4 069
contributi
Old:Configurare un server Syslog su Debian: differenze tra le versioni
Old:Configurare un server Syslog su Debian (visualizza wikitesto)
Versione delle 12:23, 3 gen 2010
, 3 gen 2010nessun oggetto della modifica
Nessun oggetto della modifica |
Nessun oggetto della modifica |
||
| Riga 1: | Riga 1: | ||
=Versioni compatibili= | |||
* Debian Etch 4.0 | * Debian Etch 4.0 | ||
* Debian Lenny 5.0 | * Debian Lenny 5.0 | ||
=Introduzione= | |||
In una serverfarm, ma anche in una piccola rete casalinga, può risultare molto utile riunire i log di tutte le macchine in un unico posto. Si possono in questo modo applicare funzioni di analisi, ricerca e statistica che, in un unico intervento, restituiranno lo stato di tutte le macchine della rete, e sarà inoltre possibile configurare un unico strumento per inviare messaggi di alert quando lo stato di una qualsiasi delle macchine monitorate subisce un'alterazione potenzialmente pericolosa.<br/> | In una serverfarm, ma anche in una piccola rete casalinga, può risultare molto utile riunire i log di tutte le macchine in un unico posto. Si possono in questo modo applicare funzioni di analisi, ricerca e statistica che, in un unico intervento, restituiranno lo stato di tutte le macchine della rete, e sarà inoltre possibile configurare un unico strumento per inviare messaggi di alert quando lo stato di una qualsiasi delle macchine monitorate subisce un'alterazione potenzialmente pericolosa.<br/> | ||
Debian, come è lecito aspettarsi, mette a disposizione degli ottimi strumenti per creare un server di log centralizzato. | Debian, come è lecito aspettarsi, mette a disposizione degli ottimi strumenti per creare un server di log centralizzato. | ||
=Installazione di Syslog-ng= | |||
Il server syslog che prenderemo in considerazione sarà '''Syslog-NG'''. Pur non essendo installato di default su sistemi Debian, dove invece si può trovare syslogd, questo demone presenta diversi vantaggi: | Il server syslog che prenderemo in considerazione sarà '''Syslog-NG'''. Pur non essendo installato di default su sistemi Debian, dove invece si può trovare syslogd, questo demone presenta diversi vantaggi: | ||
# Le connessioni possono essere stabilite via TCP al posto di UDP | # Le connessioni possono essere stabilite via TCP al posto di UDP | ||
| Riga 18: | Riga 18: | ||
L'installazione rimuoverà automaticamente il demone <tt>syslog</tt> instalalto di default. | L'installazione rimuoverà automaticamente il demone <tt>syslog</tt> instalalto di default. | ||
=Configurazione del server Syslog= | |||
Il file di configurazione di syslog-ng è '''/etc/syslog-ng/syslog-ng.conf'''. Occorre aprirlo con un editor, decommentare la linea: | Il file di configurazione di syslog-ng è '''/etc/syslog-ng/syslog-ng.conf'''. Occorre aprirlo con un editor, decommentare la linea: | ||
<pre> | <pre> | ||
| Riga 43: | Riga 43: | ||
In questa configurazione è stata presa in considerazione una semplice gestione dei log (di default salvati in <tt>/var/log</tt>), senza l'implementazione di un database di archiviazione. Si tenga comunque presente che le possibilità di gestione dei log sono molto più avanzate di quelle mostrate in questa guida. | In questa configurazione è stata presa in considerazione una semplice gestione dei log (di default salvati in <tt>/var/log</tt>), senza l'implementazione di un database di archiviazione. Si tenga comunque presente che le possibilità di gestione dei log sono molto più avanzate di quelle mostrate in questa guida. | ||
=Installazione di phpLogCon= | |||
