Афоризмы
Добавлено: 05 мар 2016, 14:05dimondack писал(а):
"Ubuntu-друг человека"
root
Может человеку друг, но не админу
Страница 1 из 1
Добавлено: 05 мар 2016, 14:05
Re: Афоризмы
Добавлено: 05 мар 2016, 16:38В чем трудности с Ubuntu?
Re: Афоризмы
Добавлено: 06 мар 2016, 12:23Данный афоризм родился в результате общения на соседней теме.
Собственно говоря с Ubuntu проблем не вижу, несмотря на то что я начинающий...
Установил Ubuntu server (для сбора и анализа логов)
настроил rsyslog -слушаю 514 порт
например 10.10.10.4 (cisco) пишу в /cisco/catalyst/3750/10.10.10.4/cislog.log
и т.д.
Устройств на сети будет много - роутеры, свичи.
Каждый лог планирую содержать в отдельном файле, а также параллельно пишу всё в syslog потому что......
для чего ??? спросите вы ?
...............
Вообщем установил я Log Analyzer http://loganalyzer.adiscon.com/
, а он работает только c файлом syslog как я понял..
.........................................
А дальше картина Виктора Васнецова "Витязь на распутье"
«На камне написано:
«Как пряму ехати — живу не бывати — нет пути ни прохожему, ни проезжему, ни пролетному»,
«направу ехати — женату быти;
«налеву ехати — богату быти»
1.Думаю написать на php свой WEB интерфейс, который сможет отображать логи из нужных мне файлов с нужными мне условиями
(правда есть небольшой опыт программирования только на С/C++/C#), я так пробежал по интернету
php не такой страшный
2.Настроить ротацию или просто написать скрипт который будет архивировать файлы и собирать их копии где -нибудь в другом месте
3. В конце концов надо научиться логи читать
Собственно говоря с Ubuntu проблем не вижу, несмотря на то что я начинающий...
Установил Ubuntu server (для сбора и анализа логов)
настроил rsyslog -слушаю 514 порт
например 10.10.10.4 (cisco) пишу в /cisco/catalyst/3750/10.10.10.4/cislog.log
и т.д.
Устройств на сети будет много - роутеры, свичи.
Каждый лог планирую содержать в отдельном файле, а также параллельно пишу всё в syslog потому что......
для чего ??? спросите вы ?
...............
Вообщем установил я Log Analyzer http://loganalyzer.adiscon.com/
, а он работает только c файлом syslog как я понял..
.........................................
А дальше картина Виктора Васнецова "Витязь на распутье"
«На камне написано:
«Как пряму ехати — живу не бывати — нет пути ни прохожему, ни проезжему, ни пролетному»,
«направу ехати — женату быти;
«налеву ехати — богату быти»
1.Думаю написать на php свой WEB интерфейс, который сможет отображать логи из нужных мне файлов с нужными мне условиями
(правда есть небольшой опыт программирования только на С/C++/C#), я так пробежал по интернету
php не такой страшный
2.Настроить ротацию или просто написать скрипт который будет архивировать файлы и собирать их копии где -нибудь в другом месте
3. В конце концов надо научиться логи читать
Re: Афоризмы
Добавлено: 09 мар 2016, 10:31Перед тем, как начинать что-то делать, тебе следует ответить самому себе на вопрос "А что я хочу получить в итоге?". Как только ответишь - сразу все станет просто: будет понятно, что делать, для чего делать и какие средства использовать.
Re: Афоризмы
Добавлено: 28 мар 2016, 20:38После установки Log Analyzer и сбора логов с разных устройств появилась необходимость
писать логи ещё и в базу mysql
и указать Log Analyzer-у читать логи из базы Syslog,
что и было сделано..
