явиться відповідна подія!
- syslogd в Linux
- Тестування брандмауера (firewall)
- Часто використовувані команди
- Canon PowerShot A430 і gphoto2
- PHPIDS (PHP-Intrusion Detection System)