ICO wiki - User contributions [en]

Keskse logilahenduse rakendamine Rsyslog näitel

2014-01-02T13:34:42Z

Kkuurman: /* Rsyslog seadistamine [http://www.howtoforge.com/centralized-rsyslog-server-monitoring] */

= Eesmärk =
Juhendi eesmärgiks on keskse logilahenduse rakendamine virtualiseeritud testkeskkonnas.

= Eeldused =
Testkeskkonnas on virtuaalmasinate võrguparameetrid eelnevalt seadistatud.

Võrguparameetrite seadistamiseks loe juhendit [[Ubuntu server võrgu seadistamine]] ja [[VirtualBoxi võrgud]].

= Nõuded tarkvarale =

Töötab Linux/Unix keskkonnas;

Võimaldab TCP protokolli kasutada;

Avatud lähtekoodiga või vaba tarkvara;

Logide jälgimine veebikeskkonnas.

= Tarkvara valik =
Nõuetele vastab Rsyslog ja LogAnalyzer. Valiku langetasime tuginedes Sander Arnuse [http://enos.itcollege.ee/~mernits/Linux%20administreerimine/Arnus%20-%20keskne%20logilahendus.pdf lõputööle]. 

Alternatiivse logiserveri tarkvarana võib kasutada näiteks logstash'i või syslog-ng'd. 

Kliendi masinates võib kasutada logitarkvarana nxlog'i või syslog-ng'd. 

LogAnalyzer'i asemel võib kasutada Kibana't. 

= Virtuaalmasinate seadistused =
Selle konkreetse lahenduskäigu puhul on kasutusel kolm virtuaalmasinat:

1) [https://wiki.itcollege.ee/index.php/Puppet Puppet server]: Ubuntu Server 64bit versioon 12.04.3 LTS.

puppet.planet.zz 192.168.56.200

2) Keskne logiserver: Ubuntu Server 64bit versioon 12.04.3 LTS.

rsyslog.planet.zz 192.168.56.201

3) Klient: Ubuntu Desktop 64bit versioon 13.

client.planet.zz 192.168.56.101

 
[[File:skeem1.png]]
 
Joonis 1: Virtuaalmasinate topoloogia

= Tarkvara kirjeldus =
Lahendus on testitud ja töötab kasutades järgnevaid tarkvara versioone.
 
Rsyslog versioon 5.8.6 - logiserver, mis saadab ja võtab vastu klientide poolt saadetud logid

Apache2 versioon 2.2.22 - veebiserver, mis seadistatakse hilisemaks logide veebipõhiseks vaatamiseks

MySQL server versioon 5.5 - andmebaasiserver, kuhu salvestatakse logid nende hilisemaks analüüsiks

LogAnalyzer versioon 3.6.5 - veebipõhine kasutajaliides logide otsimiseks ja analüüsimiseks reaalajas

= Logiserveri seadistamine =

== Tarkvara paigaldamine [http://www.slsmk.com/setup-syslog-with-loganalyzer-on-ubuntu-server/][http://www.howtoforge.com/centralized-rsyslog-server-monitoring]==
NB! Kõik juhendis kirjutatud käsud käivitatakse root kasutaja õigustes.

Paigaldame keskses logiserveris (rsyslog.planet.zz) vajalikud pakid.

Esmalt uuendame tarkvararepositooriumit:

<source lang="bash">
apt-get update && apt-get upgrade -y
</source>

Paigaldame rsyslog'i:

<source lang="bash">
apt-get install rsyslog
</source>

Paigaldame apache veebiserveri:

<source lang="bash">
apt-get install apache2
</source>

Paigaldame MySQL andmebaasiserveri:

(MySQL-serveri paigaldamisel tuleb määrata root kasutaja parool)

<source lang="bash">
apt-get install mysql-server
</source>

Paigaldame php5 ja vajalikud moodulid:

<source lang="bash">
apt-get install php5 php5-gd libapache2-mod-php5 php5-mysql
</source>

Taaskäivitame teenused:

<source lang="bash">
service rsyslog restart
</source> 
<source lang="bash">
service mysql restart
</source> 
<source lang="bash">
service apache2 restart
</source>

Kontrollime, kas veebiserver ja andmebaasiserver kasutavad õigeid TCP/IP porte (80, 3306):

<source lang="bash">
netstat -tapn
</source>

Jälgime, et: 
Protsess nimega mysqld kasutab porti 3306. 
Protsess nimega apache2 kasutab porti 80. 

<pre>

Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name

tcp 0 0 127.0.0.1:3306 0.0.0.0:* LISTEN 18595/mysqld

tcp 0 0 0.0.0.0:80 0.0.0.0:* LISTEN 18766/apache2

</pre>

== MySQL-serveri seadistamine [http://www.howtoforge.com/centralized-rsyslog-server-monitoring]==

Loome MySQL-serverisse andmebaasi nimega "rsyslog". Sinna hakkab toimuma logide salvestamine:

<source lang="bash">
mysqladmin -u root -p create rsyslog
</source>

Käivitame MySQL käsurea ning loome andmebaasi "rsyslog" uue kasutaja.

Siseneme andmebaasi:

<source lang="bash">
mysql -u root -p
</source>

Loome andmebaasi "rsyslog" kasutaja nimega rsyslog:

NB: 'sinu_uus_rsyslogi_parool' asemele kirjuta meelepärane parool.

<source lang="bash">
GRANT SELECT, INSERT, UPDATE ON rsyslog.* TO 'rsyslog'@'localhost' IDENTIFIED BY 'sinu_uus_rsyslogi_parool';
</source>

Aktiveerime õigused:

<source lang="bash">
FLUSH PRIVILEGES;
</source>

MySQL serverist väljumiseks:

<source lang="bash">
quit
</source>

== Rsyslog seadistamine [http://www.howtoforge.com/centralized-rsyslog-server-monitoring]==
Seadistame keskse logiserveri kasutama porti 10514. Näiteks ei kasuta me porti 514, sest Rsyslogi puhul on teada programmiviga, mille tõttu võetakse kasutajalt õigused ennem kui avatakse uus port. Seetõttu kuvatakse veateadet. Kasutama peaks porte, mis on suuremad kui 1024.
 
Täpsemalt saab selle kohta lugeda järgnevalt lingilt: [http://www.rudder-project.org/redmine/issues/2768 veakirjeldus]

Avame nano või mõne muu tekstiredaktoriga rsyslog.conf faili:

<source lang="bash">
nano /etc/rsyslog.conf
</source>

Lisame rsyslog.conf faili lõppu järgnevad read:

<source lang="bash">
$ModLoad MySQL
*.* >127.0.0.1,rsyslog,rsyslog,sinu_uus_rsyslogi_parool
</source>

Eemaldame kommentaari sümboli ‘#’ järgnevatelt ridadelt:

<source lang="bash">
# provides TCP syslog reception
$ModLoad imtcp
$InputTCPServerRun 10514
</source>

Seejärel taaskäivitame rsyslog teenuse:

<source lang="bash">
service restart
</source>

Kontrollime, kas serverid kuulavad õigeid TCP/IP porte (80, 10514 & 3306):

<source lang="bash">
netstat -tapn
</source>

Jälgime, et: 
Protsess nimega mysqld kasutab porti 3306. 
Protsess nimega apache2 kasutab porti 80. 
Protsess nimega rsyslogd kasutab porti 10514. 

<pre>

Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name

tcp 0 0 127.0.0.1:3306 0.0.0.0:* LISTEN 14689/mysqld

tcp 0 0 0.0.0.0:80 0.0.0.0:* LISTEN 14881/apache2

tcp 0 0 0.0.0.0:10514 0.0.0.0:* LISTEN 14923/rsyslogd

tcp6 0 0 :::10514 :::* LISTEN 14923/rsyslogd

</pre>

== LogAnalyzer paigaldamine [http://www.howtoforge.com/centralized-rsyslog-server-monitoring]==
Liigume /tmp kausta:
<source lang="bash">
cd /tmp
</source>

Laeme alla LogAnalyzer-i ja konfigureerime Apache veebiserveri logide näitamiseks:
<source lang="bash">
wget http://download.adiscon.com/loganalyzer/loganalyzer-3.6.5.tar.gz
</source>

Pakime lahti alla laetud tarkvara:

<source lang="bash">
tar xvzf loganalyzer-3.6.5.tar.gz
</source>

Kopeerime loganalyzer'i /var/www/ kausta:

<source lang="bash">
mv loganalyzer-3.6.5/ /var/www/
</source>

Liigume /var/www kausta:

<source lang="bash">
cd /var/www
</source>

Muudame /var/www/ kataloogis olevate failide ja kaustade omanikku ja gruppi:

<source lang="bash">
chown www-data:www-data * . -R
</source>

Loome uue kausta:

<source lang="bash">
mkdir /var/www/loganalyzer
</source>

Kopeerime /src/ kaustast kõik failid /var/www/loganalyzer kausta:

<source lang="bash">
cp loganalyzer-3.6.5/src/* /var/www/loganalyzer -R
</source>

Kopeerime /contrib/ kaustast kõik skriptifailid /var/www/loganalyzer kausta:

<source lang="bash">
cp loganalyzer-3.6.5/contrib/*.sh /var/www/loganalyzer -R
</source>

Anname skriptidele käivitusõigused:

<source lang="bash">
chmod +x /var/www/loganalyzer/*.sh
</source>

Liigume kausta:

<source lang="bash">
cd loganalyzer/
</source>

Käivitame skripti:

<source lang="bash">
sh ./configure.sh
</source>

Anname Apachele õigused kasutada syslogi: [http://www.slsmk.com/setup-syslog-with-loganalyzer-on-ubuntu-server/]

<source lang="bash">
usermod -G adm www-data
</source>

LogAnalyzeri paigaldamine jätkub veebibrauseris aadressil: http://192.168.56.201/loganalyzer/install.php

Kui tuleb ette paigaldamise juhend, siis võib jätkata paigaldamist vaikesätetega.

Nüüd peaks rsyslogi server töötama koos LogAnalyzeriga. Logisid saab vaadata aadressil http://192.168.56.201/loganalyzer/src/

= Rsyslog klientide seadistamine [http://www.howtoforge.com/centralized-rsyslog-server-monitoring]=
NB! Kõik juhendis kirjutatud käsud käivitatakse root kasutaja õigustes.

Paigaldame klientidele (client.planet.zz ja puppet.planet.zz) rsyslog paki:

Esmalt uuendame tarkvararepositooriumit:

<source lang="bash">
apt-get update && apt-get upgrade -y
</source>

Paigaldame rsyslog'i:

<source lang="bash">
apt-get install rsyslog
</source>

Avame nano või mõne muu tekstiredaktoriga rsyslog.conf faili:

<source lang="bash">
nano /etc/rsyslog.conf
</source>

Lisame rsyslog.conf faili lõppu järgnevad read:

<source lang="bash">
*.* @@192.168.56.201:10514
</source>

Taaskäivita rsyslogi teenus:

<source lang="bash">
service rsyslog restart
</source>

Kontrolli, kas server kuulab õiget TCP IP porti (10514).

<source lang="bash">
netstat -tapn
</source> 

Jälgime, et: 
Protsess nimega rsyslogd kasutab porti 10514 (Foreign Address). 
Antud väljund on client.planet.zz klientmasinast. 

<pre>
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
tcp 0 0 192.168.56.101:49155 192.168.56.201:10514 ESTABLISHED 9180/rsyslogd
</pre>

== Rsyslog klientide seadistamine puppeti abil==
Alternatiivse lahendusena saab kliente seadistada puppeti abil.

Järgnevad muudatused tehakse puppetserveris root kasutaja õigustes.

Luua kaks erinevat klassi klientmasinate konfigureerimiseks /etc/puppet/manifest/classes/ kausta.

Loo nano või mõne muu tekstiredaktoriga puppeti retsept "rsyslog.pp", mille abil paigaldatakse rsyslog tarkvara.

<source lang="bash">
nano /etc/puppet/manifests/classes/rsyslog.pp
</source> 

rsyslog.pp sisu

<source lang="bash">
class rsyslog {
package { 'rsyslog': ensure=> latest }
}
</source> 

Loo nano või mõne muu tekstiredaktoriga puppeti retsept "rsyslog_conf.pp", mille abil tehakse vajalikud muudatused klientmasinate /etc/rsyslog.conf failis.

<source lang="bash">
nano /etc/puppet/manifests/classes/rsyslog_conf.pp
</source> 

rsyslog_conf.pp sisu

<source lang="bash">
class rsyslog_conf {
file_line { 'rsyslog':
ensure => present,
line => '*.* @@192.168.56.201:10514',
path => '/etc/rsyslog.conf',
}
}
</source> 

Järgnevalt tuleb vastavad klassid lisada /etc/puppet/manifest/site.pp faili.

<source lang="bash">
import "classes/*"
node 'basenode' {
include rsyslog
include rsyslog_conf
}
</source> 

= Kokkuvõte =

Lõpplahendusena valmis keskne logihaldussüsteem Rsyslog baasil, et oleks võimalik vaadata ning analüüsida logisid veebibrauseri abil.

= Kasutatud kirjandus =

http://www.howtoforge.com/centralized-rsyslog-server-monitoring 
http://www.slsmk.com/setup-syslog-with-loganalyzer-on-ubuntu-server/ 
http://badsimplicity.com/rsyslog-not-listening-tcp-on-port-514/ 
http://enos.itcollege.ee/~mernits/Linux%20administreerimine/Arnus%20-%20keskne%20logilahendus.pdf

Keskse logilahenduse rakendamine Rsyslog näitel

2014-01-02T13:33:31Z

Kkuurman: /* Rsyslog seadistamine [http://www.howtoforge.com/centralized-rsyslog-server-monitoring] */

= Eesmärk =
Juhendi eesmärgiks on keskse logilahenduse rakendamine virtualiseeritud testkeskkonnas.

= Eeldused =
Testkeskkonnas on virtuaalmasinate võrguparameetrid eelnevalt seadistatud.

Võrguparameetrite seadistamiseks loe juhendit [[Ubuntu server võrgu seadistamine]] ja [[VirtualBoxi võrgud]].

= Nõuded tarkvarale =

Töötab Linux/Unix keskkonnas;

Võimaldab TCP protokolli kasutada;

Avatud lähtekoodiga või vaba tarkvara;

Logide jälgimine veebikeskkonnas.

= Tarkvara valik =
Nõuetele vastab Rsyslog ja LogAnalyzer. Valiku langetasime tuginedes Sander Arnuse [http://enos.itcollege.ee/~mernits/Linux%20administreerimine/Arnus%20-%20keskne%20logilahendus.pdf lõputööle]. 

Alternatiivse logiserveri tarkvarana võib kasutada näiteks logstash'i või syslog-ng'd. 

Kliendi masinates võib kasutada logitarkvarana nxlog'i või syslog-ng'd. 

LogAnalyzer'i asemel võib kasutada Kibana't. 

= Virtuaalmasinate seadistused =
Selle konkreetse lahenduskäigu puhul on kasutusel kolm virtuaalmasinat:

1) [https://wiki.itcollege.ee/index.php/Puppet Puppet server]: Ubuntu Server 64bit versioon 12.04.3 LTS.

puppet.planet.zz 192.168.56.200

2) Keskne logiserver: Ubuntu Server 64bit versioon 12.04.3 LTS.

rsyslog.planet.zz 192.168.56.201

3) Klient: Ubuntu Desktop 64bit versioon 13.

client.planet.zz 192.168.56.101

 
[[File:skeem1.png]]
 
Joonis 1: Virtuaalmasinate topoloogia

= Tarkvara kirjeldus =
Lahendus on testitud ja töötab kasutades järgnevaid tarkvara versioone.
 
Rsyslog versioon 5.8.6 - logiserver, mis saadab ja võtab vastu klientide poolt saadetud logid

Apache2 versioon 2.2.22 - veebiserver, mis seadistatakse hilisemaks logide veebipõhiseks vaatamiseks

MySQL server versioon 5.5 - andmebaasiserver, kuhu salvestatakse logid nende hilisemaks analüüsiks

LogAnalyzer versioon 3.6.5 - veebipõhine kasutajaliides logide otsimiseks ja analüüsimiseks reaalajas

= Logiserveri seadistamine =

== Tarkvara paigaldamine [http://www.slsmk.com/setup-syslog-with-loganalyzer-on-ubuntu-server/][http://www.howtoforge.com/centralized-rsyslog-server-monitoring]==
NB! Kõik juhendis kirjutatud käsud käivitatakse root kasutaja õigustes.

Paigaldame keskses logiserveris (rsyslog.planet.zz) vajalikud pakid.

Esmalt uuendame tarkvararepositooriumit:

<source lang="bash">
apt-get update && apt-get upgrade -y
</source>

Paigaldame rsyslog'i:

<source lang="bash">
apt-get install rsyslog
</source>

Paigaldame apache veebiserveri:

<source lang="bash">
apt-get install apache2
</source>

Paigaldame MySQL andmebaasiserveri:

(MySQL-serveri paigaldamisel tuleb määrata root kasutaja parool)

<source lang="bash">
apt-get install mysql-server
</source>

Paigaldame php5 ja vajalikud moodulid:

<source lang="bash">
apt-get install php5 php5-gd libapache2-mod-php5 php5-mysql
</source>

Taaskäivitame teenused:

<source lang="bash">
service rsyslog restart
</source> 
<source lang="bash">
service mysql restart
</source> 
<source lang="bash">
service apache2 restart
</source>

Kontrollime, kas veebiserver ja andmebaasiserver kasutavad õigeid TCP/IP porte (80, 3306):

<source lang="bash">
netstat -tapn
</source>

Jälgime, et: 
Protsess nimega mysqld kasutab porti 3306. 
Protsess nimega apache2 kasutab porti 80. 

