Soutenir Vision du Web dans son partage de logiciels et de ressources libres

Ce mineur crée de la monnaie numérique Monero pour soutenir Vision du web.
Merci de désactiver votre bloqueur de publicité.
Aucune publicité ne sera affichée.
Le mineur utilise les ressources de votre machine pour créer gratuitement de la monnaie numérique.
Le montant des donations pour Vision du web est de 0.073098684737773 Monero.

Gestion des logs : Différence entre versions

De Wiki. Analyse, Communication, Développement, Hacking.
Aller à : navigation, rechercher
m (Rsyslog et Loganalyzer)
m (Installer LogAnalyzer)
Ligne 7 : Ligne 7 :
 
  [[Adiscon_Rsyslog|Adiscon Rsyslog]].
 
  [[Adiscon_Rsyslog|Adiscon Rsyslog]].
 
  [[Adiscon_Loganalyzer|Adiscon LogAnalyzer]].
 
  [[Adiscon_Loganalyzer|Adiscon LogAnalyzer]].
 
===Installer LogAnalyzer===
 
====Présentation====
 
Adiscon LogAnalyzer est une interface Web pour syslog et d'autres données d'événement de réseau.
 
Il offre une navigation facile, une analyse des événements réseau en temps réel et des services de reporting.
 
 
#  #  #  #  #  #  #  #  #  #
 
# Premier essai pour installer LogAnalyzer :
 
# Je part d'une installation de Loganalizer faite sans utiliser rsyslog-mysql, en utilisant l'option source Disk pour syslog depuis LogAnalyzer.
 
# Avant de chercher a utiliser Loganalyzer avec une base de données, il faut configurer Rsyslog correctement, puis, vérifier que la base de données reçoive correctement les logs.
 
# Si aucune base de données n'est renseignée par Rsyslog, le message d'erreur suivant sera affiché depuis LogAnalyzer : No syslog records found - Error Details: No syslog records found
 
#  #  #  #  #  #  #  #  #  #
 
 
Site officiel de Adiscon LogAnalyzer : https://loganalyzer.adiscon.com
 
Page de téléchargement pour l'archive de Adiscon LogAnalyzer : https://loganalyzer.adiscon.com/download/
 
 
Il existe de nombreuses alternatives comme par exemple [https://sourceforge.net/projects/phplogcon/ phpLogCon] qui est une interface Web optionnelle pour visualiser les données de logs en ligne.
 
 
====Installation====
 
Installer l’interface web Adiscon LogAnalyser sur le serveur de logs qui va permettre de visualiser et d’analyser les messages syslog.
 
 
# Prérequis : apache et php, php-mysql, php-gd.
 
 
# Télécharger la dernière version de Adiscon LogAnalyzer sur votre machine locale ou serveur distant :
 
cd ~/
 
wget http://download.adiscon.com/loganalyzer/loganalyzer-4.1.6.tar.gz
 
 
# Décompresser l'archive :
 
tar -xvzf loganalyzer-4.1.6.tar.gz
 
 
====Déplacer le dossier de loganalyzer vers le serveur web====
 
# On crée un répertoire loganalyzer à la racine du serveur web :
 
sudo mkdir /var/www/html/loganalyzer
 
 
# On copie les fichiers LogAnalyzer requis dans ce répertoire :
 
sudo cp -a loganalyzer-4.1.6/src/* /var/www/html/loganalyzer
 
 
# On rend le user Apache propriétaire du dossier :
 
sudo chown -R www-data:www-data /var/www/html/loganalyzer
 
 
# Depuis le dossier de l'archive décompressée, copier les deux fichiers suivants vers le serveur web :
 
~/loganalyzer-4.1.6/contrib# cp configure.sh /var/www/html/loganalyzer/configure.sh
 
~/loganalyzer-4.1.6/contrib# cp secure.sh /var/www/html/loganalyzer/secure.sh
 
 
# Aller dans le dossier loganalyzer pour rendre ses deux fichiers exécutables :
 
cd /var/www/html/loganalyzer/
 
sudo chmod +x configure.sh secure.sh
 
# Lancer le fichier configure.sh va créer un fichier config.php vide :
 
./configure.sh
 
 
# Changer les droits de config.php
 
chown www-data:www-data config.php
 
chmod 777 config.php
 
# Suite à l'installation, le fichier semble retrouver des droits normaux, en 644.
 
# A vérifier après chaque installation, pour ne pas laisser ce fichier en 777, éventuellement, tester une installation avec les droits 755, moins permissifs.
 
