Old:Configurare un server Syslog su Debian: differenze tra le versioni

← Differenza precedente

Old:Configurare un server Syslog su Debian (visualizza wikitesto)

Versione delle 11:39, 25 giu 2016

93 byte aggiunti , 25 giu 2016

m

spaziatura/box iniziale

HAL 9000

3 581

contributi

@@ Riga 1: / Riga 1: @@
-{{Versioni compatibili}}
+{{Old|Se si sta utilizzando Debian 6 (Squeeze) vedere la guida: [[Configurare un server Syslog su Debian Squeeze]]}}
+__TOC__
 == Introduzione ==
 In una serverfarm, ma anche in una piccola rete casalinga, può risultare molto utile riunire i log di tutte le macchine in un unico posto. Si possono in questo modo applicare funzioni di analisi, ricerca e statistica che, in un unico intervento, restituiranno lo stato di tutte le macchine della rete, e sarà inoltre possibile configurare un unico strumento per inviare messaggi di alert quando lo stato di una qualsiasi delle macchine monitorate subisce un'alterazione potenzialmente pericolosa.<br/>
@@ Riga 43: / Riga 44: @@
 == Installazione di phpLogCon ==
 {{Box | Nota |phpLogCon ha attualmente cambiato nome in LogAnalyzer. Il nuovo software è trattato nel capitolo successivo}}
-Per facilitare la lettura e la gestione dei log è uso comune ricorrere a interfacce grafiche. Su server senza l'ambiente grafico X installato potrebbe essere comodo ricorrere a un'interfaccia scritta in PHP. La scelta in questa guida è caduta su '''phpLogCon''' (http://www.phplogcon.org/), che a mio avviso rappresenta un ottimo compromesso tra funzionalità e facilità di installazione/gestione.
+Per facilitare la lettura e la gestione dei log è uso comune ricorrere a interfacce grafiche. Su server senza l'ambiente grafico X installato potrebbe essere comodo ricorrere a un'interfaccia scritta in PHP. La scelta in questa guida è caduta su '''phpLogCon''' (http://www.phplogcon.org/), che a mio avviso rappresenta un ottimo compromesso tra funzionalità e facilità di installazione/gestione.<br/>
 Prima di installare phpLogCon è necessario installare e configurare un ambiente LAMP, seguendo ad esempio le indicazioni riportare in questa guida: [[LAMP: Linux, Apache, MySQL e PHP]].<br/>
 Una volta terminata la configurazione dell'ambiente LAMP si può procedere all'installazione di phpLogCon. Si scarichi innanzitutto la versione più aggiornata dal sito ufficiale: http://www.phplogcon.org/downloads.<br/>
@@ Riga 53: / Riga 54: @@
 # mv /var/www/src /var/www/phplogcon
 </pre>
-Prima di continuare con l'installazione di phpLogCon occorre rendere rendere leggibili a phpLogCon i files di log syslog.
+Prima di continuare con l'installazione di phpLogCon occorre rendere rendere leggibili a phpLogCon i files di log syslog.<br/>
-Creiamo innanzitutto un nuovo gruppo e aggiungiamo l'utente www-data a questo gruppo:
+Creiamo innanzitutto un nuovo gruppo e aggiungiamo l'utente <code>www-data</code> a questo gruppo:
 <pre>
 # groupadd adm
@@ Riga 89: / Riga 90: @@
 }
 </pre>
-In questo modo la prossima volta che logrotate verrà eseguito i log diventeranno leggibili di default anche per il nostro webserver. Per visualizzarli basterà collegarsi alla pagina <code>http://127.0.0.1/phplogcon</code>.
+In questo modo la prossima volta che [[logrotate]] verrà eseguito i log diventeranno leggibili di default anche per il nostro webserver. Per visualizzarli basterà collegarsi alla pagina <code>http://127.0.0.1/phplogcon</code>.
 == Installazione di LogAnalyzer 3.x ==
-Il successore di pgpLogCon si chiama Adiscon LogAnalyzer e, come il suo predecessore, è scritto in PHP ed è liberamente scaricabile dal sito del progetto:
+Il successore di phpLogCon si chiama Adiscon LogAnalyzer e, come il suo predecessore, è scritto in PHP ed è liberamente scaricabile dal sito del progetto: http://loganalyzer.adiscon.com/ .<br/>
-http://loganalyzer.adiscon.com/ .<br/>