==========================
Здесь всё пишется в файл syslog
=============================
Здесь я ещё и в отдельные файлы пишу
=======================================================
От руководства поступает новая вводная
=====================================================
Есть некая сеть 10.100.100.0 /24
В этой сети все устройства одного бренда
И теперь появилась такая задача:
писать логи, прилетающие из данной сети, в другую базу mysql
с таким расчётом, что бы для деж.персонала были доступны логи c устройств
только данной сети 10.100.100.0 /24
Вот тут я и не знаю как быть..
1
в файле rsyslog.conf я укажу файл куда сбрасывать логи
с ip адресов новой сети 10.100.100.0 /24
например это будет файл qsyslog
=======================================================
2
Создам для этого базу Qsyslog
3
думаю взять да и установить Log Analyzer в другую папку
например база Syslog была доступна здесь
http://88.15.225.30/logs
, а новая база например QSyslog будет доступна
http://88.15.225.30/qtech
Как мне настроить файл mysql.conf
чтобы логи с сети 10.100.100.0 /24 летели
не только в новый файл qsyslog, но и в новую базу Qsyslog
В конечном итоге должно получиться два независимых Loganalyzer,
где каждый будет обращаться к своей базе и к своему файлу.
Можно ли здесь что нибудь подсказать.?
Я не являюсь профессионалом в этой сфере, готов выслушать и критику
писать логи ещё и в базу mysql
и указать Log Analyzer-у читать логи из базы Syslog,
что и было сделано..
- Код: Выделить всё
root@ub:/etc/rsyslog.d# cat mysql.conf
### Configuration file for rsyslog-mysql
### Changes are preserved
$ModLoad ommysql
*.* :ommysql:localhost,Syslog,rsyslog,123
==========================
Здесь всё пишется в файл syslog
- Код: Выделить всё
root@ub:/etc/rsyslog.d# cat 50-default.conf
# Default rules for rsyslog.
#
# For more information see rsyslog.conf(5) and /etc/rsyslog.conf
*.*;auth,authpriv.none -/var/log/syslog
=============================
Здесь я ещё и в отдельные файлы пишу
- Код: Выделить всё
.................................
........................................
/etc/rsyslog.conf/
#
# Include all config files in /etc/rsyslog.d/
#
$IncludeConfig /etc/rsyslog.d/*.conf
################################################
# cisco 3750
:fromhost,isequal,"88.15.225.30" /var/log/cisco/servernay/catalyst/3750/881522530.log
:fromhost,isequal,"88.15.225.30" ~
################################################
------
----- и т.д
=======================================================
От руководства поступает новая вводная
=====================================================
Есть некая сеть 10.100.100.0 /24
В этой сети все устройства одного бренда
И теперь появилась такая задача:
писать логи, прилетающие из данной сети, в другую базу mysql
с таким расчётом, что бы для деж.персонала были доступны логи c устройств
только данной сети 10.100.100.0 /24
Вот тут я и не знаю как быть..
1
в файле rsyslog.conf я укажу файл куда сбрасывать логи
с ip адресов новой сети 10.100.100.0 /24
например это будет файл qsyslog
- Код: Выделить всё
.................................
........................................
/etc/rsyslog.conf/
################################################
# qtec
:fromhost,isequal,"10.100.100.15" /var/log/qtech/qsyslog
:fromhost,isequal,"10.100.100.15" ~
################################################
------
----- и т.д
=======================================================
2
Создам для этого базу Qsyslog
3
думаю взять да и установить Log Analyzer в другую папку
например база Syslog была доступна здесь
http://88.15.225.30/logs
, а новая база например QSyslog будет доступна
http://88.15.225.30/qtech
Как мне настроить файл mysql.conf
чтобы логи с сети 10.100.100.0 /24 летели
не только в новый файл qsyslog, но и в новую базу Qsyslog
- Код: Выделить всё
root@ub:/etc/rsyslog.d# cat mysql.conf
### Configuration file for rsyslog-mysql
### Changes are preserved
$ModLoad ommysql
# это то что работает
*.* :ommysql:localhost,Syslog,rsyslog,123
#-------------------------------------------------------------------------
# а вот здесь как быть ?????
10.100.100.0 /24 :ommysql:localhost,QSyslog,rsyslog,123
В конечном итоге должно получиться два независимых Loganalyzer,
где каждый будет обращаться к своей базе и к своему файлу.