<pre>

Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name

tcp 0 0 127.0.0.1:3306 0.0.0.0:* LISTEN 18595/mysqld

tcp 0 0 0.0.0.0:80 0.0.0.0:* LISTEN 18766/apache2

</pre>

== MySQL-serveri seadistamine [http://www.howtoforge.com/centralized-rsyslog-server-monitoring]==

Loome MySQL-serverisse andmebaasi nimega "rsyslog". Sinna hakkab toimuma logide salvestamine:

<source lang="bash">
mysqladmin -u root -p create rsyslog
</source>

Käivitame MySQL käsurea ning loome andmebaasi "rsyslog" uue kasutaja.

Siseneme andmebaasi:

<source lang="bash">
mysql -u root -p
</source>

Loome andmebaasi "rsyslog" kasutaja nimega rsyslog:

NB: 'sinu_uus_rsyslogi_parool' asemele kirjuta meelepärane parool.

<source lang="bash">
GRANT SELECT, INSERT, UPDATE ON rsyslog.* TO 'rsyslog'@'localhost' IDENTIFIED BY 'sinu_uus_rsyslogi_parool';
</source>

Aktiveerime õigused:

<source lang="bash">
FLUSH PRIVILEGES;
</source>

MySQL serverist väljumiseks:

<source lang="bash">
quit
</source>

== Rsyslog seadistamine [http://www.howtoforge.com/centralized-rsyslog-server-monitoring]==
Seadistame keskse logiserveri kasutama porti 10514. Näiteks ei kasuta me porti 514, sest Rsyslogi puhul on teada programmiviga, mille tõttu võetakse kasutajalt õigused ennem kui avatakse uus port. Seetõttu kuvatakse veateadet. Kasutama peaks porte, mis on suuremad kui 1024.
 
[http://www.rudder-project.org/redmine/issues/2768 veakirjeldus]

Avame nano või mõne muu tekstiredaktoriga rsyslog.conf faili:

<source lang="bash">
nano /etc/rsyslog.conf
</source>

Lisame rsyslog.conf faili lõppu järgnevad read:

<source lang="bash">
$ModLoad MySQL
*.* >127.0.0.1,rsyslog,rsyslog,sinu_uus_rsyslogi_parool
</source>

Eemaldame kommentaari sümboli ‘#’ järgnevatelt ridadelt:

<source lang="bash">
# provides TCP syslog reception
$ModLoad imtcp
$InputTCPServerRun 10514
</source>

Seejärel taaskäivitame rsyslog teenuse:

<source lang="bash">
service restart
</source>

Kontrollime, kas serverid kuulavad õigeid TCP/IP porte (80, 10514 & 3306):

<source lang="bash">
netstat -tapn
</source>

Jälgime, et: 
Protsess nimega mysqld kasutab porti 3306. 
Protsess nimega apache2 kasutab porti 80. 
Protsess nimega rsyslogd kasutab porti 10514. 

<pre>

Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name

tcp 0 0 127.0.0.1:3306 0.0.0.0:* LISTEN 14689/mysqld

tcp 0 0 0.0.0.0:80 0.0.0.0:* LISTEN 14881/apache2

tcp 0 0 0.0.0.0:10514 0.0.0.0:* LISTEN 14923/rsyslogd

tcp6 0 0 :::10514 :::* LISTEN 14923/rsyslogd

</pre>

== LogAnalyzer paigaldamine [http://www.howtoforge.com/centralized-rsyslog-server-monitoring]==
Liigume /tmp kausta:
<source lang="bash">
cd /tmp
</source>

Laeme alla LogAnalyzer-i ja konfigureerime Apache veebiserveri logide näitamiseks:
<source lang="bash">
wget http://download.adiscon.com/loganalyzer/loganalyzer-3.6.5.tar.gz
</source>

Pakime lahti alla laetud tarkvara:

<source lang="bash">
tar xvzf loganalyzer-3.6.5.tar.gz
</source>

Kopeerime loganalyzer'i /var/www/ kausta:

<source lang="bash">
mv loganalyzer-3.6.5/ /var/www/
</source>

Liigume /var/www kausta:

<source lang="bash">
cd /var/www
</source>

Muudame /var/www/ kataloogis olevate failide ja kaustade omanikku ja gruppi:

<source lang="bash">
chown www-data:www-data * . -R
</source>

Loome uue kausta:

<source lang="bash">
mkdir /var/www/loganalyzer
</source>

Kopeerime /src/ kaustast kõik failid /var/www/loganalyzer kausta:

<source lang="bash">
cp loganalyzer-3.6.5/src/* /var/www/loganalyzer -R
</source>

Kopeerime /contrib/ kaustast kõik skriptifailid /var/www/loganalyzer kausta:

<source lang="bash">
cp loganalyzer-3.6.5/contrib/*.sh /var/www/loganalyzer -R
</source>

Anname skriptidele käivitusõigused:

<source lang="bash">
chmod +x /var/www/loganalyzer/*.sh
</source>

Liigume kausta:

<source lang="bash">
cd loganalyzer/
</source>

Käivitame skripti:

<source lang="bash">
sh ./configure.sh
</source>

Anname Apachele õigused kasutada syslogi: [http://www.slsmk.com/setup-syslog-with-loganalyzer-on-ubuntu-server/]

<source lang="bash">
usermod -G adm www-data
</source>

LogAnalyzeri paigaldamine jätkub veebibrauseris aadressil: http://192.168.56.201/loganalyzer/install.php

Kui tuleb ette paigaldamise juhend, siis võib jätkata paigaldamist vaikesätetega.

Nüüd peaks rsyslogi server töötama koos LogAnalyzeriga. Logisid saab vaadata aadressil http://192.168.56.201/loganalyzer/src/

= Rsyslog klientide seadistamine [http://www.howtoforge.com/centralized-rsyslog-server-monitoring]=
NB! Kõik juhendis kirjutatud käsud käivitatakse root kasutaja õigustes.

Paigaldame klientidele (client.planet.zz ja puppet.planet.zz) rsyslog paki:

Esmalt uuendame tarkvararepositooriumit:

<source lang="bash">
apt-get update && apt-get upgrade -y
</source>

Paigaldame rsyslog'i:

<source lang="bash">
apt-get install rsyslog
</source>

Avame nano või mõne muu tekstiredaktoriga rsyslog.conf faili:

<source lang="bash">
nano /etc/rsyslog.conf
</source>

Lisame rsyslog.conf faili lõppu järgnevad read:

<source lang="bash">
*.* @@192.168.56.201:10514
</source>

Taaskäivita rsyslogi teenus:

<source lang="bash">
service rsyslog restart
</source>

Kontrolli, kas server kuulab õiget TCP IP porti (10514).

<source lang="bash">
netstat -tapn
</source> 

Jälgime, et: 
Protsess nimega rsyslogd kasutab porti 10514 (Foreign Address). 
Antud väljund on client.planet.zz klientmasinast. 

<pre>
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
tcp 0 0 192.168.56.101:49155 192.168.56.201:10514 ESTABLISHED 9180/rsyslogd
</pre>

== Rsyslog klientide seadistamine puppeti abil==
Alternatiivse lahendusena saab kliente seadistada puppeti abil.

Järgnevad muudatused tehakse puppetserveris root kasutaja õigustes.

Luua kaks erinevat klassi klientmasinate konfigureerimiseks /etc/puppet/manifest/classes/ kausta.

Loo nano või mõne muu tekstiredaktoriga puppeti retsept "rsyslog.pp", mille abil paigaldatakse rsyslog tarkvara.

<source lang="bash">
nano /etc/puppet/manifests/classes/rsyslog.pp
</source> 

rsyslog.pp sisu

<source lang="bash">
class rsyslog {
package { 'rsyslog': ensure=> latest }
}
</source> 

Loo nano või mõne muu tekstiredaktoriga puppeti retsept "rsyslog_conf.pp", mille abil tehakse vajalikud muudatused klientmasinate /etc/rsyslog.conf failis.

<source lang="bash">
nano /etc/puppet/manifests/classes/rsyslog_conf.pp
</source> 

rsyslog_conf.pp sisu

<source lang="bash">
class rsyslog_conf {
file_line { 'rsyslog':
ensure => present,
line => '*.* @@192.168.56.201:10514',
path => '/etc/rsyslog.conf',
}
}
</source> 

Järgnevalt tuleb vastavad klassid lisada /etc/puppet/manifest/site.pp faili.

<source lang="bash">
import "classes/*"
node 'basenode' {
include rsyslog
include rsyslog_conf
}
</source> 

= Kokkuvõte =

Lõpplahendusena valmis keskne logihaldussüsteem Rsyslog baasil, et oleks võimalik vaadata ning analüüsida logisid veebibrauseri abil.

= Kasutatud kirjandus =

http://www.howtoforge.com/centralized-rsyslog-server-monitoring 
http://www.slsmk.com/setup-syslog-with-loganalyzer-on-ubuntu-server/ 
http://badsimplicity.com/rsyslog-not-listening-tcp-on-port-514/ 
http://enos.itcollege.ee/~mernits/Linux%20administreerimine/Arnus%20-%20keskne%20logilahendus.pdf

Keskse logilahenduse rakendamine Rsyslog näitel

2013-12-19T14:17:28Z

Kkuurman:

= Eesmärk =
Juhendi eesmärgiks on keskse logilahenduse rakendamine virtualiseeritud testkeskkonnas.

= Eeldused =
Testkeskkonnas on virtuaalmasinate võrguparameetrid eelnevalt seadistatud.

Võrguparameetrite seadistamiseks loe juhendit [[Ubuntu server võrgu seadistamine]] ja [[VirtualBoxi võrgud]].

= Nõuded tarkvarale =

Töötab Linux/Unix keskkonnas;

Võimaldab TCP protokolli kasutada;

Avatud lähtekoodiga või vaba tarkvara;

Logide jälgimine veebikeskkonnas.

= Tarkvara valik =
Nõuetele vastab Rsyslog ja LogAnalyzer. Valiku langetasime tuginedes Sander Arnuse [http://enos.itcollege.ee/~mernits/Linux%20administreerimine/Arnus%20-%20keskne%20logilahendus.pdf lõputööle]. 

Alternatiivsete logiserveri tarkvarana võib kasutada näiteks logstash'i või syslog-ng'd. 

Kliendi masinates võib kasutada logitarkvarana nxlog'i või syslog-ng'd. 

LogAnalyzer'i asemel võib kasutada Kibana't. 

= Virtuaalmasinate seadistused =
Selle konkreetse lahenduskäigu puhul on kasutusel kolm virtuaalmasinat:

1) Puppet server: Ubuntu Server 64bit versioon 12.04.3 LTS.

puppet.planet.zz 192.168.56.200

2) Keskne logiserver: Ubuntu Server 64bit versioon 12.04.3 LTS.

rsyslog.planet.zz 192.168.56.201

3) Klient: Ubuntu Desktop 64bit versioon 13.

client.planet.zz 192.168.56.101

= Tarkvara kirjeldus =
Rsyslog versioon 5.8.6 - logiserver, mis saadab ja võtab vastu klientide poolt saadetud logid

Apache2 versioon 2.2.22 - veebiserver, mis seadistatakse hilisemaks logide veebipõhiseks vaatamiseks

MySQL server versioon 5.5 - andmebaasiserver, kuhu salvestatakse logid nende hilisemaks analüüsiks

LogAnalyzer versioon 3.6.5 - veebipõhine kasutajaliides logide otsimiseks ja analüüsimiseks reaalajas

= Logiserveri seadistamine =

== Tarkvara paigaldamine ==
NB! Kõik juhendis kirjutatud käsud käivitatakse root kasutaja õigustes.

Paigaldame keskses logiserveris (rsyslog.planet.zz) vajalikud pakid.

Esmalt uuendame tarkvararepositooriumit:

<source lang="bash">
apt-get update && apt-get upgrade -y
</source>

Paigaldame rsyslog'i:

<source lang="bash">
apt-get install rsyslog
</source>

Paigaldame apache veebiserveri:

<source lang="bash">
apt-get install apache2
</source>

Paigaldame MySQL andmebaasiserveri:

(MySQL-serveri paigaldamisel tuleb määrata root kasutaja parool)

<source lang="bash">
apt-get install mysql-server
</source>

Paigaldame php5 ja vajalikud moodulid:

<source lang="bash">
apt-get install php5 php5-gd libapache2-mod-php5 php5-mysql
</source>

Taaskäivitame teenused:

<source lang="bash">
/etc/init.d/rsyslog restart
</source> 
<source lang="bash">
/etc/init.d/mysql restart
</source> 
<source lang="bash">
/etc/init.d/apache2 restart
</source>

Kontrollime, kas veebiserver ja andmebaasiserver kasutavad õigeid TCP/IP porte (80, 3306):

<source lang="bash">
netstat -tapn
</source>

Jälgime, et: 
Protsess nimega mysqld kasutab porti 3306. 
Protsess nimega apache2 kasutab porti 3306. 

<pre>

Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name

tcp 0 0 127.0.0.1:3306 0.0.0.0:* LISTEN 18595/mysqld

tcp 0 0 0.0.0.0:80 0.0.0.0:* LISTEN 18766/apache2

</pre>

== MySQL-serveri seadistamine ==
Loome MySQL-serverisse andmebaasi nimega "rsyslog". Sinna hakkab toimuma logide salvestamine:

<source lang="bash">
mysqladmin -u root -p create rsyslog
</source>

Käivitame MySQL käsurea ning loome andmebaasi "rsyslog" uue kasutaja.

Siseneme andmebaasi:

<source lang="bash">
mysql -u root -p
</source>

Loome andmebaasi "rsyslog" kasutaja nimega rsyslog:

NB: 'sinu_uus_rsyslogi_parool' asemele kirjuta meelepärane parool.

<source lang="bash">
GRANT SELECT, INSERT, UPDATE, DELETE ON rsyslog.* TO 'rsyslog'@'localhost' IDENTIFIED BY 'sinu_uus_rsyslogi_parool';
</source>

Aktiveerime õigused:

<source lang="bash">
FLUSH PRIVILEGES;
</source>

MySQL serverist väljumiseks:

<source lang="bash">
quit
</source>

== Rsyslog seadistamine ==
Seadistame keskse logiserveri kasutama porti 10514.

Avame nano või mõne muu tekstiredaktoriga rsyslog.conf faili:

<source lang="bash">
nano /etc/rsyslog.conf
</source>

Lisame rsyslog.conf faili lõppu järgnevad read:

<source lang="bash">
$ModLoad MySQL
*.* >127.0.0.1,rsyslog,rsyslog,sinu_uus_rsyslogi_parool
</source>

Eemaldame kommentaari sümboli ‘#’ järgnevatelt ridadelt:

<source lang="bash">
# provides TCP syslog reception
$ModLoad imtcp
$InputTCPServerRun 10514
</source>

Seejärel taaskäivitame rsyslog teenuse:

<source lang="bash">
/etc/init.d/rsyslog restart
</source>

Kontrollime, kas serverid kuulavad õigeid TCP/IP porte (80, 10514 & 3306):

<source lang="bash">
netstat -tapn
</source>

Jälgime, et: 
Protsess nimega mysqld kasutab porti 3306. 
Protsess nimega apache2 kasutab porti 3306. 
Protsess nimega rsyslogd kasutab porti 10514. 

<pre>

Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name

tcp 0 0 127.0.0.1:3306 0.0.0.0:* LISTEN 14689/mysqld

tcp 0 0 0.0.0.0:80 0.0.0.0:* LISTEN 14881/apache2

tcp 0 0 0.0.0.0:10514 0.0.0.0:* LISTEN 14923/rsyslogd

tcp6 0 0 :::10514 :::* LISTEN 14923/rsyslogd

</pre>

== LogAnalyzer paigaldamine ==
Laeme alla LogAnalyzer-i ja konfigureerime Apache veebiserveri logide näitamiseks.

<source lang="bash">
wget http://download.adiscon.com/loganalyzer/loganalyzer-3.6.5.tar.gz
</source>

Pakime lahti alla laetud tarkvara:

<source lang="bash">
tar xvzf loganalyzer-3.6.5.tar.gz
</source>

Kopeerime loganalyzer'i /var/www/ kausta:

<source lang="bash">
mv loganalyzer-3.6.5/ /var/www/
</source>

Liigume /var/www kausta:

<source lang="bash">
cd /var/www
</source>

Muudame /var/www/ kataloogis olevate failide ja kaustade omanikku ja gruppi:

<source lang="bash">
chown www-data:www-data .* -R
</source>

Loome uue kausta:

<source lang="bash">
mkdir /var/www/loganalyzer
</source>

Kopeerime /src/ kaustast kõik failid /var/www/loganalyzer kausta:

<source lang="bash">
cp loganalyzer-3.6.5/src/* /var/www/loganalyzer -R
</source>

Kopeerime /contrib/ kaustast kõik skriptifailid /var/www/loganalyzer kausta:

<source lang="bash">
cp loganalyzer-3.6.5/contrib/*.sh /var/www/loganalyzer -R
</source>

Anname skriptidele käivitusõigused:

<source lang="bash">
chmod +x /var/www/loganalyzer/*.sh
</source>

Liigume kausta:

<source lang="bash">
cd loganalyzer/
</source>

Käivitame skripti:

<source lang="bash">
sh ./configure.sh
</source>

Anname Apachele õigused kasutada syslogi:

<source lang="bash">
usermod -G adm www-data
</source>

LogAnalyzeri paigaldamine jätkub veebibrauseris.

Mine veebibrauseriga aadressile: http://192.168.56.201/loganalyzer/install.php

Kui tuleb ette paigaldamise juhend, siis võib jätkata paigaldamist vaikesätetega.

Nüüd peaks rsyslogi server töötama koos LogAnalyzeriga.

= Rsyslog klientide seadistamine =
NB! Kõik juhendis kirjutatud käsud käivitatakse root kasutaja õigustes.

