Instalação do Log Analyser

O Adiscon LogAnalyzer é uma interface da Web para syslog e outros dados de eventos da rede. Ele fornece fácil análise, análise de eventos de rede em tempo real e serviços de relatórios.



1) Instalando o Lamp:
sudo apt-get install lamp-server

2) Digite a senha de root para o MySQL 2 vezes (“seginfo“)

3) Instale o rsyslog e seu módulo relp:
sudo apt-get install rsyslog-mysql rsyslog-relp

4)  Selecione <Sim>, digite a senha de root do MySQL (“seginfo“) e entre com a
senha do rsyslog 2 vezes (“seginfo“).

5) Descomente a as linhas do arquivo ‘/etc/rsyslog.conf’ para habilitar o
recebimento de logs por TCP e UDP:
sudo vi /etc/rsyslog.conf
….
# provides UDP syslog reception
$ModLoad imudp
$UDPServerRun 514
# provides TCP syslog reception
$ModLoad imtcp
$InputTCPServerRun 514
….

8) Salve o arquivo e reinicie o serviço
sudo  service rsyslog restart

9) Verifique se o rsyslog está gravando no MySQL.
mysql -p -e “SELECT * FROM Syslog.SystemEvents;”

10. Digite a senha do MySQL: “seginfo”
….
| 1 | NULL | 2011-03-30 11:27:29 | 2011-03-30 11:27:29 | 0 | 6 | seg | imklog 4.2.0, log source = /proc/kmsg
started.
….
11) Crie o arquivo ‘/etc/rsyslog.d/relp.conf‘ e adicione as duas linhas
abaixo.

sudo vi /etc/rsyslog.d/relp.conf
$ModLoad imrelp
$InputRELPServerRun 20514

12) Salve o arquivo.

13) Crie um diretório de trabalho para o rsyslog.
# mkdir -p /var/rsyslog/work

14) Adicione as linhas abaixo no ‘/etc/rsyslog.d/mysql.conf‘.
# vi /etc/rsyslog.d/mysql.conf

# Buffering stuff:
$WorkDirectory /var/rsyslog/work # default location for
work (spool) files
$ActionQueueType LinkedList # use asynchronous processing
$ActionQueueFileName dbq
# set file name, also enables
disk mode
$ActionResumeRetryCount -1
# infinite retries on insert
failure

15) Salve o arquivo.

16) Reinicie o serviço.
# service rsyslog restart

17) Baixe o loganalyzer-3.0.1.
# wget http://download.adiscon.com/loganalyzer/loganalyzer-3.6.2.tar.gz

18) Descompacte o LogAnalyzer.
# tar xzf loganalyzer-3.6.2.tar.gz

19) Copie os arquivos necessários para o servidor Web (Apache).

cd loganalyzer-3.0.1
mkdir /var/www/logs
cp -R src/* /var/www/logs/
cp contrib/* /var/www/logs/
cd /var/www/logs/
chmod +x configure.sh secure.sh
./configure.sh


20) Crie um banco de dados para os usuários.
# mysql -p
mysql> create database LogAnalyzerUsers;
mysql> grant all on LogAnalyzerUsers.* to teste@’localhost’
identified by ‘seginfo’;
mysql> quit

21) Reinicie o Apache2.
sudo /etc/init.d/apache2 restart

22) Abra um browser e vá para http://localhost/logs/

23. Clique sobre o texto “here” conforme figura abaixo para iniciar as configurações
do LogAnalyzer.


24. Clique no botão <Next> no “Step 1” e no “Step 2“.

25. Deixe o “Step 3” conforme figura abaixo.


26. Clique <Next> no “Step 4” e “Step 5“.

27. Crie a conta do administrador no “Step 6“.
User: root
Password: seginfo

28. Deixe as configurações finais conforme abaixo:


29. Clique sobre o texto “here” para finalizar as configurações.

30. Faça o login como usuário “root” e senha “seginfo“.

31. Configure o “Set auto reload” para <10 seconds>.





INSTALAÇÃO CLIENTS


32) Instalação e configuração do cliente 1 (Debian 6):
a. Abra a máquina virtual do Debian 6.
b. Instale o módulo relp do rsyslog:
sudo apt-get install rsyslog-relp

c. Edite o arquivo ‘/etc/rsyslog.conf’ e adicione as seguintes linhas no final
do arquivo para habilitar o módulo relp e logar no servidor remoto:
$ModLoad omrelp
*.* :omrelp:10.2.0.20:20514;RSYSLOG_ForwardFormat

33) Reinicie o serviço:
sudo service rsyslog restart

34) Instalação e configuração do cliente 2 (Windows XP/7):
a. Abra a máquina virtual do Windows 2008.
b. Baixe o eventog-to-syslog:
http://code.google.com/p/eventlog-to-syslog/downloads/list
c. Descompacte o arquivo baixado.
d. Copie o arquivo “evtsys.exe” no diretório “c:\Windows\System32“.
e. Abra o “Command Prompt” e vá para o diretório da aplicação.
cd c:\Windows\System32

35). Crie o serviço para logar no servidor remoto (Será necessário executar como administrador o cmd).
evtsys.exe -i -h 10.2.0.20

36) Abra o “Computer Management” e selecione “Services and Applications” ->
“Services“.

a. Clique em “Start Service” na barra de menu.
b. Verifique se os clientes (Debian e Windows) estão enviando os eventos para o servidor.
Traduzindo para português:
cd /var/www/
tar -zcvf Backup.LogAnalyzer.tar.gz logs/
sudo apt-get install unzip
wget http://loganalyzer.adiscon.com/files/translations/loganalyzer_lang_pt_BR_3.2.3.zip
unzip loganalyzer_lang_pt_BR_3.2.3.zip
rm –r loganalyzer_lang_pt_BR_3.2.3.zip