 La sua installazione procede essenzialmente in maniera identica a quella di phpLogCon, ma in questo paragrafo esamineremo anche l'utilizzo di un database MySQL di appoggio. Prima di installare LogAnalyzer è necessario installare e configurare un ambiente LAMP, seguendo ad esempio le indicazioni riportare in questa guida: [[LAMP: Linux, Apache, MySQL e PHP]].<br/>
 Una volta terminata la configurazione dell'ambiente LAMP si può procedere all'installazione di LogAnalyzer. Si scarichi innanzitutto la versione più aggiornata dal sito ufficiale: http://www.loganalyzer.adiscon.com/downloads.<br/>
@@ Riga 103: / Riga 103: @@
 # mv /var/www/src /var/www/loganalyzer
 </pre>
-Prima di continuare con l'installazione di LogAnalyzer occorre rendere rendere leggibili a LogAnalyzer i files di log syslog.
+Prima di continuare con l'installazione di LogAnalyzer occorre rendere leggibili a LogAnalyzer i files di log syslog.<br/>
-Creiamo innanzitutto un nuovo gruppo e aggiungiamo l'utente www-data a questo gruppo:
+Creiamo innanzitutto un nuovo gruppo e aggiungiamo l'utente <code>www-data</code> a questo gruppo:
 <pre>
 # groupadd adm
@@ Riga 160: / Riga 160: @@
 == Installazione di Splunk ==
 Un'interfaccia alternativa molto potente è Splunk (http://www.splunk.com/).<br>
-Per scaricare il pacchetto '''.deb''' che viene messo a disposizione (uno per architetture x86 e uno per architetture amd64) occorre effettuare la registrazione gratuita sul sito. Splunk non è opensource, ma è disponibile una versione Free, la cui limitazione è che può processare solo 500 MB di Log al giorno. Durante la configurazione di Splunk sarà possibile scegliere se utilizzare una versione Enterprise di prova o se utilizzare la versione Free.<br>
+Per scaricare il pacchetto '''.deb''' che viene messo a disposizione (uno per architetture x86 e uno per architetture amd64) occorre effettuare la registrazione gratuita sul sito. Splunk '''non è opensource''', ma è disponibile una versione Free, la cui limitazione è che può processare solo 500 MB di Log al giorno. Durante la configurazione di Splunk sarà possibile scegliere se utilizzare una versione Enterprise di prova o se utilizzare la versione Free.<br>
 Per installare Splunk, dopo aver scaricato il pacchetto .deb per la nostra architettura spostiamoci nella directory di download e diamo i comandi:
 <pre>
-apt-get update
+# apt-get update
-apt-get install libstdc++6
+# apt-get install libstdc++6
-dpkg -i splunk_package_name.deb
+# dpkg -i splunk_package_name.deb
 </pre>
 dove <code>package_name</code> corrisponde al numero di versione del pacchetto scaricato.<br>
 Per avviare Splunk per la prima volta diamo il comando:
 <pre>
-/opt/splunk/bin/splunk start --accept-license
+# /opt/splunk/bin/splunk start --accept-license
 </pre>
 (potete trovare il testo della licenza qui: <code>/opt/splunk/license-eula.txt</code>).<br>
@@ Riga 229: / Riga 229: @@
 </pre>
 Si possono notare i file di log attualmente in uso (<code>'''access.log'''</code> e <code>'''error.log'''</code>), i file di log del giorno precedente (<code>'''access.log.1'''</code> e <code>'''error.log.1'''</code>) e i file dei giorni ancora precedenti, che di default vengono compressi e conservati per cinque settimane.
-Logrotate può essere schedulato utilizzando <code><cron></code>. La directory <code>'''/etc/cron.daily'''</code> contiene infatti gli script che vengono eseguiti automaticamente ogni giorno dal sistema. Qui si può trovare lo script di logrotate. Ogni giorno questo script, al momento dell'esecuzione, esamina due cose:
+Logrotate può essere schedulato utilizzando [[cron]]. La directory <code>'''/etc/cron.daily'''</code> contiene infatti gli script che vengono eseguiti automaticamente ogni giorno dal sistema. Qui si può trovare lo script di logrotate. Ogni giorno questo script, al momento dell'esecuzione, esamina due cose:
 # il file di configurazione <code>/etc/logrotate.conf</code>
 # la directory di configurazione <code>/etc/logrotate.d</code>
@@ Riga 253: / Riga 253: @@
 Analizziamolo nel dettaglio:
 # <code>/var/log/apache2/*.log</code>: indica i file che vengono interessati dal processo;
-# <code>weekly</code>: i file sono rotati ogni settimana. Alternativa: <code>daily</code>;