Paigaldame klientidele (client.planet.zz ja puppet.planet.zz) rsyslog paki:

Esmalt uuendame tarkvararepositooriumit:

<source lang="bash">
apt-get update && apt-get upgrade -y
</source>

Paigaldame rsyslog'i:

<source lang="bash">
apt-get install rsyslog
</source>

Avame nano või mõne muu tekstiredaktoriga rsyslog.conf faili:

<source lang="bash">
nano /etc/rsyslog.conf
</source>

Lisame rsyslog.conf faili lõppu järgnevad read:

<source lang="bash">
*.* @@192.168.56.201:10514
</source>

Taaskäivita rsyslogi teenus:

<source lang="bash">
/etc/init.d/rsyslog restart
</source>

Kontrolli, kas server kuulab õiget TCP IP porti (10514).

<source lang="bash">
netstat -tapn
</source> 

Jälgime, et: 
Protsess nimega rsyslogd kasutab porti 10514 (Foreign Address). 
Antud väljund on client.planet.zz klientmasinast. 

<pre>
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
tcp 0 0 192.168.56.101:49155 192.168.56.201:10514 ESTABLISHED 9180/rsyslogd
</pre>

= Kokkuvõte =

Lõpplahendusena valmis keskne logihaldussüsteem Rsyslog baasil, kus logisid on võimalik veebibrauseri abil vaadata ning analüüsida.

= Kasutatud kirjandus =

http://www.howtoforge.com/centralized-rsyslog-server-monitoring 
http://www.slsmk.com/setup-syslog-with-loganalyzer-on-ubuntu-server/ 
http://badsimplicity.com/rsyslog-not-listening-tcp-on-port-514/ 
http://enos.itcollege.ee/~mernits/Linux%20administreerimine/Arnus%20-%20keskne%20logilahendus.pdf

Keskse logilahenduse rakendamine Rsyslog näitel

2013-12-19T14:01:09Z

Kkuurman:

= Eesmärk =
Juhendi eesmärgiks on keskse logilahenduse rakendamine virtualiseeritud testkeskkonnas.

= Eeldused =
Testkeskkonnas on virtuaalmasinate võrguparameetrid eelnevalt seadistatud.

Võrguparameetrite seadistamiseks loe juhendit [[Ubuntu server võrgu seadistamine]] ja [[VirtualBoxi võrgud]].

= Nõuded tarkvarale =

Töötab Linux/Unix keskkonnas;

Võimaldab TCP protokolli kasutada;

Avatud lähtekoodiga või vaba tarkvara;

Logide jälgimine veebikeskkonnas.

= Tarkvara valik =
Nõuetele vastab Rsyslog ja LogAnalyzer. Valiku langetasime tuginedes Sander Arnuse [http://enos.itcollege.ee/~mernits/Linux%20administreerimine/Arnus%20-%20keskne%20logilahendus.pdf lõputööle]. 

Alternatiivsete logiserveri tarkvarana võib kasutada näiteks logstash'i või syslog-ng'd. 

Kliendi masinates võib kasutada logitarkvarana nxlog'i või syslog-ng'd. 

LogAnalyzer'i asemel võib kasutada Kibana't. 

= Virtuaalmasinate seadistused =
Selle konkreetse lahenduskäigu puhul on kasutusel kolm virtuaalmasinat:

1) Puppet server: Ubuntu Server 64bit versioon 12.04.3 LTS.

puppet.planet.zz 192.168.56.200

2) Keskne logiserver: Ubuntu Server 64bit versioon 12.04.3 LTS.

rsyslog.planet.zz 192.168.56.201

3) Klient: Ubuntu Desktop 64bit versioon 13.

client.planet.zz 192.168.56.101

= Tarkvara kirjeldus =
Rsyslog versioon 5.8.6 - logiserver, mis saadab ja võtab vastu klientide poolt saadetud logid

Apache2 versioon 2.2.22 - veebiserver, mis seadistatakse hilisemaks logide veebipõhiseks vaatamiseks

MySQL server versioon 5.5 - andmebaasiserver, kuhu salvestatakse logid nende hilisemaks analüüsiks

LogAnalyzer versioon 3.6.5 - veebipõhine kasutajaliides logide otsimiseks ja analüüsimiseks reaalajas

= Logiserveri seadistamine =

== Tarkvara paigaldamine ==
NB! Kõik juhendis kirjutatud käsud käivitatakse root kasutaja õigustes.

Paigaldame keskses logiserveris (rsyslog.planet.zz) vajalikud pakid.

Esmalt uuendame tarkvararepositooriumit:

<source lang="bash">
apt-get update && apt-get upgrade -y
</source>

Paigaldame rsyslog'i:

<source lang="bash">
apt-get install rsyslog
</source>

Paigaldame apache veebiserveri:

<source lang="bash">
apt-get install apache2
</source>

Paigaldame MySQL andmebaasiserveri:

(MySQL-serveri paigaldamisel tuleb määrata root kasutaja parool)

<source lang="bash">
apt-get install mysql-server
</source>

Paigaldame php5 ja vajalikud moodulid:

<source lang="bash">
apt-get install php5 php5-gd libapache2-mod-php5 php5-mysql
</source>

Taaskäivitame teenused:

<source lang="bash">
/etc/init.d/rsyslog restart
</source> 
<source lang="bash">
/etc/init.d/mysql restart
</source> 
<source lang="bash">
/etc/init.d/apache2 restart
</source>

Kontrollime, kas veebiserver ja andmebaasiserver kasutavad õigeid TCP/IP porte (80, 3306):

<source lang="bash">
netstat -tapn
</source>

Jälgime, et: 
Protsess nimega mysqld kasutab porti 3306. 
Protsess nimega apache2 kasutab porti 3306. 

<pre>

Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name

tcp 0 0 127.0.0.1:3306 0.0.0.0:* LISTEN 18595/mysqld

tcp 0 0 0.0.0.0:80 0.0.0.0:* LISTEN 18766/apache2

</pre>

== MySQL-serveri seadistamine ==
Loome MySQL-serverisse andmebaasi nimega "rsyslog". Sinna hakkab toimuma logide salvestamine:

<source lang="bash">
mysqladmin -u root -p create rsyslog
</source>

Käivitame MySQL käsurea ning loome andmebaasi "rsyslog" uue kasutaja.

Siseneme andmebaasi:

<source lang="bash">
mysql -u root -p
</source>

Loome andmebaasi "rsyslog" kasutaja nimega rsyslog:

NB: 'sinu_uus_rsyslogi_parool' asemele kirjuta meelepärane parool.

<source lang="bash">
GRANT SELECT, INSERT, UPDATE, DELETE ON rsyslog.* TO 'rsyslog'@'localhost' IDENTIFIED BY 'sinu_uus_rsyslogi_parool';
</source>

Aktiveerime õigused:

<source lang="bash">
FLUSH PRIVILEGES;
</source>

MySQL serverist väljumiseks:

<source lang="bash">
quit
</source>

== Rsyslog seadistamine ==
Seadistame keskse logiserveri kasutama porti 10514.

Avame nano või mõne muu tekstiredaktoriga rsyslog.conf faili:

<source lang="bash">
nano /etc/rsyslog.conf
</source>

Lisame rsyslog.conf faili lõppu järgnevad read:

<source lang="bash">
$ModLoad MySQL
*.* >127.0.0.1,rsyslog,rsyslog,sinu_uus_rsyslogi_parool
</source>

Eemaldame kommentaari sümboli ‘#’ järgnevatelt ridadelt:

<source lang="bash">
# provides TCP syslog reception
$ModLoad imtcp
$InputTCPServerRun 10514
</source>

Seejärel taaskäivitame rsyslog teenuse:

<source lang="bash">
/etc/init.d/rsyslog restart
</source>

Kontrollime, kas serverid kuulavad õigeid TCP/IP porte (80, 10514 & 3306):

<source lang="bash">
netstat -tapn
</source>

Jälgime, et: 
Protsess nimega mysqld kasutab porti 3306. 
Protsess nimega apache2 kasutab porti 3306. 
Protsess nimega rsyslogd kasutab porti 10514. 

<pre>

Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name

tcp 0 0 127.0.0.1:3306 0.0.0.0:* LISTEN 14689/mysqld

tcp 0 0 0.0.0.0:80 0.0.0.0:* LISTEN 14881/apache2

tcp 0 0 0.0.0.0:10514 0.0.0.0:* LISTEN 14923/rsyslogd

tcp6 0 0 :::10514 :::* LISTEN 14923/rsyslogd

</pre>

== LogAnalyzer paigaldamine ==
Laeme alla LogAnalyzer-i ja konfigureerime Apache veebiserveri logide näitamiseks.

<source lang="bash">
wget http://download.adiscon.com/loganalyzer/loganalyzer-3.6.5.tar.gz
</source>

Pakime lahti alla laetud tarkvara:

<source lang="bash">
tar xvzf loganalyzer-3.6.5.tar.gz
</source>

Kopeerime loganalyzer'i /var/www/ kausta:

<source lang="bash">
mv loganalyzer-3.6.5/ /var/www/
</source>

Liigume /var/www kausta:

<source lang="bash">
cd /var/www
</source>

Muudame /var/www/ kataloogis olevate failide ja kaustade omanikku ja gruppi:

<source lang="bash">
chown www-data:www-data .* -R
</source>

Loome uue kausta:

<source lang="bash">
mkdir /var/www/loganalyzer
</source>

Kopeerime /src/ kaustast kõik failid /var/www/loganalyzer kausta:

<source lang="bash">
cp loganalyzer-3.6.5/src/* /var/www/loganalyzer -R
</source>

Kopeerime /contrib/ kaustast kõik skriptifailid /var/www/loganalyzer kausta:

<source lang="bash">
cp loganalyzer-3.6.5/contrib/*.sh /var/www/loganalyzer -R
</source>

Anname skriptidele käivitusõigused:

<source lang="bash">
chmod +x /var/www/loganalyzer/*.sh
</source>

Liigume kausta:

<source lang="bash">
cd loganalyzer/
</source>

Käivitame skripti:

<source lang="bash">
sh ./configure.sh
</source>

Anname Apachele õigused kasutada syslogi:

<source lang="bash">
usermod -G adm www-data
</source>

LogAnalyzeri paigaldamine jätkub veebibrauseris.

Mine veebibrauseriga aadressile: http://192.168.56.201/loganalyzer/install.php

Kui tuleb ette paigaldamise juhend, siis võib jätkata paigaldamist vaikesätetega.

Nüüd peaks rsyslogi server töötama koos LogAnalyzeriga.

= Rsyslog klientide seadistamine =
NB! Kõik juhendis kirjutatud käsud käivitatakse root kasutaja õigustes.

Paigaldame klientidele (client.planet.zz ja puppet.planet.zz) rsyslog paki:

Esmalt uuendame tarkvararepositooriumit:

<source lang="bash">
apt-get update && apt-get upgrade -y
</source>

Paigaldame rsyslog'i:

<source lang="bash">
apt-get install rsyslog
</source>

Avame nano või mõne muu tekstiredaktoriga rsyslog.conf faili:

<source lang="bash">
nano /etc/rsyslog.conf
</source>

Lisame rsyslog.conf faili lõppu järgnevad read:

<source lang="bash">
*.* @@192.168.56.201:10514
</source>

Taaskäivita rsyslogi teenus:

<source lang="bash">
/etc/init.d/rsyslog restart
</source>

Kontrolli, kas server kuulab õiget TCP IP porti (10514).

<source lang="bash">
netstat -tapn
</source> 

Jälgime, et: 
Protsess nimega rsyslogd kasutab porti 10514 (Foreign Address). 
Antud väljund on client.planet.zz klientmasinast. 

<pre>
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
tcp 0 0 192.168.56.101:49155 192.168.56.201:10514 ESTABLISHED 9180/rsyslogd
</pre>

= Kasutatud kirjandus =

http://www.howtoforge.com/centralized-rsyslog-server-monitoring 
http://www.slsmk.com/setup-syslog-with-loganalyzer-on-ubuntu-server/ 
http://badsimplicity.com/rsyslog-not-listening-tcp-on-port-514/ 
http://enos.itcollege.ee/~mernits/Linux%20administreerimine/Arnus%20-%20keskne%20logilahendus.pdf

Keskse logilahenduse rakendamine Rsyslog näitel

2013-12-19T14:00:39Z

Kkuurman:

= Eesmärk =
Juhendi eesmärgiks on keskse logilahenduse rakendamine virtualiseeritud testkeskkonnas.

= Eeldused =
Testkeskkonnas on virtuaalmasinate võrguparameetrid eelnevalt seadistatud.

Võrguparameetrite seadistamiseks loe juhendit [[Ubuntu server võrgu seadistamine]] ja [[VirtualBoxi võrgud]].

= Nõuded tarkvarale =

Töötab Linux/Unix keskkonnas;

Võimaldab TCP protokolli kasutada;

Avatud lähtekoodiga või vaba tarkvara;

Logide jälgimine veebikeskkonnas.

= Tarkvara valik =
Nõuetele vastab Rsyslog ja LogAnalyzer. Valiku langetasime tuginedes Sander Arnuse [http://enos.itcollege.ee/~mernits/Linux%20administreerimine/Arnus%20-%20keskne%20logilahendus.pdf lõputööle]. 

Alternatiivsete logiserveri tarkvarana võib kasutada näiteks logstash'i või syslog-ng'd. 

Kliendi masinates võib kasutada logitarkvarana nxlog'i või syslog-ng'd. 

LogAnalyzer'i asemel võib kasutada Kibana't. 

= Virtuaalmasinate seadistused =
Selle konkreetse lahenduskäigu puhul on kasutusel kolm virtuaalmasinat:

1) Puppet server: Ubuntu Server 64bit versioon 12.04.3 LTS.

puppet.planet.zz 192.168.56.200

2) Keskne logiserver: Ubuntu Server 64bit versioon 12.04.3 LTS.

rsyslog.planet.zz 192.168.56.201

3) Klient: Ubuntu Desktop 64bit versioon 13.

client.planet.zz 192.168.56.101

= Tarkvara kirjeldus =
Rsyslog versioon 5.8.6 - logiserver, mis saadab ja võtab vastu klientide poolt saadetud logid

Apache2 versioon 2.2.22 - veebiserver, mis seadistatakse hilisemaks logide veebipõhiseks vaatamiseks

MySQL server versioon 5.5 - andmebaasiserver, kuhu salvestatakse logid nende hilisemaks analüüsiks

LogAnalyzer versioon 3.6.5 - veebipõhine kasutajaliides logide otsimiseks ja analüüsimiseks reaalajas

= Logiserveri seadistamine =

== Tarkvara paigaldamine ==
NB! Kõik juhendis kirjutatud käsud käivitatakse root kasutaja õigustes.

Paigaldame keskses logiserveris (rsyslog.planet.zz) vajalikud pakid.

Esmalt uuendame tarkvararepositooriumit:

<source lang="bash">
apt-get update && apt-get upgrade -y
</source>

Paigaldame rsyslog'i:

<source lang="bash">
apt-get install rsyslog
</source>

Paigaldame apache veebiserveri:

<source lang="bash">
apt-get install apache2
</source>

Paigaldame MySQL andmebaasiserveri:

(MySQL-serveri paigaldamisel tuleb määrata root kasutaja parool)

<source lang="bash">
apt-get install mysql-server
</source>

Paigaldame php5 ja vajalikud moodulid:

<source lang="bash">
apt-get install php5 php5-gd libapache2-mod-php5 php5-mysql
</source>

Taaskäivitame teenused:

<source lang="bash">
/etc/init.d/rsyslog restart
</source> 
<source lang="bash">
/etc/init.d/mysql restart
</source> 
<source lang="bash">
/etc/init.d/apache2 restart
</source>

Kontrollime, kas veebiserver ja andmebaasiserver kasutavad õigeid TCP/IP porte (80, 3306):

<source lang="bash">
netstat -tapn
</source>

Jälgime, et: 
Protsess nimega mysqld kasutab porti 3306. 
Protsess nimega apache2 kasutab porti 3306. 

<pre>

Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name

tcp 0 0 127.0.0.1:3306 0.0.0.0:* LISTEN 18595/mysqld

tcp 0 0 0.0.0.0:80 0.0.0.0:* LISTEN 18766/apache2

</pre>

== MySQL-serveri seadistamine ==
Loome MySQL-serverisse andmebaasi nimega "rsyslog". Sinna hakkab toimuma logide salvestamine:

<source lang="bash">
mysqladmin -u root -p create rsyslog
</source>

Käivitame MySQL käsurea ning loome andmebaasi "rsyslog" uue kasutaja.

Siseneme andmebaasi:

<source lang="bash">
mysql -u root -p
</source>

Loome andmebaasi "rsyslog" kasutaja nimega rsyslog:

NB: 'sinu_uus_rsyslogi_parool' asemele kirjuta meelepärane parool.

<source lang="bash">
GRANT SELECT, INSERT, UPDATE, DELETE ON rsyslog.* TO 'rsyslog'@'localhost' IDENTIFIED BY 'sinu_uus_rsyslogi_parool';
</source>

Aktiveerime õigused:

<source lang="bash">
FLUSH PRIVILEGES;
</source>

MySQL serverist väljumiseks:

<source lang="bash">
quit
</source>

== Logiserveri seadistamine ==
Seadistame keskse logiserveri kasutama porti 10514.

Avame nano või mõne muu tekstiredaktoriga rsyslog.conf faili:

<source lang="bash">
nano /etc/rsyslog.conf
</source>

Lisame rsyslog.conf faili lõppu järgnevad read:

<source lang="bash">
$ModLoad MySQL
*.* >127.0.0.1,rsyslog,rsyslog,sinu_uus_rsyslogi_parool
</source>

Eemaldame kommentaari sümboli ‘#’ järgnevatelt ridadelt:

<source lang="bash">
# provides TCP syslog reception
$ModLoad imtcp
$InputTCPServerRun 10514
</source>

Seejärel taaskäivitame rsyslog teenuse:

<source lang="bash">
/etc/init.d/rsyslog restart
</source>

Kontrollime, kas serverid kuulavad õigeid TCP/IP porte (80, 10514 & 3306):

<source lang="bash">
netstat -tapn
</source>

Jälgime, et: 
Protsess nimega mysqld kasutab porti 3306. 
Protsess nimega apache2 kasutab porti 3306. 
Protsess nimega rsyslogd kasutab porti 10514. 

