Rsyslog et Loganalyzer

Mise en Place de LOGANALYZER

apt update && apt upgrade

Ensuite, installez les services de base d’une pile « LAMP » (Linux Apache Mysql ou MariaDB PHP) et les modules de PHP nécessaires au bon fonctionnement de l’interface web Loganalyzer :

apt install apache2 mariadb-server php php-mysql php-gd

Sécurisez l’installation de mysql (mariadb) en définissant au compte root un mot de passe.

mysql_secure_installation

Ensuite on vous demande « Set root password ? [Y/n] ». Appuyez de nouveau sur la touche Entrée pour répondre « Oui » (Y = Yes) et définir un mot de passe pour l’utilisateur root (2 fois).

Password : Caribou

Pour toutes les questions qui suivront, appuyez sur Entrée pour valider.

On termine la phase d’installation des services par le module mysql de rsyslog car nous allons héberger les journaux d’événements en base de données :

apt install rsyslog-mysql

Le dbconfig-common va alors s’occuper de créer une base de données appelée « Syslog » dont l’utilisateur « rsyslog » recevra les permissions adéquates pour interagir avec cette base.

Définissez un mot de passe pour l’utilisateur nommé « rsyslog » qui aura le contrôle total de la base de données Syslog :

Password : rsyslog

Poursuivons en activant la réception des logs sur le serveur dédié. Modifiez le fichier de configuration de rsyslog :

A la fin de ce même fichier, ajoutez la ligne suivante pour envoyer les logs directement à la base de données en renseignant le password que vous avez défini à l’utilisateur rsyslog à la place de « mdp user rsyslog » :

Redémarrez le service rsyslog.

systemctl restart rsyslog

C’est tout pour la configuration de Rsyslog ! Passons maintenant à LogAnalyzer.

Placez vous dans le répertoire de votre choix, pour moi ça sera /tmp, et téléchargez la dernière version stable de LogAnalyzer.

Teste :

http://IP-serveur-syslog/loganayzer

C’est NORMAL ! En effet nous n’avons pas encore initier l’installation de LogAnalyzer, il n’existe donc pas encore de fichier de configuration. Cliquez sur « here » pour lancer le setup.

A l’étape 1, on vous explique que le setup va vérifier si les pré-requis sont respectés. Cliquez sur « Next » .

L’étape 2 contrôle les permissions sur les fichiers placés dans /var/www/html/loganalyzer. S’il n’y a pas d’erreur, cliquez sur « NEXT » sinon, relancez la commande « chown » précédemment décrite.

Ces paramètres vont en réalité créer des tables supplémentaires dédiées à LogAnalyzer dans notre base de données Syslog. La partie « Table prefix » peut être laissée par défaut. Cliquez sur « Next ».

L’étape 4 indique que la connexion à la base de données définie à l’étape 3 a bien réussi et que les tables pour LogAnalyzer seront créées à l’étape suivante. Cliquez sur « Next ».

L’étape 5 valide la création des tables. Cliquez sur «Next ».

Prochaine étape, Créez un utilisateur pour se connecter à l’interface web de loganalyzer et définissez lui un mot de passe. Cliquez sur «Next ».

Créez un utilisateur pour se connecter à l’interface web de loganalyzer eIl faut maintenant paramétrer la source des logs comme étant notre base de données. Renseignez le champ « Name of the Source » en indiquant ce que vous voulez, ici j’ai mis un nom de serveur par exemple.

Modifiez le champ « Source Type » en sélectionnant « MYSQL Native » ce qui déroule le menu inférieur des options de base de données.

On ne panique pas ! C’est un bug connu de colonnes manquantes dans certaines tables de la base de données de syslog. Retournez sur votre serveur Debian, dans un terminal.

Connectez vous au service de base de données (juste écrire « mysql » si vous n’avez pas fait la sécurisation) :