Per facilitare la lettura e la gestione dei log è uso comune ricorrere a interfacce grafiche. Su server senza l'ambiente grafico X installato potrebbe essere comodo ricorrere a un'interfaccia scritta in PHP. La scelta in questa guida è caduta su '''phpLogCon''' (http://www.phplogcon.org/), che a mio avviso rappresenta un ottimo compromesso tra funzionalità e facilità di installazione/gestione. | Per facilitare la lettura e la gestione dei log è uso comune ricorrere a interfacce grafiche. Su server senza l'ambiente grafico X installato potrebbe essere comodo ricorrere a un'interfaccia scritta in PHP. La scelta in questa guida è caduta su '''phpLogCon''' (http://www.phplogcon.org/), che a mio avviso rappresenta un ottimo compromesso tra funzionalità e facilità di installazione/gestione. | ||
Prima di installare phpLogCon è necessario installare e configurare un ambiente LAMP, seguendo ad esempio le indicazioni riportare in questa guida: [[LAMP: Linux, Apache, MySQL e PHP]].<br/> | Prima di installare phpLogCon è necessario installare e configurare un ambiente LAMP, seguendo ad esempio le indicazioni riportare in questa guida: [[LAMP: Linux, Apache, MySQL e PHP]].<br/> | ||
| Riga 91: | Riga 91: | ||
</pre> | </pre> | ||
In questo modo la prossima volta che logrotate verrà eseguito i log diventeranno leggibili di default anche per il nostro webserver. Per visualizzarli basterà collegarsi alla pagina <tt>http://127.0.0.1/phplogcon</tt>. | In questo modo la prossima volta che logrotate verrà eseguito i log diventeranno leggibili di default anche per il nostro webserver. Per visualizzarli basterà collegarsi alla pagina <tt>http://127.0.0.1/phplogcon</tt>. | ||
=Installazione di Splunk= | |||
Un'interfaccia alternativa molto potente è Splunk (http://www.splunk.com/).<br> | Un'interfaccia alternativa molto potente è Splunk (http://www.splunk.com/).<br> | ||
Per scaricare il pacchetto '''.deb''' che viene messo a disposizione (uno per architetture x86 e uno per architetture amd64) occorre effettuare la registrazione gratuita sul sito. Splunk non è opensource, ma è disponibile una versione Free, la cui limitazione è che può processare solo 500 MB di Log al giorno. Durante la configurazione di Splunk sarà possibile scegliere se utilizzare una versione Enterprise di prova o se utilizzare la versione Free.<br> | Per scaricare il pacchetto '''.deb''' che viene messo a disposizione (uno per architetture x86 e uno per architetture amd64) occorre effettuare la registrazione gratuita sul sito. Splunk non è opensource, ma è disponibile una versione Free, la cui limitazione è che può processare solo 500 MB di Log al giorno. Durante la configurazione di Splunk sarà possibile scegliere se utilizzare una versione Enterprise di prova o se utilizzare la versione Free.<br> | ||
| Riga 115: | Riga 115: | ||
Qui (http://www.splunk.com/support) trovate tutta la documentazione per utilizzare al meglio questo potente software per l'analisi dei log. | Qui (http://www.splunk.com/support) trovate tutta la documentazione per utilizzare al meglio questo potente software per l'analisi dei log. | ||
=Configurazione di logrotate= | |||
L'utility '''logrotate''' è pensata per semplificare l'amministrazione dei files di log. Logrotate permette la rotazione automatica, la compressione, l'eliminazione e l'invio per mail dei files di log; può inoltre essere impostato per l'esecuzione giornaliera, settimanale, mensile o quando i logs raggiungono una certa dimensione predefinita.<br/> | L'utility '''logrotate''' è pensata per semplificare l'amministrazione dei files di log. Logrotate permette la rotazione automatica, la compressione, l'eliminazione e l'invio per mail dei files di log; può inoltre essere impostato per l'esecuzione giornaliera, settimanale, mensile o quando i logs raggiungono una certa dimensione predefinita.<br/> | ||
Per installare logrotate su Debian: | Per installare logrotate su Debian: | ||
| Riga 121: | Riga 121: | ||