<pre>

Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name

tcp 0 0 127.0.0.1:3306 0.0.0.0:* LISTEN 14689/mysqld

tcp 0 0 0.0.0.0:80 0.0.0.0:* LISTEN 14881/apache2

tcp 0 0 0.0.0.0:10514 0.0.0.0:* LISTEN 14923/rsyslogd

tcp6 0 0 :::10514 :::* LISTEN 14923/rsyslogd

</pre>

== LogAnalyzer paigaldamine ==
Laeme alla LogAnalyzer-i ja konfigureerime Apache veebiserveri logide näitamiseks.

<source lang="bash">
wget http://download.adiscon.com/loganalyzer/loganalyzer-3.6.5.tar.gz
</source>

Pakime lahti alla laetud tarkvara:

<source lang="bash">
tar xvzf loganalyzer-3.6.5.tar.gz
</source>

Kopeerime loganalyzer'i /var/www/ kausta:

<source lang="bash">
mv loganalyzer-3.6.5/ /var/www/
</source>

Liigume /var/www kausta:

<source lang="bash">
cd /var/www
</source>

Muudame /var/www/ kataloogis olevate failide ja kaustade omanikku ja gruppi:

<source lang="bash">
chown www-data:www-data .* -R
</source>

Loome uue kausta:

<source lang="bash">
mkdir /var/www/loganalyzer
</source>

Kopeerime /src/ kaustast kõik failid /var/www/loganalyzer kausta:

<source lang="bash">
cp loganalyzer-3.6.5/src/* /var/www/loganalyzer -R
</source>

Kopeerime /contrib/ kaustast kõik skriptifailid /var/www/loganalyzer kausta:

<source lang="bash">
cp loganalyzer-3.6.5/contrib/*.sh /var/www/loganalyzer -R
</source>

Anname skriptidele käivitusõigused:

<source lang="bash">
chmod +x /var/www/loganalyzer/*.sh
</source>

Liigume kausta:

<source lang="bash">
cd loganalyzer/
</source>

Käivitame skripti:

<source lang="bash">
sh ./configure.sh
</source>

Anname Apachele õigused kasutada syslogi:

<source lang="bash">
usermod -G adm www-data
</source>

LogAnalyzeri paigaldamine jätkub veebibrauseris.

Mine veebibrauseriga aadressile: http://192.168.56.201/loganalyzer/install.php

Kui tuleb ette paigaldamise juhend, siis võib jätkata paigaldamist vaikesätetega.

Nüüd peaks rsyslogi server töötama koos LogAnalyzeriga.

= Rsyslog klientide seadistamine =
NB! Kõik juhendis kirjutatud käsud käivitatakse root kasutaja õigustes.

Paigaldame klientidele (client.planet.zz ja puppet.planet.zz) rsyslog paki:

Esmalt uuendame tarkvararepositooriumit:

<source lang="bash">
apt-get update && apt-get upgrade -y
</source>

Paigaldame rsyslog'i:

<source lang="bash">
apt-get install rsyslog
</source>

Avame nano või mõne muu tekstiredaktoriga rsyslog.conf faili:

<source lang="bash">
nano /etc/rsyslog.conf
</source>

Lisame rsyslog.conf faili lõppu järgnevad read:

<source lang="bash">
*.* @@192.168.56.201:10514
</source>

Taaskäivita rsyslogi teenus:

<source lang="bash">
/etc/init.d/rsyslog restart
</source>

Kontrolli, kas server kuulab õiget TCP IP porti (10514).

<source lang="bash">
netstat -tapn
</source> 

Jälgime, et: 
Protsess nimega rsyslogd kasutab porti 10514 (Foreign Address). 
Antud väljund on client.planet.zz klientmasinast. 

<pre>
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
tcp 0 0 192.168.56.101:49155 192.168.56.201:10514 ESTABLISHED 9180/rsyslogd
</pre>

= Kasutatud kirjandus =

http://www.howtoforge.com/centralized-rsyslog-server-monitoring 
http://www.slsmk.com/setup-syslog-with-loganalyzer-on-ubuntu-server/ 
http://badsimplicity.com/rsyslog-not-listening-tcp-on-port-514/ 
http://enos.itcollege.ee/~mernits/Linux%20administreerimine/Arnus%20-%20keskne%20logilahendus.pdf

Keskse logilahenduse rakendamine Rsyslog näitel

2013-12-19T13:58:41Z

Kkuurman: /* Tarkvara paigaldamine */

= Eesmärk =
Juhendi eesmärgiks on keskse logilahenduse rakendamine virtualiseeritud testkeskkonnas.

= Eeldused =
Testkeskkonnas on virtuaalmasinate võrguparameetrid eelnevalt seadistatud.

Võrguparameetrite seadistamiseks loe juhendit [[Ubuntu server võrgu seadistamine]] ja [[VirtualBoxi võrgud]].

= Nõuded tarkvarale =

Töötab Linux/Unix keskkonnas;

Võimaldab TCP protokolli kasutada;

Avatud lähtekoodiga või vaba tarkvara;

Logide jälgimine veebikeskkonnas.

= Tarkvara valik =
Nõuetele vastab Rsyslog ja LogAnalyzer. Valiku langetasime tuginedes Sander Arnuse [http://enos.itcollege.ee/~mernits/Linux%20administreerimine/Arnus%20-%20keskne%20logilahendus.pdf lõputööle]. 

Alternatiivsete logiserveri tarkvarana võib kasutada näiteks logstash'i või syslog-ng'd. 

Kliendi masinates võib kasutada logitarkvarana nxlog'i või syslog-ng'd. 

LogAnalyzer'i asemel võib kasutada Kibana't. 

= Virtuaalmasinate seadistused =
Selle konkreetse lahenduskäigu puhul on kasutusel kolm virtuaalmasinat:

1) Puppet server: Ubuntu Server 64bit versioon 12.04.3 LTS.

puppet.planet.zz 192.168.56.200

2) Keskne logiserver: Ubuntu Server 64bit versioon 12.04.3 LTS.

rsyslog.planet.zz 192.168.56.201

3) Klient: Ubuntu Desktop 64bit versioon 13.

client.planet.zz 192.168.56.101

= Tarkvara kirjeldus =
Rsyslog versioon 5.8.6 - logiserver, mis saadab ja võtab vastu klientide poolt saadetud logid

Apache2 versioon 2.2.22 - veebiserver, mis seadistatakse hilisemaks logide veebipõhiseks vaatamiseks

MySQL server versioon 5.5 - andmebaasiserver, kuhu salvestatakse logid nende hilisemaks analüüsiks

LogAnalyzer versioon 3.6.5 - veebipõhine kasutajaliides logide otsimiseks ja analüüsimiseks reaalajas

= Tarkvara paigaldamine =
NB! Kõik juhendis kirjutatud käsud käivitatakse root kasutaja õigustes.

Paigaldame keskses logiserveris (rsyslog.planet.zz) vajalikud pakid.

Esmalt uuendame tarkvararepositooriumit:

<source lang="bash">
apt-get update && apt-get upgrade -y
</source>

Paigaldame rsyslog'i:

<source lang="bash">
apt-get install rsyslog
</source>

Paigaldame apache veebiserveri:

<source lang="bash">
apt-get install apache2
</source>

Paigaldame MySQL andmebaasiserveri:

(MySQL-serveri paigaldamisel tuleb määrata root kasutaja parool)

<source lang="bash">
apt-get install mysql-server
</source>

Paigaldame php5 ja vajalikud moodulid:

<source lang="bash">
apt-get install php5 php5-gd libapache2-mod-php5 php5-mysql
</source>

Taaskäivitame teenused:

<source lang="bash">
/etc/init.d/rsyslog restart
</source> 
<source lang="bash">
/etc/init.d/mysql restart
</source> 
<source lang="bash">
/etc/init.d/apache2 restart
</source>

Kontrollime, kas veebiserver ja andmebaasiserver kasutavad õigeid TCP/IP porte (80, 3306):

<source lang="bash">
netstat -tapn
</source>

Jälgime, et: 
Protsess nimega mysqld kasutab porti 3306. 
Protsess nimega apache2 kasutab porti 3306. 

<pre>

Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name

tcp 0 0 127.0.0.1:3306 0.0.0.0:* LISTEN 18595/mysqld

tcp 0 0 0.0.0.0:80 0.0.0.0:* LISTEN 18766/apache2

</pre>

== MySQL-serveri seadistamine ==
Loome MySQL-serverisse andmebaasi nimega "rsyslog". Sinna hakkab toimuma logide salvestamine:

<source lang="bash">
mysqladmin -u root -p create rsyslog
</source>

Käivitame MySQL käsurea ning loome andmebaasi "rsyslog" uue kasutaja.

Siseneme andmebaasi:

<source lang="bash">
mysql -u root -p
</source>

Loome andmebaasi "rsyslog" kasutaja nimega rsyslog:

NB: 'sinu_uus_rsyslogi_parool' asemele kirjuta meelepärane parool.

<source lang="bash">
GRANT SELECT, INSERT, UPDATE, DELETE ON rsyslog.* TO 'rsyslog'@'localhost' IDENTIFIED BY 'sinu_uus_rsyslogi_parool';
</source>

Aktiveerime õigused:

<source lang="bash">
FLUSH PRIVILEGES;
</source>

MySQL serverist väljumiseks:

<source lang="bash">
quit
</source>

== Logiserveri seadistamine ==
Seadistame keskse logiserveri kasutama porti 10514.

Avame nano või mõne muu tekstiredaktoriga rsyslog.conf faili:

<source lang="bash">
nano /etc/rsyslog.conf
</source>

Lisame rsyslog.conf faili lõppu järgnevad read:

<source lang="bash">
$ModLoad MySQL
*.* >127.0.0.1,rsyslog,rsyslog,sinu_uus_rsyslogi_parool
</source>

Eemaldame kommentaari sümboli ‘#’ järgnevatelt ridadelt:

<source lang="bash">
# provides TCP syslog reception
$ModLoad imtcp
$InputTCPServerRun 10514
</source>

Seejärel taaskäivitame rsyslog teenuse:

<source lang="bash">
/etc/init.d/rsyslog restart
</source>

Kontrollime, kas serverid kuulavad õigeid TCP/IP porte (80, 10514 & 3306):

<source lang="bash">
netstat -tapn
</source>

Jälgime, et: 
Protsess nimega mysqld kasutab porti 3306. 
Protsess nimega apache2 kasutab porti 3306. 
Protsess nimega rsyslogd kasutab porti 10514. 

<pre>

Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name

tcp 0 0 127.0.0.1:3306 0.0.0.0:* LISTEN 14689/mysqld

tcp 0 0 0.0.0.0:80 0.0.0.0:* LISTEN 14881/apache2

tcp 0 0 0.0.0.0:10514 0.0.0.0:* LISTEN 14923/rsyslogd

tcp6 0 0 :::10514 :::* LISTEN 14923/rsyslogd

</pre>

== LogAnalyzer paigaldamine ==
Laeme alla LogAnalyzer-i ja konfigureerime Apache veebiserveri logide näitamiseks.

<source lang="bash">
wget http://download.adiscon.com/loganalyzer/loganalyzer-3.6.5.tar.gz
</source>

Pakime lahti alla laetud tarkvara:

<source lang="bash">
tar xvzf loganalyzer-3.6.5.tar.gz
</source>

Kopeerime loganalyzer'i /var/www/ kausta:

<source lang="bash">
mv loganalyzer-3.6.5/ /var/www/
</source>

Liigume /var/www kausta:

<source lang="bash">
cd /var/www
</source>

Muudame /var/www/ kataloogis olevate failide ja kaustade omanikku ja gruppi:

<source lang="bash">
chown www-data:www-data .* -R
</source>

Loome uue kausta:

<source lang="bash">
mkdir /var/www/loganalyzer
</source>

Kopeerime /src/ kaustast kõik failid /var/www/loganalyzer kausta:

<source lang="bash">
cp loganalyzer-3.6.5/src/* /var/www/loganalyzer -R
</source>

Kopeerime /contrib/ kaustast kõik skriptifailid /var/www/loganalyzer kausta:

<source lang="bash">
cp loganalyzer-3.6.5/contrib/*.sh /var/www/loganalyzer -R
</source>

Anname skriptidele käivitusõigused:

<source lang="bash">
chmod +x /var/www/loganalyzer/*.sh
</source>

Liigume kausta:

<source lang="bash">
cd loganalyzer/
</source>

Käivitame skripti:

<source lang="bash">
sh ./configure.sh
</source>

Anname Apachele õigused kasutada syslogi:

<source lang="bash">
usermod -G adm www-data
</source>

LogAnalyzeri paigaldamine jätkub veebibrauseris.

Mine veebibrauseriga aadressile: http://192.168.56.201/loganalyzer/install.php

Kui tuleb ette paigaldamise juhend, siis võib jätkata paigaldamist vaikesätetega.

Nüüd peaks rsyslogi server töötama koos LogAnalyzeriga.

= Rsyslog klientide seadistamine =
NB! Kõik juhendis kirjutatud käsud käivitatakse root kasutaja õigustes.

Paigaldame klientidele (client.planet.zz ja puppet.planet.zz) rsyslog paki:

Esmalt uuendame tarkvararepositooriumit:

<source lang="bash">
apt-get update && apt-get upgrade -y
</source>

Paigaldame rsyslog'i:

<source lang="bash">
apt-get install rsyslog
</source>

Avame nano või mõne muu tekstiredaktoriga rsyslog.conf faili:

<source lang="bash">
nano /etc/rsyslog.conf
</source>

Lisame rsyslog.conf faili lõppu järgnevad read:

<source lang="bash">
*.* @@192.168.56.201:10514
</source>

Taaskäivita rsyslogi teenus:

<source lang="bash">
/etc/init.d/rsyslog restart
</source>

Kontrolli, kas server kuulab õiget TCP IP porti (10514).

<source lang="bash">
netstat -tapn
</source> 

Jälgime, et: 
Protsess nimega rsyslogd kasutab porti 10514 (Foreign Address). 
Antud väljund on client.planet.zz klientmasinast. 

<pre>
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
tcp 0 0 192.168.56.101:49155 192.168.56.201:10514 ESTABLISHED 9180/rsyslogd
</pre>

= Kasutatud kirjandus =

http://www.howtoforge.com/centralized-rsyslog-server-monitoring 
http://www.slsmk.com/setup-syslog-with-loganalyzer-on-ubuntu-server/ 
http://badsimplicity.com/rsyslog-not-listening-tcp-on-port-514/ 
http://enos.itcollege.ee/~mernits/Linux%20administreerimine/Arnus%20-%20keskne%20logilahendus.pdf

Keskse logilahenduse rakendamine Rsyslog näitel

2013-12-19T13:54:11Z

Kkuurman: /* Rsyslog klientide seadistamine */

= Eesmärk =
Juhendi eesmärgiks on keskse logilahenduse rakendamine virtualiseeritud testkeskkonnas.

= Eeldused =
Testkeskkonnas on virtuaalmasinate võrguparameetrid eelnevalt seadistatud.

Võrguparameetrite seadistamiseks loe juhendit [[Ubuntu server võrgu seadistamine]] ja [[VirtualBoxi võrgud]].

= Nõuded tarkvarale =

Töötab Linux/Unix keskkonnas;

Võimaldab TCP protokolli kasutada;

Avatud lähtekoodiga või vaba tarkvara;

Logide jälgimine veebikeskkonnas.

= Tarkvara valik =
Nõuetele vastab Rsyslog ja LogAnalyzer. Valiku langetasime tuginedes Sander Arnuse [http://enos.itcollege.ee/~mernits/Linux%20administreerimine/Arnus%20-%20keskne%20logilahendus.pdf lõputööle]. 

Alternatiivsete logiserveri tarkvarana võib kasutada näiteks logstash'i või syslog-ng'd. 

Kliendi masinates võib kasutada logitarkvarana nxlog'i või syslog-ng'd. 

LogAnalyzer'i asemel võib kasutada Kibana't. 

= Virtuaalmasinate seadistused =
Selle konkreetse lahenduskäigu puhul on kasutusel kolm virtuaalmasinat:

1) Puppet server: Ubuntu Server 64bit versioon 12.04.3 LTS.

puppet.planet.zz 192.168.56.200

2) Keskne logiserver: Ubuntu Server 64bit versioon 12.04.3 LTS.

rsyslog.planet.zz 192.168.56.201

3) Klient: Ubuntu Desktop 64bit versioon 13.

client.planet.zz 192.168.56.101

= Tarkvara kirjeldus =
Rsyslog versioon 5.8.6 - logiserver, mis saadab ja võtab vastu klientide poolt saadetud logid

Apache2 versioon 2.2.22 - veebiserver, mis seadistatakse hilisemaks logide veebipõhiseks vaatamiseks

MySQL server versioon 5.5 - andmebaasiserver, kuhu salvestatakse logid nende hilisemaks analüüsiks

LogAnalyzer versioon 3.6.5 - veebipõhine kasutajaliides logide otsimiseks ja analüüsimiseks reaalajas

= Tarkvara paigaldamine =
NB! Kõik juhendis kirjutatud käsud käivitatakse root kasutaja õigustes.

Paigaldame keskses logiserveris (rsyslog.planet.zz) vajalikud pakid.

