Configuration serveur rsyslog

Pr-requis
Client et serveur MySql installs rsyslog et rsyslog-mysql installs
Adressage IP pour cet exemple :
Serveur rsyslog et Loganalyzer : 192.168.0.17
Poste distant : 192.168.0.20
Cration d'une base MySql et d'un compte pour y accder
# mysql -u root -p < /usr/share/doc/rsyslog-mysql-4.6.2/createDB.sql
Enter password:

# mysql -u root -p
Enter password:
Welcome to the MySQL monitor. Commands end with ; or \g.
Your MySQL connection id is 6
Server version: 5.1.61 Source distribution

Copyright (c) 2000, 2011, Oracle and/or its affiliates. All rights
reserved.

Oracle is a registered trademark of Oracle Corporation and/or its
affiliates. Other names may be trademarks of their respective
owners.

Type 'help;' or '\h' for help. Type '\c' to clear the current input
statement.

mysql> GRANT ALL ON Syslog.* TO rsyslog@localhost IDENTIFIED BY 'Password';
Query OK, 0 rows affected (0.01 sec)

mysql> flush privileges;
Query OK, 0 rows affected (0.00 sec)

mysql> quit
Bye
Configuration serveur rsyslog
Dans le fichier /etc/rsyslog.conf, on ajoute les lignes :
$ModLoad ommysql
*.* :ommysql:localhost,Syslog,rsyslog,Password
On dcommente les lignes
# provides UDP syslog reception
$ModLoad imudp
$UDPServerRun 514
# provides TCP syslog reception
$ModLoad imtcp
$InputTCPServerRun 514
# /etc/init.d/rsyslog restart
Arrt de l'enregistreur de journaux du systme : [ OK ]
Dmarrage de l'enregistreur de journaux du systme : [ OK ]
# netstat -plantu | grep 514
tcp 0 0 0.0.0.0:514 0.0.0.0:*
LISTEN 2820/rsyslogd
tcp 0 0 :::514 :::*
LISTEN 2820/rsyslogd
udp 0 0 0.0.0.0:514 0.0.0.0:*
2820/rsyslogd
udp 0 0 :::514 :::*
2820/rsyslogd
Le serveur est maintenant configur pour enregistrer les logs dans la base, et il coute sur le
port 514 les messages entrant. On peut vrifier que la table MySQL est bien alimente avec
les logs locales :
# logger essai
# mysql -u rsyslog -p -Bsr -e "SELECT Message FROM SystemEvents LIMIT 0,20"
Syslog
Enter password:
imklog 4.6.2, log source = /proc/kmsg started.
[origin software="rsyslogd" swVersion="4.6.2" x-pid="2820" x-
info="http://www.rsyslog.com"] (re)start
(root) CMD (/usr/lib/sa/sa1 -S DISK 1 1)
(root) CMD (/usr/lib/sa/sa1 -S DISK 1 1)
(root) CMD (/usr/lib/sa/sa1 -S DISK 1 1)
(root) CMD (/usr/lib/sa/sa1 -S DISK 1 1)
essai
(root) CMD (run-parts /etc/cron.hourly)
starting 0anacron
(root) CMD (run-parts /etc/cron.hourly)
starting 0anacron
finished 0anacron
Anacron started on 2012-03-02
finished 0anacron
Will run job `cron.daily' in 18 min...
Configuration rsyslog des serveurs distants
Il faut maintenant configurer les autres serveurs pour quils envoient leurs logs au serveur de
log.
Dans lexemple on utilise ici aussi rsyslog, mais a fonctionne aussi avec syslog ou syslog-ng
(avec un paramtrage diffrent).
Mise jour du fichier /etc/rsyslog.conf:
# Envoi des logs au serveur de logs
$WorkDirectory /var/spool/rsyslog # default location for work (spool)
files
$ActionQueueType LinkedList # use asynchronous processing
$ActionQueueFileName srvrfwd # set file name, also enables disk mode
$ActionResumeRetryCount -1 # infinite retries on insert failure
$ActionQueueSaveOnShutdown on # save in-memory data if rsyslog shuts down
*.* @@192.168.0.17:514
# /etc/init.d/rsyslog restart
Arrt de l'enregistreur de journaux du systme : [ OK ]
Dmarrage de l'enregistreur de journaux du systme : [ OK ]
Loganalyzer
Le service Apache doit tre install et dmarr. Php doit tre install ainsi que php-mysql
Rcupration du logiciel :
# wget http://download.adiscon.com/loganalyzer/loganalyzer-3.4.1.tar.gz
# tar xvf loganalyzer-3.4.1.tar.gz
# mkdir /var/www/html/loganalyzer
# cp -vr loganalyzer-3.4.1/src/* /var/www/html/loganalyzer/
# chown -R apache:apache /var/www/html/loganalyzer/
Puis dans un navigateur :