+# <code>weekly</code>: i file sono ruotati ogni settimana. Alternativa: <code>daily</code>;
 # <code>rotate nn</code>: saranno conservati non più di <code>nn</code> file;
 # <code>compress</code>: i file saranno compressi con gzip. Alternativa: <code>nocompress</code>;
 # <code>delaycompress</code>: non comprime i log del giorno prima;
 # <code>notifempty</code>: non esegue la rotazione se il file è vuoto. Alternativa: <code>ifempty</code>;
-# <code>create xx user group</code>: imposta proprietario, gruppo e permessi per i nuovi filescreati;
+# <code>create xx user group</code>: imposta proprietario, gruppo e permessi per i nuovi file creati;
 # <code>sharedscripts</code>: esegue ogni script di prerotate o postrotate su ogni file. Alternativa: <code>nosharedscripts</code>;
 # <code>postrotate + endscript</code>: ogni cosa tra queste due voci viene eseguita dopo il processo di rotazione. Alternativa: <code>prerotate</code>.
@@ Riga 264: / Riga 264: @@
 == Programmi utili ==
-Per gli amanti delle e-mail si segnala l'esistenza del pacchetto '''logwatch''', uno script in perl che ogni giorno raccoglie gli eventi dei log e li invia all'utente root del sistema (o all'utente specificato in <code>/etc/aliases</code>).
+Per gli amanti delle e-mail si segnala l'esistenza del pacchetto '''logwatch''', uno script in Perl che ogni giorno raccoglie gli eventi dei log e li invia all'utente root del sistema (o all'utente specificato in <code>/etc/aliases</code>).
 <pre>
 # apt-get install logwatch
@@ Riga 274: / Riga 274: @@
 Non dimenticate, alla fine delle modifiche, di lanciare il comando:
 <pre>
-newaliases
+# newaliases
 </pre>
 Se invece amate avere sott'occhio i log in un terminale, potreste trovare utile il pacchetto '''ccze''', che altro non è che un coloratore di log molto comodo. Per installarlo:
@@ Riga 317: / Riga 317: @@
 destination(destination_name);
 };
-</pre>.
+</pre>
 Vediamo alcuni esempi.
-# Tutti i log sono inviati a un server syslog all'indirizzo 10.13.44.44:
+* Tutti i log sono inviati a un server syslog all'indirizzo 10.13.44.44:
 <pre>
 source s_all {
@@ Riga 336: / Riga 336: @@
 };
 </pre>
-# Viene utilizzato un filtro per inviare al syslog server solo i messaggi di livello '''alert''' e '''error''' generati da '''kernel facility'''. Come si può notare, per l'invio dei log viene utilizzato questa volta il protocollo TCP:
+* Viene utilizzato un filtro per inviare al syslog server solo i messaggi di livello '''alert''' e '''error''' generati da '''kernel facility'''. Come si può notare, per l'invio dei log viene utilizzato questa volta il protocollo TCP:
 <pre>
 source s_all {
@@ Riga 356: / Riga 356: @@
 };
 </pre>
-Affinché tutto funzioni non dobbiamo dimenticarci di istruire il server syslog affinché si ponga in ascolto anche sulla porta TCP specificata. Modifichiamo perciò il file di configurazione del server, <code>'''/etc/syslog-ng/syslog-ng.conf'''</code>:
+Affinché tutto funzioni non dobbiamo dimenticarci di istruire il server syslog affinché si ponga in ascolto anche sulla porta TCP specificata.<br/>
+Modifichiamo perciò il file di configurazione del server, <code>'''/etc/syslog-ng/syslog-ng.conf'''</code>:
 <pre>
 source s_all {
@@ Riga 375: / Riga 376: @@
 # Snare Agent, scaricabile da http://www.intersectalliance.com/projects/SnareWindows/index.html
 # NTSyslog, scaricabile da http://ntsyslog.sourceforge.net/
-Entrambi i tool sono facilmente configurabili.
+Entrambi i tool sono facilmente configurabili.<br/>
 Consiglio anche di aumentare la dimensione massima dei file di log di Windows, di default troppo bassa, e di agire su '''Criteri di Protezione Locali''' per abilitare un criterio di auditing un po' più efficace di quello attivo nella configurazione di default.
-<br/><br/>
-: [[Utente:Ferdybassi|Ferdybassi]]
+{{Autori
-----
+|Autore = [[Utente:Ferdybassi|Ferdybassi]]
-[[Categoria:Monitoraggio]]
+}}
-[[Categoria:Altri servizi di rete]]