Esmalt uuendame tarkvararepositooriumit:

<source lang="bash">
apt-get update && apt-get upgrade -y
</source>

Paigaldame rsyslog'i:

<source lang="bash">
apt-get install rsyslog
</source>

Paigaldame apache veebiserveri:

<source lang="bash">
apt-get install apache2
</source>

Paigaldame MySQL andmebaasiserveri:

(MySQL-serveri paigaldamisel tuleb määrata root kasutaja parool)

<source lang="bash">
apt-get install mysql-server
</source>

Paigaldame php5 ja vajalikud moodulid:

<source lang="bash">
apt-get install php5 php5-gd libapache2-mod-php5 php5-mysql
</source>

Taaskäivitame teenused:

<source lang="bash">
/etc/init.d/rsyslog restart
</source> 
<source lang="bash">
/etc/init.d/mysql restart
</source> 
<source lang="bash">
/etc/init.d/apache2 restart
</source>

Kontrollime, kas veebiserver ja andmebaasiserver kasutavad õigeid TCP/IP porte (80, 3306):

<source lang="bash">
netstat -tapn
</source>

Jälgime, et: 
Protsess nimega mysqld kasutab porti 3306. 
Protsess nimega apache2 kasutab porti 3306. 

<pre>

Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name

tcp 0 0 127.0.0.1:3306 0.0.0.0:* LISTEN 18595/mysqld

tcp 0 0 0.0.0.0:80 0.0.0.0:* LISTEN 18766/apache2

</pre>

Loome MySQL-serverisse andmebaasi nimega "rsyslog". Sinna hakkab toimuma logide

salvestamine:

<source lang="bash">
mysqladmin -u root -p create rsyslog
</source>

Käivitame MySQL käsurea ning loome andmebaasi "rsyslog" uue kasutaja.

Siseneme andmebaasi:

<source lang="bash">
mysql -u root -p
</source>

Loome andmebaasi "rsyslog" kasutaja nimega rsyslog:

NB: 'sinu_uus_rsyslogi_parool' asemele kirjuta meelepärane parool.

<source lang="bash">
GRANT SELECT, INSERT, UPDATE, DELETE ON rsyslog.* TO 'rsyslog'@'localhost' IDENTIFIED BY 'sinu_uus_rsyslogi_parool';
</source>

Aktiveerime õigused:

<source lang="bash">
FLUSH PRIVILEGES;
</source>

MySQL serverist väljumiseks:

<source lang="bash">
quit
</source>

Seadistame keskse logiserveri kasutama porti 10514.

Avame nano või mõne muu tekstiredaktoriga rsyslog.conf faili:

<source lang="bash">
nano /etc/rsyslog.conf
</source>

Lisame rsyslog.conf faili lõppu järgnevad read:

<source lang="bash">
$ModLoad MySQL
*.* >127.0.0.1,rsyslog,rsyslog,sinu_uus_rsyslogi_parool
</source>

Eemaldame kommentaari sümboli ‘#’ järgnevatelt ridadelt:

<source lang="bash">
# provides TCP syslog reception
$ModLoad imtcp
$InputTCPServerRun 10514
</source>

Seejärel taaskäivitame rsyslog teenuse:

<source lang="bash">
/etc/init.d/rsyslog restart
</source>

Kontrollime, kas serverid kuulavad õigeid TCP/IP porte (80, 10514 & 3306):

<source lang="bash">
netstat -tapn
</source>

Jälgime, et: 
Protsess nimega mysqld kasutab porti 3306. 
Protsess nimega apache2 kasutab porti 3306. 
Protsess nimega rsyslogd kasutab porti 10514. 

<pre>

Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name

tcp 0 0 127.0.0.1:3306 0.0.0.0:* LISTEN 14689/mysqld

tcp 0 0 0.0.0.0:80 0.0.0.0:* LISTEN 14881/apache2

tcp 0 0 0.0.0.0:10514 0.0.0.0:* LISTEN 14923/rsyslogd

tcp6 0 0 :::10514 :::* LISTEN 14923/rsyslogd

</pre>

Laeme alla LogAnalyzer-i ja konfigureerime Apache veebiserveri logide näitamiseks.

<source lang="bash">
wget http://download.adiscon.com/loganalyzer/loganalyzer-3.6.5.tar.gz
</source>

Pakime lahti alla laetud tarkvara:

<source lang="bash">
tar xvzf loganalyzer-3.6.5.tar.gz
</source>

Kopeerime loganalyzer'i /var/www/ kausta:

<source lang="bash">
mv loganalyzer-3.6.5/ /var/www/
</source>

Liigume /var/www kausta:

<source lang="bash">
cd /var/www
</source>

Muudame /var/www/ kataloogis olevate failide ja kaustade omanikku ja gruppi:

<source lang="bash">
chown www-data:www-data .* -R
</source>

Loome uue kausta:

<source lang="bash">
mkdir /var/www/loganalyzer
</source>

Kopeerime /src/ kaustast kõik failid /var/www/loganalyzer kausta:

<source lang="bash">
cp loganalyzer-3.6.5/src/* /var/www/loganalyzer -R
</source>

Kopeerime /contrib/ kaustast kõik skriptifailid /var/www/loganalyzer kausta:

<source lang="bash">
cp loganalyzer-3.6.5/contrib/*.sh /var/www/loganalyzer -R
</source>

Anname skriptidele käivitusõigused:

<source lang="bash">
chmod +x /var/www/loganalyzer/*.sh
</source>

Liigume kausta:

<source lang="bash">
cd loganalyzer/
</source>

Käivitame skripti:

<source lang="bash">
sh ./configure.sh
</source>

Anname Apachele õigused kasutada syslogi:

<source lang="bash">
usermod -G adm www-data
</source>

LogAnalyzeri paigaldamine jätkub veebibrauseris.

Mine veebibrauseriga aadressile: http://192.168.56.201/loganalyzer/install.php

Kui tuleb ette paigaldamise juhend, siis võib jätkata paigaldamist vaikesätetega.

Nüüd peaks rsyslogi server töötama koos LogAnalyzeriga.

= Rsyslog klientide seadistamine =
NB! Kõik juhendis kirjutatud käsud käivitatakse root kasutaja õigustes.

Paigaldame klientidele (client.planet.zz ja puppet.planet.zz) rsyslog paki:

Esmalt uuendame tarkvararepositooriumit:

<source lang="bash">
apt-get update && apt-get upgrade -y
</source>

Paigaldame rsyslog'i:

<source lang="bash">
apt-get install rsyslog
</source>

Avame nano või mõne muu tekstiredaktoriga rsyslog.conf faili:

<source lang="bash">
nano /etc/rsyslog.conf
</source>

Lisame rsyslog.conf faili lõppu järgnevad read:

<source lang="bash">
*.* @@192.168.56.201:10514
</source>

Taaskäivita rsyslogi teenus:

<source lang="bash">
/etc/init.d/rsyslog restart
</source>

Kontrolli, kas server kuulab õiget TCP IP porti (10514).

<source lang="bash">
netstat -tapn
</source> 

Jälgime, et: 
Protsess nimega rsyslogd kasutab porti 10514 (Foreign Address). 
Antud väljund on client.planet.zz klientmasinast. 

<pre>
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
tcp 0 0 192.168.56.101:49155 192.168.56.201:10514 ESTABLISHED 9180/rsyslogd
</pre>

= Kasutatud kirjandus =

http://www.howtoforge.com/centralized-rsyslog-server-monitoring 
http://www.slsmk.com/setup-syslog-with-loganalyzer-on-ubuntu-server/ 
http://badsimplicity.com/rsyslog-not-listening-tcp-on-port-514/ 
http://enos.itcollege.ee/~mernits/Linux%20administreerimine/Arnus%20-%20keskne%20logilahendus.pdf

Keskse logilahenduse rakendamine Rsyslog näitel

2013-12-19T13:51:28Z

Kkuurman: /* Tarkvara paigaldamine */

= Eesmärk =
Juhendi eesmärgiks on keskse logilahenduse rakendamine virtualiseeritud testkeskkonnas.

= Eeldused =
Testkeskkonnas on virtuaalmasinate võrguparameetrid eelnevalt seadistatud.

Võrguparameetrite seadistamiseks loe juhendit [[Ubuntu server võrgu seadistamine]] ja [[VirtualBoxi võrgud]].

= Nõuded tarkvarale =

Töötab Linux/Unix keskkonnas;

Võimaldab TCP protokolli kasutada;

Avatud lähtekoodiga või vaba tarkvara;

Logide jälgimine veebikeskkonnas.

= Tarkvara valik =
Nõuetele vastab Rsyslog ja LogAnalyzer. Valiku langetasime tuginedes Sander Arnuse [http://enos.itcollege.ee/~mernits/Linux%20administreerimine/Arnus%20-%20keskne%20logilahendus.pdf lõputööle]. 

Alternatiivsete logiserveri tarkvarana võib kasutada näiteks logstash'i või syslog-ng'd. 

Kliendi masinates võib kasutada logitarkvarana nxlog'i või syslog-ng'd. 

LogAnalyzer'i asemel võib kasutada Kibana't. 

= Virtuaalmasinate seadistused =
Selle konkreetse lahenduskäigu puhul on kasutusel kolm virtuaalmasinat:

1) Puppet server: Ubuntu Server 64bit versioon 12.04.3 LTS.

puppet.planet.zz 192.168.56.200

2) Keskne logiserver: Ubuntu Server 64bit versioon 12.04.3 LTS.

rsyslog.planet.zz 192.168.56.201

3) Klient: Ubuntu Desktop 64bit versioon 13.

client.planet.zz 192.168.56.101

= Tarkvara kirjeldus =
Rsyslog versioon 5.8.6 - logiserver, mis saadab ja võtab vastu klientide poolt saadetud logid

Apache2 versioon 2.2.22 - veebiserver, mis seadistatakse hilisemaks logide veebipõhiseks vaatamiseks

MySQL server versioon 5.5 - andmebaasiserver, kuhu salvestatakse logid nende hilisemaks analüüsiks

LogAnalyzer versioon 3.6.5 - veebipõhine kasutajaliides logide otsimiseks ja analüüsimiseks reaalajas

= Tarkvara paigaldamine =
NB! Kõik juhendis kirjutatud käsud käivitatakse root kasutaja õigustes.

Paigaldame keskses logiserveris (rsyslog.planet.zz) vajalikud pakid.

Esmalt uuendame tarkvararepositooriumit:

<source lang="bash">
apt-get update && apt-get upgrade -y
</source>

Paigaldame rsyslog'i:

<source lang="bash">
apt-get install rsyslog
</source>

Paigaldame apache veebiserveri:

<source lang="bash">
apt-get install apache2
</source>

Paigaldame MySQL andmebaasiserveri:

(MySQL-serveri paigaldamisel tuleb määrata root kasutaja parool)

<source lang="bash">
apt-get install mysql-server
</source>

Paigaldame php5 ja vajalikud moodulid:

<source lang="bash">
apt-get install php5 php5-gd libapache2-mod-php5 php5-mysql
</source>

Taaskäivitame teenused:

<source lang="bash">
/etc/init.d/rsyslog restart
</source> 
<source lang="bash">
/etc/init.d/mysql restart
</source> 
<source lang="bash">
/etc/init.d/apache2 restart
</source>

Kontrollime, kas veebiserver ja andmebaasiserver kasutavad õigeid TCP/IP porte (80, 3306):

<source lang="bash">
netstat -tapn
</source>

Jälgime, et: 
Protsess nimega mysqld kasutab porti 3306. 
Protsess nimega apache2 kasutab porti 3306. 

<pre>

Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name

tcp 0 0 127.0.0.1:3306 0.0.0.0:* LISTEN 18595/mysqld

tcp 0 0 0.0.0.0:80 0.0.0.0:* LISTEN 18766/apache2

</pre>

Loome MySQL-serverisse andmebaasi nimega "rsyslog". Sinna hakkab toimuma logide

salvestamine:

<source lang="bash">
mysqladmin -u root -p create rsyslog
</source>

Käivitame MySQL käsurea ning loome andmebaasi "rsyslog" uue kasutaja.

Siseneme andmebaasi:

<source lang="bash">
mysql -u root -p
</source>

Loome andmebaasi "rsyslog" kasutaja nimega rsyslog:

NB: 'sinu_uus_rsyslogi_parool' asemele kirjuta meelepärane parool.

<source lang="bash">
GRANT SELECT, INSERT, UPDATE, DELETE ON rsyslog.* TO 'rsyslog'@'localhost' IDENTIFIED BY 'sinu_uus_rsyslogi_parool';
</source>

Aktiveerime õigused:

<source lang="bash">
FLUSH PRIVILEGES;
</source>

MySQL serverist väljumiseks:

<source lang="bash">
quit
</source>

Seadistame keskse logiserveri kasutama porti 10514.

Avame nano või mõne muu tekstiredaktoriga rsyslog.conf faili:

<source lang="bash">
nano /etc/rsyslog.conf
</source>

Lisame rsyslog.conf faili lõppu järgnevad read:

<source lang="bash">
$ModLoad MySQL
*.* >127.0.0.1,rsyslog,rsyslog,sinu_uus_rsyslogi_parool
</source>

Eemaldame kommentaari sümboli ‘#’ järgnevatelt ridadelt:

<source lang="bash">
# provides TCP syslog reception
$ModLoad imtcp
$InputTCPServerRun 10514
</source>

Seejärel taaskäivitame rsyslog teenuse:

<source lang="bash">
/etc/init.d/rsyslog restart
</source>

Kontrollime, kas serverid kuulavad õigeid TCP/IP porte (80, 10514 & 3306):

<source lang="bash">
netstat -tapn
</source>

Jälgime, et: 
Protsess nimega mysqld kasutab porti 3306. 
Protsess nimega apache2 kasutab porti 3306. 
Protsess nimega rsyslogd kasutab porti 10514. 

<pre>

Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name

tcp 0 0 127.0.0.1:3306 0.0.0.0:* LISTEN 14689/mysqld

tcp 0 0 0.0.0.0:80 0.0.0.0:* LISTEN 14881/apache2

tcp 0 0 0.0.0.0:10514 0.0.0.0:* LISTEN 14923/rsyslogd

tcp6 0 0 :::10514 :::* LISTEN 14923/rsyslogd

</pre>

Laeme alla LogAnalyzer-i ja konfigureerime Apache veebiserveri logide näitamiseks.

<source lang="bash">
wget http://download.adiscon.com/loganalyzer/loganalyzer-3.6.5.tar.gz
</source>

Pakime lahti alla laetud tarkvara:

<source lang="bash">
tar xvzf loganalyzer-3.6.5.tar.gz
</source>

Kopeerime loganalyzer'i /var/www/ kausta:

<source lang="bash">
mv loganalyzer-3.6.5/ /var/www/
</source>

Liigume /var/www kausta:

<source lang="bash">
cd /var/www
</source>

Muudame /var/www/ kataloogis olevate failide ja kaustade omanikku ja gruppi:

<source lang="bash">
chown www-data:www-data .* -R
</source>

Loome uue kausta:

<source lang="bash">
mkdir /var/www/loganalyzer
</source>

Kopeerime /src/ kaustast kõik failid /var/www/loganalyzer kausta:

<source lang="bash">
cp loganalyzer-3.6.5/src/* /var/www/loganalyzer -R
</source>

Kopeerime /contrib/ kaustast kõik skriptifailid /var/www/loganalyzer kausta:

<source lang="bash">
cp loganalyzer-3.6.5/contrib/*.sh /var/www/loganalyzer -R
</source>

Anname skriptidele käivitusõigused:

<source lang="bash">
chmod +x /var/www/loganalyzer/*.sh
</source>

Liigume kausta:

<source lang="bash">
cd loganalyzer/
</source>

Käivitame skripti:

<source lang="bash">
sh ./configure.sh
</source>

Anname Apachele õigused kasutada syslogi:

<source lang="bash">
usermod -G adm www-data
</source>

LogAnalyzeri paigaldamine jätkub veebibrauseris.

Mine veebibrauseriga aadressile: http://192.168.56.201/loganalyzer/install.php

Kui tuleb ette paigaldamise juhend, siis võib jätkata paigaldamist vaikesätetega.

Nüüd peaks rsyslogi server töötama koos LogAnalyzeriga.

= Rsyslog klientide seadistamine =
NB! Kõik juhendis kirjutatud käsud käivitatakse root kasutaja õigustes.

Paigaldame klientidele (client.planet.zz ja puppet.planet.zz) rsyslog paki:

Esmalt uuendame tarkvararepositooriumit:

<source lang="bash">
apt-get update && apt-get upgrade -y
</source>

Paigaldame rsyslog'i:

<source lang="bash">
apt-get install rsyslog
</source>

Avame nano või mõne muu tekstiredaktoriga rsyslog.conf faili:

<source lang="bash">
nano /etc/rsyslog.conf
</source>

Lisame rsyslog.conf faili lõppu järgnevad read:

<source lang="bash">
*.* @@192.168.56.201:10514
</source>

Taaskäivita rsyslogi teenus:

<source lang="bash">
/etc/init.d/rsyslog restart
</source>

Kontrolli, kas server kuulab õiget TCP IP porti (10514).

<source lang="bash">
netstat -tapn
</source> 
<pre>
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
tcp 0 0 192.168.56.101:49155 192.168.56.201:10514 ESTABLISHED 9180/rsyslogd
</pre>

= Kasutatud kirjandus =

http://www.howtoforge.com/centralized-rsyslog-server-monitoring 
http://www.slsmk.com/setup-syslog-with-loganalyzer-on-ubuntu-server/ 
http://badsimplicity.com/rsyslog-not-listening-tcp-on-port-514/ 
http://enos.itcollege.ee/~mernits/Linux%20administreerimine/Arnus%20-%20keskne%20logilahendus.pdf

Keskse logilahenduse rakendamine Rsyslog näitel

2013-12-19T13:50:41Z

Kkuurman: /* Tarkvara paigaldamine */

= Eesmärk =
Juhendi eesmärgiks on keskse logilahenduse rakendamine virtualiseeritud testkeskkonnas.

= Eeldused =
Testkeskkonnas on virtuaalmasinate võrguparameetrid eelnevalt seadistatud.

Võrguparameetrite seadistamiseks loe juhendit [[Ubuntu server võrgu seadistamine]] ja [[VirtualBoxi võrgud]].

= Nõuded tarkvarale =

Töötab Linux/Unix keskkonnas;

Võimaldab TCP protokolli kasutada;

Avatud lähtekoodiga või vaba tarkvara;

Logide jälgimine veebikeskkonnas.