 
====Lancer l'installation depuis l'interface web de LogAnalyzer====
 
# Avec un navigateur on se rend à l’adresse http://localhost/loganalyzer/install.php
 
# Configurer LogAnalyzer en suivant les étapes proposées par l’assistant.
 
 
[[Fichier:main-configuration-file-is-missing.png]]
 
Main configuration file is missing.
 
 
Cet affichage est normal, il indique que le fichier de configuration est vide, et, que l'installation peut commencer.
 
 
[[Fichier:step-1-prerequisites.png]]
 
Step 1 - Prerequisites.
 
 
Vérifier les prérequis pour installer LogAnalyzer.
 
 
[[Fichier:step-2-verify-file-permissions.png]]
 
Step 2 - Verify file permissions.
 
 
Vérifie les permissions appliquées sur les fichiers.
 
 
[[Fichier:step-3-basic-configuration.png]]
 
Step 3 - Basic configuration.
 
 
Configuration de la base de données de LogAnalyzer.
 
Premières valeurs proposées : 50 80 30 yes yes yes.
 
Hôte : localhost
 
Port : 3306
 
Nom de la base de données : Syslog
 
Préfixe : logcon_
 
Utilisateur de la base de données : rsyslog
 
Mot de passe de l'utilisateur de la base de données : Au choix.
 
Nécessite que l'utilisateur soit connecté : non
 
Méthode d’authentification : Authentification interne.
 
 
[[Fichier:step-4-create-tables.png]]
 
Step 4 - Create tables.
 
 
Créer les tables pour LogAnalyzer dans la base de données qui a été précédemment créée.
 
 
[[Fichier:step-5-check-sql-results.png]]
 
Step 5 - Check SQL results.
 
 
Vérifier le résultat du traitement SQL. Tout c'est correctement déroulé.
 
 
[[Fichier:step-6-creating-the-main-useraccount.png]]
 
Step 6 - Creating the main useraccount.
 
 
Créer le compte utilisateur pour l'interface web de LogAnalyzer.
 
 
[[Fichier:step-7-create-the-first-source-for-syslog-messages.png]]
 
Step 7 - Create the first source for syslog messages.
 
 
Je choisi de récupérer les logs de syslog depuis le fichier syslog, avec l'option Source Type : Diskfile.
 
 
J'aurais pu choisir l'option "Source Type : MySQL".
 
Cette méthode nécessite la bonne configuration de Rsyslog avec MySQL : Les données de syslog doivent apparaître dans la base de données de Syslog.
 
Configurer alors l'accès de LogAnalyzer à la base de données dédiée à Syslog qui est alimentée par Rsyslog.
 
Préférer l'utilisation des paramètres configurés par défaut lors de l'installation du paquet rsyslog-mysql.
 
Name of the source : Ma source Syslog
 
Source Type : MYSQL Native
 
Select View : Syslog Fields
 
Custom Searchfilter : Je laisse le champ vide.
 
Table type : MonitorWare
 
Database Host : localhost
 
Database Name : Syslog
 
Database Tablename : systemevents
 
Database User : rsyslog
 
Database Password : Au choix
 
Enable Row Counting : no
 
 
[[Fichier:step-8-done.png]]
 
Step 8 - Done.
 
 
LogAnalyzer est maintenant installé et configuré.
 
 
Supprimer le fichier d'installation une fois l'installation terminée :
 
rm -f /var/www/html/loganalyzer/install.php
 
 
# Si la source MYSQL Native avec Syslog Fields a été choisie dans la configuration assistée de Loganalizer :
 
# Une fois l’installation terminée, modifier le fichier /var/www/html/loganalizer/config.php en utilisant les valeurs appropriées à votre configuration :
 
# $CFG['Sources']['Source1']['DBServer'] = 'localhost';
 
# $CFG['Sources']['Source1']['DBName'] = 'Syslog';
 
# $CFG['Sources']['Source1']['DBUser'] = 'Votre utilisateur';
 
# $CFG['Sources']['Source1']['DBPassword'] = 'Votre mot de passe';
 
# $CFG['Sources']['Source1']['DBTableName'] = 'SystemEvents';
 
 
====Consulter la page principale de Loganalyzer====
 
# La page principale de Loganalyzer :
 
http://localhost/loganalyzer/index.php
 
 
[[Fichier:syslog-file-is-not-readable-read-access-may-be-denied.png]]
 
No syslog records found - Error Details: Syslog file is not readable, read access may be denied
 
 
Le fichier Syslog n'est pas lisible, l'accès en lecture peut être refusé.
 