# apt-get install logrotate | # apt-get install logrotate | ||
</pre> | </pre> | ||
==/etc/logrotate.conf== | |||
Attraverso il file di configurazione di logrotate è possibile definire il comportamento dell'applicazione in due contesti: a livello globale (nella prima parte del file) e a livello locale dove le regole ridefinite prevalgono su quelle globali. Per ogni file di cui si vuole effettuare la rotazione è necessario indicarne il percorso, al quale seguono tra parentesi graffe le direttive di gestione. | Attraverso il file di configurazione di logrotate è possibile definire il comportamento dell'applicazione in due contesti: a livello globale (nella prima parte del file) e a livello locale dove le regole ridefinite prevalgono su quelle globali. Per ogni file di cui si vuole effettuare la rotazione è necessario indicarne il percorso, al quale seguono tra parentesi graffe le direttive di gestione. | ||
<br> | <br> | ||
| Riga 196: | Riga 196: | ||
Se avete necessità di conservare per più tempo i log ruotati potete aumentare il valore dell'opzione <tt>rotate</tt>, oppure crearvi uno script che vi faccia il backup dei vecchi log in un'altra directory (in questo modo non rischiate che la directory <tt>/var/log/</tt> cresca troppo in dimensione. | Se avete necessità di conservare per più tempo i log ruotati potete aumentare il valore dell'opzione <tt>rotate</tt>, oppure crearvi uno script che vi faccia il backup dei vecchi log in un'altra directory (in questo modo non rischiate che la directory <tt>/var/log/</tt> cresca troppo in dimensione. | ||
=Programmi utili= | |||
Per gli amanti delle e-mail si segnala l'esistenza del pacchetto '''logwatch''', uno script in perl che ogni giorno raccoglie gli eventi dei log e li invia all'utente root del sistema (o all'utente specificato in <tt>/etc/aliases</tt>). | Per gli amanti delle e-mail si segnala l'esistenza del pacchetto '''logwatch''', uno script in perl che ogni giorno raccoglie gli eventi dei log e li invia all'utente root del sistema (o all'utente specificato in <tt>/etc/aliases</tt>). | ||
<pre> | <pre> | ||
| Riga 218: | Riga 218: | ||
</pre> | </pre> | ||
=Configurazione dei client della rete= | |||
==Client Linux== | |||
Per forwardare i log di una macchina linux verso un server Syslog possono essere usati sia syslog sia syslog-ng. | Per forwardare i log di una macchina linux verso un server Syslog possono essere usati sia syslog sia syslog-ng. | ||
===1 - Syslog=== | |||
Si apra il file '''/etc/syslogd.conf'''. La sintassi utilizzata in questo file è molto semplice: | Si apra il file '''/etc/syslogd.conf'''. La sintassi utilizzata in questo file è molto semplice: | ||
<pre> | <pre> | ||
| Riga 236: | Riga 236: | ||
</pre> | </pre> | ||
===2 - Syslog-NG=== | |||
La configurazione di un client syslog-ng è leggermente più complicata, ma offre più opzioni di personalizzazione.<br/> | La configurazione di un client syslog-ng è leggermente più complicata, ma offre più opzioni di personalizzazione.<br/> | ||
Iniziamo con installare il demone sul client: | Iniziamo con installare il demone sul client: | ||
| Riga 299: | Riga 299: | ||
}; | }; | ||
</pre> | </pre> | ||
==Client Windows== | |||
L'incapacità di Windows di mantenere e gestire i log in maniera semplice e unificata è notoria. Di default i log si sfogliano dall'interno del '''Visualizzatore Eventi''' (Pannello di Controllo - Strumenti di Amministrazione - Visualizzatore Eventi).<br/> | L'incapacità di Windows di mantenere e gestire i log in maniera semplice e unificata è notoria. Di default i log si sfogliano dall'interno del '''Visualizzatore Eventi''' (Pannello di Controllo - Strumenti di Amministrazione - Visualizzatore Eventi).<br/> | ||
Sfortunatamente ci sono due inconvenienti: | Sfortunatamente ci sono due inconvenienti: | ||