= Tarkvara valik =
Nõuetele vastab Rsyslog ja LogAnalyzer. Valiku langetasime tuginedes Sander Arnuse [http://enos.itcollege.ee/~mernits/Linux%20administreerimine/Arnus%20-%20keskne%20logilahendus.pdf lõputööle]. 

Alternatiivsete logiserveri tarkvarana võib kasutada näiteks logstash'i või syslog-ng'd. 

Kliendi masinates võib kasutada logitarkvarana nxlog'i või syslog-ng'd. 

LogAnalyzer'i asemel võib kasutada Kibana't. 

= Virtuaalmasinate seadistused =
Selle konkreetse lahenduskäigu puhul on kasutusel kolm virtuaalmasinat:

1) Puppet server: Ubuntu Server 64bit versioon 12.04.3 LTS.

puppet.planet.zz 192.168.56.200

2) Keskne logiserver: Ubuntu Server 64bit versioon 12.04.3 LTS.

rsyslog.planet.zz 192.168.56.201

3) Klient: Ubuntu Desktop 64bit versioon 13.

client.planet.zz 192.168.56.101

= Tarkvara kirjeldus =
Rsyslog versioon 5.8.6 - logiserver, mis saadab ja võtab vastu klientide poolt saadetud logid

Apache2 versioon 2.2.22 - veebiserver, mis seadistatakse hilisemaks logide veebipõhiseks vaatamiseks

MySQL server versioon 5.5 - andmebaasiserver, kuhu salvestatakse logid nende hilisemaks analüüsiks

LogAnalyzer versioon 3.6.5 - veebipõhine kasutajaliides logide otsimiseks ja analüüsimiseks reaalajas

= Tarkvara paigaldamine =
NB! Kõik juhendis kirjutatud käsud käivitatakse root kasutaja õigustes.

Paigaldame keskses logiserveris (rsyslog.planet.zz) vajalikud pakid.

Esmalt uuendame tarkvararepositooriumit:

<source lang="bash">
apt-get update && apt-get upgrade -y
</source>

Paigaldame rsyslog'i:

<source lang="bash">
apt-get install rsyslog
</source>

Paigaldame apache veebiserveri:

<source lang="bash">
apt-get install apache2
</source>

Paigaldame MySQL andmebaasiserveri:

(MySQL-serveri paigaldamisel tuleb määrata root kasutaja parool)

<source lang="bash">
apt-get install mysql-server
</source>

Paigaldame php5 ja vajalikud moodulid:

<source lang="bash">
apt-get install php5 php5-gd libapache2-mod-php5 php5-mysql
</source>

Taaskäivitame teenused:

<source lang="bash">
/etc/init.d/rsyslog restart
</source> 
<source lang="bash">
/etc/init.d/mysql restart
</source> 
<source lang="bash">
/etc/init.d/apache2 restart
</source>

Kontrollime, kas veebiserver ja andmebaasiserver kasutavad õigeid TCP/IP porte (80, 3306):

<source lang="bash">
netstat -tapn
</source>

Jälgime, et: 

Protsess nimega mysqld kasutab porti 3306. 
Protsess nimega apache2 kasutab porti 3306. 

<pre>

Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name

tcp 0 0 127.0.0.1:3306 0.0.0.0:* LISTEN 18595/mysqld

tcp 0 0 0.0.0.0:80 0.0.0.0:* LISTEN 18766/apache2

</pre>

Loome MySQL-serverisse andmebaasi nimega "rsyslog". Sinna hakkab toimuma logide

salvestamine:

<source lang="bash">
mysqladmin -u root -p create rsyslog
</source>

Käivitame MySQL käsurea ning loome andmebaasi "rsyslog" uue kasutaja.

Siseneme andmebaasi:

<source lang="bash">
mysql -u root -p
</source>

Loome andmebaasi "rsyslog" kasutaja nimega rsyslog:

NB: 'sinu_uus_rsyslogi_parool' asemele kirjuta meelepärane parool.

<source lang="bash">
GRANT SELECT, INSERT, UPDATE, DELETE ON rsyslog.* TO 'rsyslog'@'localhost' IDENTIFIED BY 'sinu_uus_rsyslogi_parool';
</source>

Aktiveerime õigused:

<source lang="bash">
FLUSH PRIVILEGES;
</source>

MySQL serverist väljumiseks:

<source lang="bash">
quit
</source>

Seadistame keskse logiserveri kasutama porti 10514.

Avame nano või mõne muu tekstiredaktoriga rsyslog.conf faili:

<source lang="bash">
nano /etc/rsyslog.conf
</source>

Lisame rsyslog.conf faili lõppu järgnevad read:

<source lang="bash">
$ModLoad MySQL
*.* >127.0.0.1,rsyslog,rsyslog,sinu_uus_rsyslogi_parool
</source>

Eemaldame kommentaari sümboli ‘#’ järgnevatelt ridadelt:

<source lang="bash">
# provides TCP syslog reception
$ModLoad imtcp
$InputTCPServerRun 10514
</source>

Seejärel taaskäivitame rsyslog teenuse:

<source lang="bash">
/etc/init.d/rsyslog restart
</source>

Kontrollime, kas serverid kuulavad õigeid TCP/IP porte (80, 10514 & 3306):

<source lang="bash">
netstat -tapn
</source>

<pre>

Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name

tcp 0 0 127.0.0.1:3306 0.0.0.0:* LISTEN 14689/mysqld

tcp 0 0 0.0.0.0:80 0.0.0.0:* LISTEN 14881/apache2

tcp 0 0 0.0.0.0:10514 0.0.0.0:* LISTEN 14923/rsyslogd

tcp6 0 0 :::10514 :::* LISTEN 14923/rsyslogd

</pre>

Laeme alla LogAnalyzer-i ja konfigureerime Apache veebiserveri logide näitamiseks.

<source lang="bash">
wget http://download.adiscon.com/loganalyzer/loganalyzer-3.6.5.tar.gz
</source>

Pakime lahti alla laetud tarkvara:

<source lang="bash">
tar xvzf loganalyzer-3.6.5.tar.gz
</source>

Kopeerime loganalyzer'i /var/www/ kausta:

<source lang="bash">
mv loganalyzer-3.6.5/ /var/www/
</source>

Liigume /var/www kausta:

<source lang="bash">
cd /var/www
</source>

Muudame /var/www/ kataloogis olevate failide ja kaustade omanikku ja gruppi:

<source lang="bash">
chown www-data:www-data .* -R
</source>

Loome uue kausta:

<source lang="bash">
mkdir /var/www/loganalyzer
</source>

Kopeerime /src/ kaustast kõik failid /var/www/loganalyzer kausta:

<source lang="bash">
cp loganalyzer-3.6.5/src/* /var/www/loganalyzer -R
</source>

Kopeerime /contrib/ kaustast kõik skriptifailid /var/www/loganalyzer kausta:

<source lang="bash">
cp loganalyzer-3.6.5/contrib/*.sh /var/www/loganalyzer -R
</source>

Anname skriptidele käivitusõigused:

<source lang="bash">
chmod +x /var/www/loganalyzer/*.sh
</source>

Liigume kausta:

<source lang="bash">
cd loganalyzer/
</source>

Käivitame skripti:

<source lang="bash">
sh ./configure.sh
</source>

Anname Apachele õigused kasutada syslogi:

<source lang="bash">
usermod -G adm www-data
</source>

LogAnalyzeri paigaldamine jätkub veebibrauseris.

Mine veebibrauseriga aadressile: http://192.168.56.201/loganalyzer/install.php

Kui tuleb ette paigaldamise juhend, siis võib jätkata paigaldamist vaikesätetega.

Nüüd peaks rsyslogi server töötama koos LogAnalyzeriga.

= Rsyslog klientide seadistamine =
NB! Kõik juhendis kirjutatud käsud käivitatakse root kasutaja õigustes.

Paigaldame klientidele (client.planet.zz ja puppet.planet.zz) rsyslog paki:

Esmalt uuendame tarkvararepositooriumit:

<source lang="bash">
apt-get update && apt-get upgrade -y
</source>

Paigaldame rsyslog'i:

<source lang="bash">
apt-get install rsyslog
</source>

Avame nano või mõne muu tekstiredaktoriga rsyslog.conf faili:

<source lang="bash">
nano /etc/rsyslog.conf
</source>

Lisame rsyslog.conf faili lõppu järgnevad read:

<source lang="bash">
*.* @@192.168.56.201:10514
</source>

Taaskäivita rsyslogi teenus:

<source lang="bash">
/etc/init.d/rsyslog restart
</source>

Kontrolli, kas server kuulab õiget TCP IP porti (10514).

<source lang="bash">
netstat -tapn
</source> 
<pre>
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
tcp 0 0 192.168.56.101:49155 192.168.56.201:10514 ESTABLISHED 9180/rsyslogd
</pre>

= Kasutatud kirjandus =

http://www.howtoforge.com/centralized-rsyslog-server-monitoring 
http://www.slsmk.com/setup-syslog-with-loganalyzer-on-ubuntu-server/ 
http://badsimplicity.com/rsyslog-not-listening-tcp-on-port-514/ 
http://enos.itcollege.ee/~mernits/Linux%20administreerimine/Arnus%20-%20keskne%20logilahendus.pdf

Keskse logilahenduse rakendamine Rsyslog näitel

2013-12-19T13:49:14Z

Kkuurman: /* Tarkvara valik */

= Eesmärk =
Juhendi eesmärgiks on keskse logilahenduse rakendamine virtualiseeritud testkeskkonnas.

= Eeldused =
Testkeskkonnas on virtuaalmasinate võrguparameetrid eelnevalt seadistatud.

Võrguparameetrite seadistamiseks loe juhendit [[Ubuntu server võrgu seadistamine]] ja [[VirtualBoxi võrgud]].

= Nõuded tarkvarale =

Töötab Linux/Unix keskkonnas;

Võimaldab TCP protokolli kasutada;

Avatud lähtekoodiga või vaba tarkvara;

Logide jälgimine veebikeskkonnas.

= Tarkvara valik =
Nõuetele vastab Rsyslog ja LogAnalyzer. Valiku langetasime tuginedes Sander Arnuse [http://enos.itcollege.ee/~mernits/Linux%20administreerimine/Arnus%20-%20keskne%20logilahendus.pdf lõputööle]. 

Alternatiivsete logiserveri tarkvarana võib kasutada näiteks logstash'i või syslog-ng'd. 

Kliendi masinates võib kasutada logitarkvarana nxlog'i või syslog-ng'd. 

LogAnalyzer'i asemel võib kasutada Kibana't. 

= Virtuaalmasinate seadistused =
Selle konkreetse lahenduskäigu puhul on kasutusel kolm virtuaalmasinat:

1) Puppet server: Ubuntu Server 64bit versioon 12.04.3 LTS.

puppet.planet.zz 192.168.56.200

2) Keskne logiserver: Ubuntu Server 64bit versioon 12.04.3 LTS.

rsyslog.planet.zz 192.168.56.201

3) Klient: Ubuntu Desktop 64bit versioon 13.

client.planet.zz 192.168.56.101

= Tarkvara kirjeldus =
Rsyslog versioon 5.8.6 - logiserver, mis saadab ja võtab vastu klientide poolt saadetud logid

Apache2 versioon 2.2.22 - veebiserver, mis seadistatakse hilisemaks logide veebipõhiseks vaatamiseks

MySQL server versioon 5.5 - andmebaasiserver, kuhu salvestatakse logid nende hilisemaks analüüsiks

LogAnalyzer versioon 3.6.5 - veebipõhine kasutajaliides logide otsimiseks ja analüüsimiseks reaalajas

= Tarkvara paigaldamine =
NB! Kõik juhendis kirjutatud käsud käivitatakse root kasutaja õigustes.

Paigaldame keskses logiserveris (rsyslog.planet.zz) vajalikud pakid.

Esmalt uuendame tarkvararepositooriumit:

<source lang="bash">
apt-get update && apt-get upgrade -y
</source>

Paigaldame rsyslog'i:

<source lang="bash">
apt-get install rsyslog
</source>

Paigaldame apache veebiserveri:

<source lang="bash">
apt-get install apache2
</source>

Paigaldame MySQL andmebaasiserveri:

(MySQL-serveri paigaldamisel tuleb määrata root kasutaja parool)

<source lang="bash">
apt-get install mysql-server
</source>

Paigaldame php5 ja vajalikud moodulid:

<source lang="bash">
apt-get install php5 php5-gd libapache2-mod-php5 php5-mysql
</source>

Taaskäivitame teenused:

<source lang="bash">
/etc/init.d/rsyslog restart
</source> 
<source lang="bash">
/etc/init.d/mysql restart
</source> 
<source lang="bash">
/etc/init.d/apache2 restart
</source>

Kontrollime, kas veebiserver ja andmebaasiserver kasutavad õigeid TCP/IP porte (80, 3306):

<source lang="bash">
netstat -tapn
</source>

<pre>

Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name

tcp 0 0 127.0.0.1:3306 0.0.0.0:* LISTEN 18595/mysqld

tcp 0 0 0.0.0.0:80 0.0.0.0:* LISTEN 18766/apache2

</pre>

Loome MySQL-serverisse andmebaasi nimega "rsyslog". Sinna hakkab toimuma logide

salvestamine:

<source lang="bash">
mysqladmin -u root -p create rsyslog
</source>

Käivitame MySQL käsurea ning loome andmebaasi "rsyslog" uue kasutaja.

Siseneme andmebaasi:

<source lang="bash">
mysql -u root -p
</source>

Loome andmebaasi "rsyslog" kasutaja nimega rsyslog:

NB: 'sinu_uus_rsyslogi_parool' asemele kirjuta meelepärane parool.

<source lang="bash">
GRANT SELECT, INSERT, UPDATE, DELETE ON rsyslog.* TO 'rsyslog'@'localhost' IDENTIFIED BY 'sinu_uus_rsyslogi_parool';
</source>

Aktiveerime õigused:

<source lang="bash">
FLUSH PRIVILEGES;
</source>

MySQL serverist väljumiseks:

<source lang="bash">
quit
</source>

Seadistame keskse logiserveri kasutama porti 10514.

Avame nano või mõne muu tekstiredaktoriga rsyslog.conf faili:

<source lang="bash">
nano /etc/rsyslog.conf
</source>

Lisame rsyslog.conf faili lõppu järgnevad read:

<source lang="bash">
$ModLoad MySQL
*.* >127.0.0.1,rsyslog,rsyslog,sinu_uus_rsyslogi_parool
</source>

Eemaldame kommentaari sümboli ‘#’ järgnevatelt ridadelt:

<source lang="bash">
# provides TCP syslog reception
$ModLoad imtcp
$InputTCPServerRun 10514
</source>

Seejärel taaskäivitame rsyslog teenuse:

<source lang="bash">
/etc/init.d/rsyslog restart
</source>

Kontrollime, kas serverid kuulavad õigeid TCP/IP porte (80, 10514 & 3306):

<source lang="bash">
netstat -tapn
</source>

<pre>

Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name

tcp 0 0 127.0.0.1:3306 0.0.0.0:* LISTEN 14689/mysqld

tcp 0 0 0.0.0.0:80 0.0.0.0:* LISTEN 14881/apache2

tcp 0 0 0.0.0.0:10514 0.0.0.0:* LISTEN 14923/rsyslogd

tcp6 0 0 :::10514 :::* LISTEN 14923/rsyslogd

</pre>

Laeme alla LogAnalyzer-i ja konfigureerime Apache veebiserveri logide näitamiseks.

<source lang="bash">
wget http://download.adiscon.com/loganalyzer/loganalyzer-3.6.5.tar.gz
</source>

Pakime lahti alla laetud tarkvara:

<source lang="bash">
tar xvzf loganalyzer-3.6.5.tar.gz
</source>

Kopeerime loganalyzer'i /var/www/ kausta:

<source lang="bash">
mv loganalyzer-3.6.5/ /var/www/
</source>

Liigume /var/www kausta:

<source lang="bash">
cd /var/www
</source>

Muudame /var/www/ kataloogis olevate failide ja kaustade omanikku ja gruppi:

<source lang="bash">
chown www-data:www-data .* -R
</source>

Loome uue kausta:

<source lang="bash">
mkdir /var/www/loganalyzer
</source>

Kopeerime /src/ kaustast kõik failid /var/www/loganalyzer kausta:

<source lang="bash">
cp loganalyzer-3.6.5/src/* /var/www/loganalyzer -R
</source>

Kopeerime /contrib/ kaustast kõik skriptifailid /var/www/loganalyzer kausta:

<source lang="bash">
cp loganalyzer-3.6.5/contrib/*.sh /var/www/loganalyzer -R
</source>

Anname skriptidele käivitusõigused:

<source lang="bash">
chmod +x /var/www/loganalyzer/*.sh
</source>

Liigume kausta:

<source lang="bash">
cd loganalyzer/
</source>

Käivitame skripti:

<source lang="bash">
sh ./configure.sh
</source>

Anname Apachele õigused kasutada syslogi:

<source lang="bash">
usermod -G adm www-data
</source>

LogAnalyzeri paigaldamine jätkub veebibrauseris.

Mine veebibrauseriga aadressile: http://192.168.56.201/loganalyzer/install.php

Kui tuleb ette paigaldamise juhend, siis võib jätkata paigaldamist vaikesätetega.

Nüüd peaks rsyslogi server töötama koos LogAnalyzeriga.

= Rsyslog klientide seadistamine =
NB! Kõik juhendis kirjutatud käsud käivitatakse root kasutaja õigustes.