Les autorisations utilisateur dans les fichiers syslog sont 640. Pour que LogAnalyzer fonctionne, les fichiers syslog doivent être lisibles par www-data.
 
1. Ajouter un nouveau groupe appelé "logadmin" : groupadd logadmin
 
2. Ajouter l'utilisateur www-data au groupe logadmin : usermod -a -G logadmin www-data
 
3. Vérifier le résultat : groups www-data
 
4. Modifier le fichier de configuration /etc/logrotate.conf : nano /etc/logrotate.conf
 
    Rechercher la commande "create" par défaut et modifier-la comme suit : create 640 syslog logadmin
 
    Lors de la prochaine exécution de logrotate, les fichiers journaux deviendront lisibles par défaut sur le serveur Web.
 
 
No syslog records found - Error Details: No syslog records found
 
5. Le fichier syslog est vide. Il faut attendre que de nouvelles informations soient écrites dans le fichier log.
 
6. Appliquer les propriétaires suivants aux fichiers rsyslog.log et syslog : sudo chown syslog:logadmin rsyslog.log syslog
 
    syslog            logadmin        44419 nov.  12 05:00 rsyslog.log
 
    syslog            logadmin          6604 nov.  12 05:03 syslog
 
# Les propriétés suivantes sont obsolètes : https://www.rsyslog.com/doc/v8-stable/configuration/modules/omfile.html
 
# 7. Adapter le groupe adm pour logadmin dans le fichier /etc/rsyslog.conf (Sans certitude.)
 
#    sudo nano /etc/rsyslog.conf
 
#    # Définir les autorisations par défaut pour tous les fichiers logs.
 
#    $FileOwner syslog
 
#    $FileGroup logadmin #adm
 
#    $FileCreateMode 0640
 
#    $DirCreateMode 0755
 
#    $Umask 0022
 
#    $PrivDropToUser syslog
 
#    $PrivDropToGroup syslog
 
8. Redémarrer rsyslog avec sudo /etc/init.d/rsyslog restart pour prendre en compte la nouvelle configuration.
 
 
[[Fichier:accueil-loganalyzer.png]]
 
Les logs sont maintenant affichés depuis l'interface de LogAnalizer.
 
====Vérifier la version de LogAnalyzer====
 
rsyslogd -v
 
 
rsyslogd 8.39.0, compiled with:
 
  PLATFORM: x86_64-pc-linux-gnu
 
  PLATFORM (lsb_release -d):
 
  FEATURE_REGEXP: Yes
 
  GSSAPI Kerberos 5 support: No
 
  FEATURE_DEBUG (debug build, slow code): No
 
  32bit Atomic operations supported: Yes
 
  64bit Atomic operations supported: Yes
 
  memory allocator: system default
 
  Runtime Instrumentation (slow code): No
 
  uuid support: Yes
 
  systemd support: Yes
 
  Number of Bits in RainerScript integers: 64
 
 
====Utiliser LogAnalyzer====
 
Lancer une recherche en ajoutant un filtre dans la barre de recherche Search (filter) : severity:=1 à severity:=7
 
  
 
==CCZE pour lire ses logs en couleur==
 
==CCZE pour lire ses logs en couleur==

Version du 19 novembre 2018 à 14:31

Naviguer sur le wiki : Accueil du wiki - Administrateur - Développeur - Intégrateur - Marketing - Multimédia - Objectifs - We make Hack
Naviguer sur le site : Accueil du site - Les annuaires - Les éditoriaux - Le forum - Les outils - Les projets
 
Consulter le sommaire de cette page en étant déconnecté du réseau : Télécharger le sommaire en PDF

Gestion des logs

Adiscon

Rsyslog et Loganalyzer.png.
Exemple d'installation de Rsyslog et de LogAnalyzer depuis une machine virtuelle GNU/Linux Mint Tara.
Adiscon Rsyslog.
Adiscon LogAnalyzer.

