Logiserver, mis korjab võrgust kokku mikrotikide logid
Labor 2 Protokoll - Mikrotik ruuteri logiserver
Lauri Rüütli A41 ja Tõnu Ruut AK31
07.01.14
Ülesande Püstitus
Luua logiserver mis korjab võrgust kokku mikrotik ruuteri logid
Server: Ubuntu Server 32bit versioon 12.04 TLS
Võrguseade Mikrotik RB951G-2HnD versioon 6.7
Kasutatud tarkvara
Logstash versioon 1.1.12 - logiserver
Elasticsearch versioon 0.90.0 - logide talletamiseks
Kibana 0.2.0 - veebiliides logide sirvimiseks ja otsimiseks
(Kasutatud Sander Arnuse poolt loodud lahendust.)
Serveri seadistamine
Uus virtuaalserver nimega logserver ip aadressiga 192.168.1.93
Ruuter ip aadressiga 192.168.1.87
Logstash
Installin openjdk,
teen logstashi jaoks kausta,
laadin alla logstashi ja tõstan selle logstashi kausta.
apt-get install openjdk-7-jre
mkdir /etc/logstash
wget https://logstash.objects.dreamhost.com/release/logstash-1.1.12-flatjar.jar
mv logstash-1.1.12-flatjar.jar /etc/logstash/logstash.jar
Loon konfiguratsioonifaili /etc/logstash/logstash.conf. Failis kirjeldan pordi numbri ja nime, millega on hiljem võimalik logisid grupeerida.
input {
#Mikrotikist süsteemidest tulevad logid
tcp {
type => "mikrotik"
port => 10514
}
#Logiserveri enda logid
file {
type => "logserver"
path => [ "/var/log/syslog", "/var/log/*.log" ]
}
}
output {
#Saadetakse andmebaasi
elasticsearch {
}
}
Loon automaatse käivituse jaoks kirje upstarti
Faili nimi /etc/init/logstash-server.conf
Sisuga:
# logstash server instance
description "logstash server instance"
start on virtual-filesystems
stop on runlevel [06]
respawn
respawn limit 5 30
limit nofile 65550 65550
env HOME=/etc/logstash
chdir /etc/logstash
setuid logstash
setgid adm
console log
#Minimaalne ja maksimaalne javale lubatud mälumaht
#env JAVA_OPTS='-Xms512m -Xmx512m'
script
exec java -jar /etc/logstash/logstash.jar agent -f /etc/logstash/logstash.conf
end script
Loon kausta /var/log/logstash ja kasutaja nimega logstash ning lisan ta gruppi adm.
mkdir /var/log/logstash
adduser --system --disabled-password --no-create-home --group --quiet logstash
usermod -a -G adm logstash
Muudan vajalike kaustade omanikuks kasutaja nimega "logstash" ja grupi "adm"
chown -R logstash:adm /etc/logstash/
chown -R logstash:adm /var/log/logstash/
Elasticsearch
Laen internetist alla elasticsearchi paki, installerin ja eemaldan faili.
wget https://download.elasticsearch.org/elasticsearch/elasticsearch/elasticsearch-0.90.0.deb
dpkg -i elasticsearch-0.90.0.deb
rm elasticsearch-0.90.0.deb
Käivitan teenuse
service elasticsearch start