Paigaldame klientidele (client.planet.zz ja puppet.planet.zz) rsyslog paki:

Esmalt uuendame tarkvararepositooriumit:

<source lang="bash">
apt-get update && apt-get upgrade -y
</source>

Paigaldame rsyslog'i:

<source lang="bash">
apt-get install rsyslog
</source>

Avame nano või mõne muu tekstiredaktoriga rsyslog.conf faili:

<source lang="bash">
nano /etc/rsyslog.conf
</source>

Lisame rsyslog.conf faili lõppu järgnevad read:

<source lang="bash">
*.* @@192.168.56.201:10514
</source>

Taaskäivita rsyslogi teenus:

<source lang="bash">
/etc/init.d/rsyslog restart
</source>

Kontrolli, kas server kuulab õiget TCP IP porti (10514).

<source lang="bash">
netstat -tapn
</source> 
<pre>
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
tcp 0 0 192.168.56.101:49155 192.168.56.201:10514 ESTABLISHED 9180/rsyslogd
</pre>

= Kasutatud kirjandus =

http://www.howtoforge.com/centralized-rsyslog-server-monitoring 
http://www.slsmk.com/setup-syslog-with-loganalyzer-on-ubuntu-server/ 
http://badsimplicity.com/rsyslog-not-listening-tcp-on-port-514/ 
http://enos.itcollege.ee/~mernits/Linux%20administreerimine/Arnus%20-%20keskne%20logilahendus.pdf

Keskse logilahenduse rakendamine Rsyslog näitel

2013-12-19T13:48:50Z

Kkuurman: /* Tarkvara valik */

= Eesmärk =
Juhendi eesmärgiks on keskse logilahenduse rakendamine virtualiseeritud testkeskkonnas.

= Eeldused =
Testkeskkonnas on virtuaalmasinate võrguparameetrid eelnevalt seadistatud.

Võrguparameetrite seadistamiseks loe juhendit [[Ubuntu server võrgu seadistamine]] ja [[VirtualBoxi võrgud]].

= Nõuded tarkvarale =

Töötab Linux/Unix keskkonnas;

Võimaldab TCP protokolli kasutada;

Avatud lähtekoodiga või vaba tarkvara;

Logide jälgimine veebikeskkonnas.

= Tarkvara valik =
Nõuetele vastab Rsyslog ja LogAnalyzer. Valiku langetasime tuginedes Sander Arnuse [http://enos.itcollege.ee/~mernits/Linux%20administreerimine/Arnus%20-%20keskne%20logilahendus.pdf lõputööle]. 
Alternatiivsete logiserveri tarkvarana võib kasutada näiteks logstash'i või syslog-ng'd. 
Kliendi masinates võib kasutada logitarkvarana nxlog'i või syslog-ng'd. 
LogAnalyzer'i asemel võib kasutada Kibana't. 

= Virtuaalmasinate seadistused =
Selle konkreetse lahenduskäigu puhul on kasutusel kolm virtuaalmasinat:

1) Puppet server: Ubuntu Server 64bit versioon 12.04.3 LTS.

puppet.planet.zz 192.168.56.200

2) Keskne logiserver: Ubuntu Server 64bit versioon 12.04.3 LTS.

rsyslog.planet.zz 192.168.56.201

3) Klient: Ubuntu Desktop 64bit versioon 13.

client.planet.zz 192.168.56.101

= Tarkvara kirjeldus =
Rsyslog versioon 5.8.6 - logiserver, mis saadab ja võtab vastu klientide poolt saadetud logid

Apache2 versioon 2.2.22 - veebiserver, mis seadistatakse hilisemaks logide veebipõhiseks vaatamiseks

MySQL server versioon 5.5 - andmebaasiserver, kuhu salvestatakse logid nende hilisemaks analüüsiks

LogAnalyzer versioon 3.6.5 - veebipõhine kasutajaliides logide otsimiseks ja analüüsimiseks reaalajas

= Tarkvara paigaldamine =
NB! Kõik juhendis kirjutatud käsud käivitatakse root kasutaja õigustes.

Paigaldame keskses logiserveris (rsyslog.planet.zz) vajalikud pakid.

Esmalt uuendame tarkvararepositooriumit:

<source lang="bash">
apt-get update && apt-get upgrade -y
</source>

Paigaldame rsyslog'i:

<source lang="bash">
apt-get install rsyslog
</source>

Paigaldame apache veebiserveri:

<source lang="bash">
apt-get install apache2
</source>

Paigaldame MySQL andmebaasiserveri:

(MySQL-serveri paigaldamisel tuleb määrata root kasutaja parool)

<source lang="bash">
apt-get install mysql-server
</source>

Paigaldame php5 ja vajalikud moodulid:

<source lang="bash">
apt-get install php5 php5-gd libapache2-mod-php5 php5-mysql
</source>

Taaskäivitame teenused:

<source lang="bash">
/etc/init.d/rsyslog restart
</source> 
<source lang="bash">
/etc/init.d/mysql restart
</source> 
<source lang="bash">
/etc/init.d/apache2 restart
</source>

Kontrollime, kas veebiserver ja andmebaasiserver kasutavad õigeid TCP/IP porte (80, 3306):

<source lang="bash">
netstat -tapn
</source>

<pre>

Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name

tcp 0 0 127.0.0.1:3306 0.0.0.0:* LISTEN 18595/mysqld

tcp 0 0 0.0.0.0:80 0.0.0.0:* LISTEN 18766/apache2

</pre>

Loome MySQL-serverisse andmebaasi nimega "rsyslog". Sinna hakkab toimuma logide

salvestamine:

<source lang="bash">
mysqladmin -u root -p create rsyslog
</source>

Käivitame MySQL käsurea ning loome andmebaasi "rsyslog" uue kasutaja.

Siseneme andmebaasi:

<source lang="bash">
mysql -u root -p
</source>

Loome andmebaasi "rsyslog" kasutaja nimega rsyslog:

NB: 'sinu_uus_rsyslogi_parool' asemele kirjuta meelepärane parool.

<source lang="bash">
GRANT SELECT, INSERT, UPDATE, DELETE ON rsyslog.* TO 'rsyslog'@'localhost' IDENTIFIED BY 'sinu_uus_rsyslogi_parool';
</source>

Aktiveerime õigused:

<source lang="bash">
FLUSH PRIVILEGES;
</source>

MySQL serverist väljumiseks:

<source lang="bash">
quit
</source>

Seadistame keskse logiserveri kasutama porti 10514.

Avame nano või mõne muu tekstiredaktoriga rsyslog.conf faili:

<source lang="bash">
nano /etc/rsyslog.conf
</source>

Lisame rsyslog.conf faili lõppu järgnevad read:

<source lang="bash">
$ModLoad MySQL
*.* >127.0.0.1,rsyslog,rsyslog,sinu_uus_rsyslogi_parool
</source>

Eemaldame kommentaari sümboli ‘#’ järgnevatelt ridadelt:

<source lang="bash">
# provides TCP syslog reception
$ModLoad imtcp
$InputTCPServerRun 10514
</source>

Seejärel taaskäivitame rsyslog teenuse:

<source lang="bash">
/etc/init.d/rsyslog restart
</source>

Kontrollime, kas serverid kuulavad õigeid TCP/IP porte (80, 10514 & 3306):

<source lang="bash">
netstat -tapn
</source>

<pre>

Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name

tcp 0 0 127.0.0.1:3306 0.0.0.0:* LISTEN 14689/mysqld

tcp 0 0 0.0.0.0:80 0.0.0.0:* LISTEN 14881/apache2

tcp 0 0 0.0.0.0:10514 0.0.0.0:* LISTEN 14923/rsyslogd

tcp6 0 0 :::10514 :::* LISTEN 14923/rsyslogd

</pre>

Laeme alla LogAnalyzer-i ja konfigureerime Apache veebiserveri logide näitamiseks.

<source lang="bash">
wget http://download.adiscon.com/loganalyzer/loganalyzer-3.6.5.tar.gz
</source>

Pakime lahti alla laetud tarkvara:

<source lang="bash">
tar xvzf loganalyzer-3.6.5.tar.gz
</source>

Kopeerime loganalyzer'i /var/www/ kausta:

<source lang="bash">
mv loganalyzer-3.6.5/ /var/www/
</source>

Liigume /var/www kausta:

<source lang="bash">
cd /var/www
</source>

Muudame /var/www/ kataloogis olevate failide ja kaustade omanikku ja gruppi:

<source lang="bash">
chown www-data:www-data .* -R
</source>

Loome uue kausta:

<source lang="bash">
mkdir /var/www/loganalyzer
</source>

Kopeerime /src/ kaustast kõik failid /var/www/loganalyzer kausta:

<source lang="bash">
cp loganalyzer-3.6.5/src/* /var/www/loganalyzer -R
</source>

Kopeerime /contrib/ kaustast kõik skriptifailid /var/www/loganalyzer kausta:

<source lang="bash">
cp loganalyzer-3.6.5/contrib/*.sh /var/www/loganalyzer -R
</source>

Anname skriptidele käivitusõigused:

<source lang="bash">
chmod +x /var/www/loganalyzer/*.sh
</source>

Liigume kausta:

<source lang="bash">
cd loganalyzer/
</source>

Käivitame skripti:

<source lang="bash">
sh ./configure.sh
</source>

Anname Apachele õigused kasutada syslogi:

<source lang="bash">
usermod -G adm www-data
</source>

LogAnalyzeri paigaldamine jätkub veebibrauseris.

Mine veebibrauseriga aadressile: http://192.168.56.201/loganalyzer/install.php

Kui tuleb ette paigaldamise juhend, siis võib jätkata paigaldamist vaikesätetega.

Nüüd peaks rsyslogi server töötama koos LogAnalyzeriga.

= Rsyslog klientide seadistamine =
NB! Kõik juhendis kirjutatud käsud käivitatakse root kasutaja õigustes.

Paigaldame klientidele (client.planet.zz ja puppet.planet.zz) rsyslog paki:

Esmalt uuendame tarkvararepositooriumit:

<source lang="bash">
apt-get update && apt-get upgrade -y
</source>

Paigaldame rsyslog'i:

<source lang="bash">
apt-get install rsyslog
</source>

Avame nano või mõne muu tekstiredaktoriga rsyslog.conf faili:

<source lang="bash">
nano /etc/rsyslog.conf
</source>

Lisame rsyslog.conf faili lõppu järgnevad read:

<source lang="bash">
*.* @@192.168.56.201:10514
</source>

Taaskäivita rsyslogi teenus:

<source lang="bash">
/etc/init.d/rsyslog restart
</source>

Kontrolli, kas server kuulab õiget TCP IP porti (10514).

<source lang="bash">
netstat -tapn
</source> 
<pre>
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
tcp 0 0 192.168.56.101:49155 192.168.56.201:10514 ESTABLISHED 9180/rsyslogd
</pre>

= Kasutatud kirjandus =

http://www.howtoforge.com/centralized-rsyslog-server-monitoring 
http://www.slsmk.com/setup-syslog-with-loganalyzer-on-ubuntu-server/ 
http://badsimplicity.com/rsyslog-not-listening-tcp-on-port-514/ 
http://enos.itcollege.ee/~mernits/Linux%20administreerimine/Arnus%20-%20keskne%20logilahendus.pdf

Keskse logilahenduse rakendamine Rsyslog näitel

2013-12-19T13:48:23Z

Kkuurman: /* Tarkvara valik */

= Eesmärk =
Juhendi eesmärgiks on keskse logilahenduse rakendamine virtualiseeritud testkeskkonnas.

= Eeldused =
Testkeskkonnas on virtuaalmasinate võrguparameetrid eelnevalt seadistatud.

Võrguparameetrite seadistamiseks loe juhendit [[Ubuntu server võrgu seadistamine]] ja [[VirtualBoxi võrgud]].

= Nõuded tarkvarale =

Töötab Linux/Unix keskkonnas;

Võimaldab TCP protokolli kasutada;

Avatud lähtekoodiga või vaba tarkvara;

Logide jälgimine veebikeskkonnas.

= Tarkvara valik =
Nõuetele vastab Rsyslog ja LogAnalyzer. Valiku langetasime tuginedes Sander Arnuse [http://enos.itcollege.ee/~mernits/Linux%20administreerimine/Arnus%20-%20keskne%20logilahendus.pdf lõputööle].

Alternatiivsete logiserveri tarkvarana võib kasutada näiteks logstash'i või syslog-ng'd.
Kliendi masinates võib kasutada logitarkvarana nxlog'i või syslog-ng'd.
LogAnalyzer'i asemel võib kasutada Kibana't.

= Virtuaalmasinate seadistused =
Selle konkreetse lahenduskäigu puhul on kasutusel kolm virtuaalmasinat:

1) Puppet server: Ubuntu Server 64bit versioon 12.04.3 LTS.

puppet.planet.zz 192.168.56.200

2) Keskne logiserver: Ubuntu Server 64bit versioon 12.04.3 LTS.

rsyslog.planet.zz 192.168.56.201

3) Klient: Ubuntu Desktop 64bit versioon 13.

client.planet.zz 192.168.56.101

= Tarkvara kirjeldus =
Rsyslog versioon 5.8.6 - logiserver, mis saadab ja võtab vastu klientide poolt saadetud logid

Apache2 versioon 2.2.22 - veebiserver, mis seadistatakse hilisemaks logide veebipõhiseks vaatamiseks

MySQL server versioon 5.5 - andmebaasiserver, kuhu salvestatakse logid nende hilisemaks analüüsiks

LogAnalyzer versioon 3.6.5 - veebipõhine kasutajaliides logide otsimiseks ja analüüsimiseks reaalajas

= Tarkvara paigaldamine =
NB! Kõik juhendis kirjutatud käsud käivitatakse root kasutaja õigustes.

Paigaldame keskses logiserveris (rsyslog.planet.zz) vajalikud pakid.

Esmalt uuendame tarkvararepositooriumit:

<source lang="bash">
apt-get update && apt-get upgrade -y
</source>

Paigaldame rsyslog'i:

<source lang="bash">
apt-get install rsyslog
</source>

Paigaldame apache veebiserveri:

<source lang="bash">
apt-get install apache2
</source>

Paigaldame MySQL andmebaasiserveri:

(MySQL-serveri paigaldamisel tuleb määrata root kasutaja parool)

<source lang="bash">
apt-get install mysql-server
</source>

Paigaldame php5 ja vajalikud moodulid:

<source lang="bash">
apt-get install php5 php5-gd libapache2-mod-php5 php5-mysql
</source>

Taaskäivitame teenused:

<source lang="bash">
/etc/init.d/rsyslog restart
</source> 
<source lang="bash">
/etc/init.d/mysql restart
</source> 
<source lang="bash">
/etc/init.d/apache2 restart
</source>

Kontrollime, kas veebiserver ja andmebaasiserver kasutavad õigeid TCP/IP porte (80, 3306):

<source lang="bash">
netstat -tapn
</source>

<pre>

Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name

tcp 0 0 127.0.0.1:3306 0.0.0.0:* LISTEN 18595/mysqld

tcp 0 0 0.0.0.0:80 0.0.0.0:* LISTEN 18766/apache2

</pre>

Loome MySQL-serverisse andmebaasi nimega "rsyslog". Sinna hakkab toimuma logide

salvestamine:

<source lang="bash">
mysqladmin -u root -p create rsyslog
</source>

Käivitame MySQL käsurea ning loome andmebaasi "rsyslog" uue kasutaja.

Siseneme andmebaasi:

<source lang="bash">
mysql -u root -p
</source>

Loome andmebaasi "rsyslog" kasutaja nimega rsyslog:

NB: 'sinu_uus_rsyslogi_parool' asemele kirjuta meelepärane parool.

<source lang="bash">
GRANT SELECT, INSERT, UPDATE, DELETE ON rsyslog.* TO 'rsyslog'@'localhost' IDENTIFIED BY 'sinu_uus_rsyslogi_parool';
</source>

Aktiveerime õigused:

<source lang="bash">
FLUSH PRIVILEGES;
</source>

MySQL serverist väljumiseks:

<source lang="bash">
quit
</source>

Seadistame keskse logiserveri kasutama porti 10514.

Avame nano või mõne muu tekstiredaktoriga rsyslog.conf faili:

<source lang="bash">
nano /etc/rsyslog.conf
</source>

Lisame rsyslog.conf faili lõppu järgnevad read:

<source lang="bash">
$ModLoad MySQL
*.* >127.0.0.1,rsyslog,rsyslog,sinu_uus_rsyslogi_parool
</source>

Eemaldame kommentaari sümboli ‘#’ järgnevatelt ridadelt:

<source lang="bash">
# provides TCP syslog reception
$ModLoad imtcp
$InputTCPServerRun 10514
</source>

Seejärel taaskäivitame rsyslog teenuse:

<source lang="bash">
/etc/init.d/rsyslog restart
</source>

Kontrollime, kas serverid kuulavad õigeid TCP/IP porte (80, 10514 & 3306):

<source lang="bash">
netstat -tapn
</source>

<pre>

Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name

tcp 0 0 127.0.0.1:3306 0.0.0.0:* LISTEN 14689/mysqld

tcp 0 0 0.0.0.0:80 0.0.0.0:* LISTEN 14881/apache2

tcp 0 0 0.0.0.0:10514 0.0.0.0:* LISTEN 14923/rsyslogd

tcp6 0 0 :::10514 :::* LISTEN 14923/rsyslogd

</pre>

Laeme alla LogAnalyzer-i ja konfigureerime Apache veebiserveri logide näitamiseks.

<source lang="bash">
wget http://download.adiscon.com/loganalyzer/loganalyzer-3.6.5.tar.gz
</source>

Pakime lahti alla laetud tarkvara:

<source lang="bash">
tar xvzf loganalyzer-3.6.5.tar.gz
</source>

Kopeerime loganalyzer'i /var/www/ kausta:

<source lang="bash">
mv loganalyzer-3.6.5/ /var/www/
</source>

Liigume /var/www kausta:

<source lang="bash">
cd /var/www
</source>

Muudame /var/www/ kataloogis olevate failide ja kaustade omanikku ja gruppi:

<source lang="bash">
chown www-data:www-data .* -R
</source>

Loome uue kausta:

<source lang="bash">
mkdir /var/www/loganalyzer
</source>

Kopeerime /src/ kaustast kõik failid /var/www/loganalyzer kausta:

<source lang="bash">
cp loganalyzer-3.6.5/src/* /var/www/loganalyzer -R
</source>

Kopeerime /contrib/ kaustast kõik skriptifailid /var/www/loganalyzer kausta:

<source lang="bash">
cp loganalyzer-3.6.5/contrib/*.sh /var/www/loganalyzer -R
</source>

Anname skriptidele käivitusõigused:

<source lang="bash">
chmod +x /var/www/loganalyzer/*.sh
</source>

Liigume kausta:

<source lang="bash">
cd loganalyzer/
</source>

Käivitame skripti:

<source lang="bash">
sh ./configure.sh
</source>

Anname Apachele õigused kasutada syslogi:

<source lang="bash">
usermod -G adm www-data
</source>

LogAnalyzeri paigaldamine jätkub veebibrauseris.