CCZE pour lire ses logs en couleur

Installer CCZE

Sur Debian :
sudo apt install ccze
Sur ArchLinux :
sudo pacman -S ccze
Sur Fedora :
sudo yum install ccze

Le fichier de configuration de CCZE

# Consulter le fichier de configuration de CCZE :
nano /etc/cczerc

Utilisation de CCZE

Utiliser CCZE pour lire les logs du système en couleurs.
Avec un fichier en entrée, la lecture est trop rapide, ce qui empêche de lire le fichier de log :
ccze < /var/log/syslog
Avec un fichier en entrée, avec une limite du nombre de lignes a afficher :
tail -100 /var/log/syslog | ccze -A
Coupler dmesg avec CCZE :
dmesg | ccze | more
Convertir la sortie au format HTML pour partager les logs avec ses collaborateurs :
tail -10000 /var/log/syslog | grep kernel | ccze -h > kernel.html
tail -10000 /var/log/syslog | ccze -h > kernel.html
cat /var/log/syslog | grep kernel | ccze -h > kernel.html
cat /var/log/syslog | ccze -h > syslog.html
Lire la fin d'un fichier de logs en continu :
tail -f /var/log/syslog | ccze -A
La commande less permet la lecture page par page :
ccze -A < /var/log/syslog | less -R
Créer un raccourci pour utiliser CCZE à l'aide du fichier .bashrc
Ok-ko.png Améliorer la lecture de ses logs avec des raccourcis dans .bashrc : http://linux-attitude.fr/post/Lire-les-logs-en-couleur
lesslog() { ccze -A < $1 | less -R; }
logtail() { tail -f $1 | ccze -A; }
Utiliser les raccourcis créés de la façon suivante :
lesslog Chemin/vers/le/fichier/de/log
lesslog /var/log/syslog
logtail Chemin/vers/le/fichier/de/log
logtail /var/lor/syslog
Connaître la liste des fichiers de logs colorisés par CCZE :
ccze -l

Décompresser les fichiers .gz pour lire les archives des fichiers de logs

# Se placer dans le dossier /var/log/
# Décompresser un seul fichier de log :
gzip -d syslog.7.gz
# Décompresser tous les fichiers de logs :
gzip -d *.gz

dmesg

Dmesg : dmesg.fr
Lancer la commande dmesg pour obtenir des informations complémentaires sur d'éventuelles erreurs.
Plus d'informations : https://manpages.debian.org/jessie/manpages-fr-extra/dmesg.1.fr.html

Logwatch

apt-get install logwatch
Source : https://www.informatiweb-pro.net/admin-systeme/linux/12--debian-ubuntu-detecter-les-attaques-effectuees-contre-votre-serveur-grace-a-logwatch.html

Utiliser pastebin pour partager les logs de votre machine

Utiliser pastebin pour partager les logs de votre machine avec d'autres administrateurs système.
inxi -Fxxxzc0 |pastebin
sudo rfkill list all |pastebin
dmesg |pastebin
Utiliser pastebin pour partager les logs de vos noyaux avec d'autres administrateurs système.
dpkg -l linux-image* | pastebin

OSSEC

Site officiel : http://www.ossec.net

Picviz

Picviz est un applicatif qui utilise les fichiers log générés par diverses sources telles Apache, Netfilter, ..., va concevoir des graphiques au format png permettant une vue plus synthétique et plus compréhensible des données contenues dans ces fichiers log, erreurs, anomalies...
Source : https://doc.ubuntu-fr.org/picviz

Syslog-ng

Centraliser les logs avec syslog-ng.
Source : https://doc.ubuntu-fr.org/syslog-ng
Pour se tenir informé de ce qui se passe sur votre serveur et système tout entier, installer syslog-ng.
apt install syslog-ng

Configuration de quelques programmes avec Syslog-ng

Fail2ban
# Éditer le fichier /etc/fail2ban/fail2ban.conf :
logtarget = SYSLOG
Apache 2
# Éditer le fichier /etc/apache2/apache2.conf :
ErrorLog syslog:local7
PHP
# Éditer le fichier /etc/php5/apache2/php.ini :
log_errors = On
error_log = syslog

Consolidation des logs avec Rsylog, Mysql et Loganalyzer

Consolidation des logs avec Rsylog, Mysql et Loganalyzer : https://journaldunadminlinux.fr/tutoriel-consolidation-des-logs-avec-rsylog-mysql-et-loganalyzer/

Vérifier les logs du boot

Dernier boot :
journalctl -b
Les logs kernel depuis le dernier boot :
journalctl -b -k
Seulement les erreurs depuis le dernier boot :
journalctl -b -p err
ou
journalctl -b -p 3
On peut changer la priorité recherchée (-p) comme suit :
0: emerg
1: alert
2: crit
3: err
4: warning
5: notice
6: info
7: debug

Lire des fichiers logs spécifiques

utmp

Le contenu du fichier utmp n'est pas intelligible à l'écran, on utilise le logiciel last afin d'interpréter et d'afficher correctement son contenu.
last -f /var/run/utmp

wtmp

Le fichier wtmp enregistre toutes les connexions et déconnexions.
Le contenu du fichier wtmp n'est pas intelligible à l'écran, on utilise le logiciel last afin d'interpréter et d'afficher correctement son contenu.
last -f /var/log/wtmp

Signer ses logs

Signer ses logs : http://linux-attitude.fr/post/signer-ses-logs

Aller plus loin avec les logs

Belaïd MOUNSI de la liste Debian user french propose une solution pas forcément évidente à mettre en oeuvre mais efficace une fois mise en place : Le triplet "Elasticsearch, Logstach et Kibana".
Par contre c'est très très gourmand en ressources, donc pour une machine personnelle, c'est pas la peine: https://www.elastic.co/guide/en/elasticsearch/guide/current/hardware.html
Autres façons de rechercher des logs spécifiques dans votre système GNU/Linux : https://wiki.debian-fr.xyz/Consulter_les_logs_:_quoi,_o%C3%B9_et_comment_chercher_%3F
Des logs, des logs, oui mais des logs amis : http://linux-attitude.fr/post/des-logs-des-logs-oui-mais-des-logs-amis
Lire et modifier l’historique d’accès : http://linux-attitude.fr/post/lire-et-modifier-l-historique-d-acces
Logs locaux et distants : http://linux-attitude.fr/post/logs-locaux-et-distants
Log de l’historique : http://linux-attitude.fr/post/log-de-lhistorique

Partager un rendu visuel de ses logs sur son site

AWStats

AWStats : Installation, Configuration and Reporting : https://awstats.sourceforge.io/docs/awstats_setup.html

Bibliographie

.

NAVIGATION

PARTICIPER ET PARTAGER

Vous êtes sur le wiki de Vision du Web.
Les pages présentées sur le wiki évoluent tous les jours.
Certaines recherches sont peu abouties et incluent des erreurs.
Pour participer sur le wiki, créer un compte utilisateur en haut à droite.
La recherche interne du wiki permet de trouver le contenu qui vous intéresse.
Identifiez-vous pour poser vos questions sur la page de discussion de VisionDuWeb.
Améliorer le contenu des pages en faisant des propositions depuis l'onglet discussion.
Pour écrire en Markdown : Éditeur - Générateur de tableau 1 - Générateur de tableau 2.
Les informations du wiki ne doivent pas servir à nuire à autrui ou à un système informatique.
De nombreux outils gratuits sont listés et disponibles dans la boîte à outils de Vision du web.
D'autres pages du wiki peuvent correspondre à vos attentes. La liste de toutes les pages du wiki.

VALORISER LE WIKI

Valoriser le contenu partagé sur le wiki avec un don en monnaie numérique :
AEON - Bitcoins (BTC) - Bitcoins Cash - Bitcoins Gold - Bitcore (BTX) - Blackcoins - Bytecoins - Clams - Dash - Monero - Dogecoins - Ethereum - Ethereum Classique - Litecoins - Potcoins - Solarcoins - Zcash

OBTENIR DE LA MONNAIE NUMERIQUE

Obtenir gratuitement de la monnaie numérique :
Gagner des Altcoins - Miner des Altcoins.
Miroir PlanetHoster du 1er Novembre 2018.