Mine veebibrauseriga aadressile: http://192.168.56.201/loganalyzer/install.php

Kui tuleb ette paigaldamise juhend, siis võib jätkata paigaldamist vaikesätetega.

Nüüd peaks rsyslogi server töötama koos LogAnalyzeriga.

= Rsyslog klientide seadistamine =
NB! Kõik juhendis kirjutatud käsud käivitatakse root kasutaja õigustes.

Paigaldame klientidele (client.planet.zz ja puppet.planet.zz) rsyslog paki:

Esmalt uuendame tarkvararepositooriumit:

<source lang="bash">
apt-get update && apt-get upgrade -y
</source>

Paigaldame rsyslog'i:

<source lang="bash">
apt-get install rsyslog
</source>

Avame nano või mõne muu tekstiredaktoriga rsyslog.conf faili:

<source lang="bash">
nano /etc/rsyslog.conf
</source>

Lisame rsyslog.conf faili lõppu järgnevad read:

<source lang="bash">
*.* @@192.168.56.201:10514
</source>

Taaskäivita rsyslogi teenus:

<source lang="bash">
/etc/init.d/rsyslog restart
</source>

Kontrolli, kas server kuulab õiget TCP IP porti (10514).

<source lang="bash">
netstat -tapn
</source> 
<pre>
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
tcp 0 0 192.168.56.101:49155 192.168.56.201:10514 ESTABLISHED 9180/rsyslogd
</pre>

= Kasutatud kirjandus =

http://www.howtoforge.com/centralized-rsyslog-server-monitoring 
http://www.slsmk.com/setup-syslog-with-loganalyzer-on-ubuntu-server/ 
http://badsimplicity.com/rsyslog-not-listening-tcp-on-port-514/ 
http://enos.itcollege.ee/~mernits/Linux%20administreerimine/Arnus%20-%20keskne%20logilahendus.pdf

Kkuurman:

Mina teen: Kaarel Kuurmann, 7.09.2012
= Mis on AppLocker =
AppLocker on töövahend, millega on võimalik hallata kasutajapoolset ligipääsu erinevatele programmidele. AppLockeri abil saavad administraatorid kontrollida, milliseid rakendusi ja faile kasutajad käivitada tohivad. AppLocker on kättesaadav järgmistel Windows operatsioonisüsteemidel: Windows 7 Pro, Windows 7 Ultimate, Windows 7 Enterprise, Windows 8 Pro, Windows 8 Enterprise, Windows Server 2008 R2, Windows Server 2012. Windows 7 Pro ja Windows 8 Pro puhul saab kasutada AppLockerit reeglite loomiseks ja neid näiteks serverisse importida, kuid reeglid ise eelmainitud operatsioonisüsteemi kasutatavatel arvutitel ei jõustu. AppLockeriga on võimalik kirjeldada reegleid, mis baseeruvad faili attribuutidel, kuid mis programmi uuenduste käigus ei muutu, näiteks väljaandja nimi või programmi nimi. Piiranguid on võimalik määrata ka faili asukoha järgi, määrata reegel kindlale kasutajagrupile või individuaalsele kasutajale. Luua reegleid ja kontrollida neid testserveril, enne nende töökeskkonda viimist. AppLocker lihtsustab administraatorite tööd ning aitab vähendada ettevõttesiseselt helpdeski helistavate inimeste arvu, mis on põhjustatud programmide käivitamisega, mis pole ettevõttepoolset heakskiitu saanud.

= Milliseid failitüüpe on AppLockeriga võimalik hallata =
Windows Server 2008 R2 ja Windows 7 puhul on võimalik hallata 4 tüüpi faile: 
* käivitatavaid (.exe, .com) 
* skript (.bat, .cmd, .js, .ps1, .vbs) 
* DLL (.dll, .ocx) 
* Windows Installer (.msi, .msp) 
Lisaks nendele lisandus Windows Server 2012's ja Windows 8's .mst ja .appx formaadid.
Igat failitüüpi hallatakse oma enda reeglite kogumikus.

= AppLockeri kasutamine =
1. Avage AppLocker. Selleks vajutage klaviatuuril "Windows" nuppu, ning otsinguribasse kirjutage "gpedit.msc" ja klikkige saadud vastele.

[[File:AppLocker01.jpg | 1100px]]

2. Avanenud peaks olema Local Group Policy Editor. Tehke topeltklõps kaustale "Windows Settings". Järgmisena tuleb avada "Security Settings" seejärel "Application Control Policies". Nüüd avada topeltklõpsuga "AppLocker".

[[File:AppLocker03.jpg]]

3. Tee parem klõps "Executable Rules" ning vali "Create Default Rules". See on vajalik selleks, et tagada ligipääs Windows ja Program Files kausta. Kui te seda ei tee, siis puudub teil ligipääs nendele kaustadele.

[[File:AppLocker02.jpg]]

4. Käivitatava faili puhul reegli loomiseks parem klõps "Executable Rules" ja sealt valida "Create New Rule..."

[[File:AppLocker04.jpg | 1100px]]

5. Avanenud aknas vajutage esimese sammuna "Next".

[[File:AppLocker05.jpg | 1100px]]

6. Järgmisena tuleb valida, kas "Allow" või "Deny". "Allow" lubab mõjutatud faile käivitada. "Deny" puhul ei ole võimalik mõjutatud faile käivitada. Et muuta kasutajat või gruppi, kellele vastav reegel kehtib tuleb vajutada "Select".

[[File:AppLocker06.jpg | 1100px]]

7. Edasi tuleb klikkata nupule "Advanced".

[[File:AppLocker07.jpg | 1100px]]

8. Uues avanenud aknas klikka nuppule "Find Now" ning märgi ära, mis kasutajagrupile vastav piirang rakendub. Valiku kinnitamiseks vajutage "OK".

[[File:AppLocker08.jpg | 1100px]]

9. Vajutage uuesti "OK".

[[File:AppLocker09.jpg | 1100px]]

10. Järgnevas aknas vajutage "Next".

[[File:AppLocker10.jpg | 1100px]]

11. Valige sobiv variant, kas "Publisher", "Path", "File hash" ning seejärel vajutage "Next".

[[File:AppLocker11.jpg | 1100px]]

12. Vajutage "Browse" ja otsige fail, mille kohta reegel luuakse. Liugurit üles-alla liigutades on võimalik määrata, kui
üksikasjalikult on reegel määratud. Kui need sammud on täidetud, siis vajutage "Next".

[[File:AppLocker12.jpg | 1100px]]

13. Järgnevalt on võimalik lisada erandeid. Erandite puhul välistatakse failid, mis muidu on reeglisse lisatud. Erandi lisamiseks tuleb vajutada "Add", seejärel "Browse", valida millised failid jätta reeglist välja, ning kinnitada see käsuga "OK". Meie oma näites erandeid ei lisa, seega vajutame koheselt "Next"

[[File:AppLocker13.jpg | 1100px]]

14. Siin on võimalus muuta reegli nime või lisada kirjeldus(pole kohustuslik). "Create" nupule vajutusega luuakse reegel.

[[File:AppLocker14.jpg | 1100px]]

15. Kui on vajadus kustutada mõni reegel, siis tuleb sellel teha parem klõps, ning valige "Delete" ja "Yes".

[[File:AppLocker15.jpg | 1100px]]

16. Seadistada tuleks ka seda, kuidas reeglid jõustuvad. Tehke parem klõps "AppLocker-il" ja valige "Properties".

[[File:AppLocker16.jpg | 1100px]]

17. Edasi tuleb märgistada, millised reeglid sunnitakse jõustuma - "Enforce rules" ning millised töötavad testrežiimis - "Audit
only". "Audit only" režiimis reeglid ei jõustu konkreetselt kasutajatele, kuid Event Viewerist on võimalik jälgida, millised kasutajad on avanud faile, mis on reeglite kohaselt blokeeritud. Seejärel vajutada "OK".

[[File:AppLocker17.jpg | 1100px]]

18. "Advanced" menüü alt on võimalik lubada DLL failide reeglite kollektsiooni, mis on vajalik .dll failide reeglite loomiseks. Vaikimisi on need keelatud.

19. Selleks, et AppLockeri reeglid töötaks on vajalik ka Application Identity töötamine. Et seda teha vajuta "Windows" nuppu ning kirjuta otsinguribasse "View Local Services" ning ava see.

[[File:AppLocker19.jpg | 1100px]]

20. Otsi üles "Application Identity" ja tee sellel parem klõps, ning vali "Properties".

[[File:AppLocker20.jpg | 1100px]]

21. Muuda "Startup type" valides rippmenüüst "Automatic". Juhul kui "Service status" on "Stopped", siis vajuta "Start" ning "Service status" peaks muutuma ning kuvama "Running". Seejärel võib vajutada "OK".

[[File:AppLocker21.jpg | 1100px]]

= Kasutatud Kirjandus =
http://technet.microsoft.com/en-us/library/ee619725(v=ws.10).aspx#BKMK_WhatisAppLocker 
http://technet.microsoft.com/en-us/library/hh831440.aspx 
http://windowsteamblog.com/windows/b/springboard/archive/2009/08/18/understanding-windows-7-applocker.aspx 
http://www.scriptlogic.com/smbit/video/how-to-whitelist-apps-with-applocker 
http://www.windowsnetworking.com/articles_tutorials/Introduction-AppLocker-Part4.html

Windows juhend: Kuidas kasutada AppLockerit

2012-10-01T19:23:13Z

Kkuurman:

Mina teen: Kaarel Kuurmann, 7.09.2012
= Mis on AppLocker =
AppLocker on töövahend, millega on võimalik hallata kasutajapoolset ligipääsu erinevatele programmidele. AppLockeri abil saavad administraatorid kontrollida, milliseid rakendusi ja faile kasutajad käivitada tohivad. AppLocker on kättesaadav järgmistel Windows operatsioonisüsteemidel: Windows 7 Pro, Windows 7 Ultimate, Windows 7 Enterprise, Windows 8 Pro, Windows 8 Enterprise, Windows Server 2008 R2, Windows Server 2012. Windows 7 Pro ja Windows 8 Pro puhul saab kasutada AppLockerit reeglite loomiseks ja neid näiteks serverisse importida, kuid reeglid ise eelmainitud operatsioonisüsteemi kasutatavatel arvutitel ei jõustu. AppLockeriga on võimalik kirjeldada reegleid, mis baseeruvad faili attribuutidel, kuid mis programmi uuenduste käigus ei muutu, näiteks väljaandja nimi või programmi nimi. Piiranguid on võimalik määrata ka faili asukoha järgi, määrata reegel kindlale kasutajagrupile või individuaalsele kasutajale. Luua reegleid ja kontrollida neid testserveril, enne nende töökeskkonda viimist. AppLocker lihtsustab administraatorite tööd ning aitab vähendada ettevõttesiseselt helpdeski helistavate inimeste arvu, mis on põhjustatud programmide käivitamisega, mis pole ettevõttepoolset heakskiitu saanud.

= Milliseid failitüüpe on AppLockeriga võimalik hallata =
Windows Server 2008 R2 ja Windows 7 puhul on võimalik hallata 4 tüüpi faile: 
* käivitatavaid (.exe, .com) 
* skript (.bat, .cmd, .js, .ps1, .vbs) 
* DLL (.dll, .ocx) 
* Windows Installer (.msi, .msp) 
Lisaks nendele lisandus Windows Server 2012's ja Windows 8's .mst ja .appx formaadid.
Igat failitüüpi hallatakse oma enda reeglite kogumikus.

= AppLockeri kasutamine =
1. Avage AppLocker. Selleks vajutage klaviatuuril "Windows" nuppu, ning otsinguribasse kirjutage "gpedit.msc" ja klikkige saadud vastele.

[[File:AppLocker01.jpg | 1100px]]

2. Tee parem klõps "Executable Rules" ning vali "Create Default Rules". See on vajalik selleks, et tagada ligipääs Windows ja Program Files kausta. Kui te seda ei tee, siis puudub teil ligipääs nendele kaustadele.

[[File:AppLocker02.jpg]]

3. Avanenud peaks olema Local Group Policy Editor. Tehke topeltklõps kaustale "Windows Settings". Järgmisena tuleb avada "Security Settings" seejärel "Application Control Policies". Nüüd avada topeltklõpsuga "AppLocker".

[[File:AppLocker03.jpg]]

4. Käivitatava faili puhul reegli loomiseks parem klõps "Executable Rules" ja sealt valida "Create New Rule..."

[[File:AppLocker04.jpg | 1100px]]

5. Avanenud aknas vajutage esimese sammuna "Next".

[[File:AppLocker05.jpg | 1100px]]

6. Järgmisena tuleb valida, kas "Allow" või "Deny". "Allow" lubab mõjutatud faile käivitada. "Deny" puhul ei ole võimalik mõjutatud faile käivitada. Et muuta kasutajat või gruppi, kellele vastav reegel kehtib tuleb vajutada "Select".

[[File:AppLocker06.jpg | 1100px]]

7. Edasi tuleb klikkata nupule "Advanced".

[[File:AppLocker07.jpg | 1100px]]

8. Uues avanenud aknas klikka nuppule "Find Now" ning märgi ära, mis kasutajagrupile vastav piirang rakendub. Valiku kinnitamiseks vajutage "OK".

[[File:AppLocker08.jpg | 1100px]]

9. Vajutage uuesti "OK".

[[File:AppLocker09.jpg | 1100px]]

10. Järgnevas aknas vajutage "Next".

[[File:AppLocker10.jpg | 1100px]]

11. Valige sobiv variant, kas "Publisher", "Path", "File hash" ning seejärel vajutage "Next".

[[File:AppLocker11.jpg | 1100px]]

12. Vajutage "Browse" ja otsige fail, mille kohta reegel luuakse. Liugurit üles-alla liigutades on võimalik määrata, kui
üksikasjalikult on reegel määratud. Kui need sammud on täidetud, siis vajutage "Next".

[[File:AppLocker12.jpg | 1100px]]

13. Järgnevalt on võimalik lisada erandeid. Erandite puhul välistatakse failid, mis muidu on reeglisse lisatud. Erandi lisamiseks tuleb vajutada "Add", seejärel "Browse", valida millised failid jätta reeglist välja, ning kinnitada see käsuga "OK". Meie oma näites erandeid ei lisa, seega vajutame koheselt "Next"

[[File:AppLocker13.jpg | 1100px]]

14. Siin on võimalus muuta reegli nime või lisada kirjeldus(pole kohustuslik). "Create" nupule vajutusega luuakse reegel.

[[File:AppLocker14.jpg | 1100px]]

15. Kui on vajadus kustutada mõni reegel, siis tuleb sellel teha parem klõps, ning valige "Delete" ja "Yes".

[[File:AppLocker15.jpg | 1100px]]

16. Seadistada tuleks ka seda, kuidas reeglid jõustuvad. Tehke parem klõps "AppLocker-il" ja valige "Properties".

[[File:AppLocker16.jpg | 1100px]]

17. Edasi tuleb märgistada, millised reeglid sunnitakse jõustuma - "Enforce rules" ning millised töötavad testrežiimis - "Audit
only". "Audit only" režiimis reeglid ei jõustu konkreetselt kasutajatele, kuid Event Viewerist on võimalik jälgida, millised kasutajad on avanud faile, mis on reeglite kohaselt blokeeritud. Seejärel vajutada "OK".

[[File:AppLocker17.jpg | 1100px]]

18. "Advanced" menüü alt on võimalik lubada DLL failide reeglite kollektsiooni, mis on vajalik .dll failide reeglite loomiseks. Vaikimisi on need keelatud.

19. Selleks, et AppLockeri reeglid töötaks on vajalik ka Application Identity töötamine. Et seda teha vajuta "Windows" nuppu ning kirjuta otsinguribasse "View Local Services" ning ava see.

[[File:AppLocker19.jpg | 1100px]]

20. Otsi üles "Application Identity" ja tee sellel parem klõps, ning vali "Properties".

[[File:AppLocker20.jpg | 1100px]]

21. Muuda "Startup type" valides rippmenüüst "Automatic". Juhul kui "Service status" on "Stopped", siis vajuta "Start" ning "Service status" peaks muutuma ning kuvama "Running". Seejärel võib vajutada "OK".

[[File:AppLocker21.jpg | 1100px]]

= Kasutatud Kirjandus =
http://technet.microsoft.com/en-us/library/ee619725(v=ws.10).aspx#BKMK_WhatisAppLocker 
http://technet.microsoft.com/en-us/library/hh831440.aspx 
http://windowsteamblog.com/windows/b/springboard/archive/2009/08/18/understanding-windows-7-applocker.aspx 
http://www.scriptlogic.com/smbit/video/how-to-whitelist-apps-with-applocker 
http://www.windowsnetworking.com/articles_tutorials/Introduction-AppLocker-Part4.html

File:AppLocker19.jpg

2012-10-01T19:22:18Z

Kkuurman:

File:AppLocker15.jpg

2012-10-01T19:07:53Z

Kkuurman: uploaded a new version of "File:AppLocker15.jpg"

File:AppLocker10.jpg

2012-10-01T19:07:30Z

Kkuurman: uploaded a new version of "File:AppLocker10.jpg"