Можно ли здесь что нибудь подсказать.?
Я не являюсь профессионалом в этой сфере, готов выслушать и критику
Re: Афоризмы
Добавлено: 29 мар 2016, 10:14Тут описывается как определять, что событие пришло с девайся из интересующей тебя подсети.
Как обычно есть несколько решений твоей проблемы.
Решение первое (избыточное): конфигурится нужным образом и стартуется еще один rsyslog на порту, отличном от 514/udp. Логгирование от девайсов из нужной тебе подсети настраивается на него.
Решение второе (рациональное): настроить изменение БД в зависимости от того, откуда пришло лог-сообщение. Что-то типа:
Как обычно есть несколько решений твоей проблемы.
Решение первое (избыточное): конфигурится нужным образом и стартуется еще один rsyslog на порту, отличном от 514/udp. Логгирование от девайсов из нужной тебе подсети настраивается на него.
Решение второе (рациональное): настроить изменение БД в зависимости от того, откуда пришло лог-сообщение. Что-то типа:
- Код: Выделить всё
if $fromhost-ip startswith '10.100.100.' then :ommysql:localhost,DB_NAME,DB_USER,DB_PASSWORD
& ~
Re: Афоризмы
Добавлено: 31 мар 2016, 21:14Решение второе (рациональное):
Спасибо
Всё Супер
Пробовал на VirtualBox
- Код: Выделить всё
### Configuration file for rsyslog-mysql
### Changes are preserved
$ModLoad ommysql
*.* :ommysql:localhost,Syslog,rsyslog,12345
#*.* :ommysql:localhost,Qlog,qsyslog,1234q
#if $syslogtag startswith 'serv' then :ommysql:localhost,Qlog,qsyslog,1234q
#& ~
#решил так
:syslogtag,startwith, "serv" :ommysql:localhost,Qlog,qsyslog,1234q
----------------------------------
- Код: Выделить всё
root@serv:/etc/rsyslog.d# mc
root@serv:/etc# cat rsyslog.conf
# /etc/rsyslog.conf Configuration file for rsyslog.
#
# For more information see
# /usr/share/doc/rsyslog-doc/html/rsyslog_conf.html
#
# Default logging rules can be found in /etc/rsyslog.d/50-default.conf
#################
#### MODULES ####
#################
$ModLoad imuxsock # provides support for local system logging
$ModLoad imklog # provides kernel logging support
#$ModLoad immark # provides --MARK-- message capability
# provides UDP syslog reception
#$ModLoad imudp
#$UDPServerRun 514
# provides TCP syslog reception
#$ModLoad imtcp
#$InputTCPServerRun 514
# Enable non-kernel facility klog messages
$KLogPermitNonKernelFacility on
###########################
#### GLOBAL DIRECTIVES ####
###########################
#
# Use traditional timestamp format.
# To enable high precision timestamps, comment out the following line.
#
$ActionFileDefaultTemplate RSYSLOG_TraditionalFileFormat
# Filter duplicated messages
$RepeatedMsgReduction on
#
# Set the default permissions for all log files.
#
$FileOwner syslog
$FileGroup adm
$FileCreateMode 0640
$DirCreateMode 0755
$Umask 0022
$PrivDropToUser syslog
$PrivDropToGroup syslog
#
# Where to place spool and state files
#
$WorkDirectory /var/spool/rsyslog
#
# Include all config files in /etc/rsyslog.d/
#
$IncludeConfig /etc/rsyslog.d/*.conf
# serv для теста
:syslogtag,startwith,"serv" -/var/log/testlog
В phpmyadmin сделал экспорт рабочей базы Syslog
Создал новую базу - Qlog
и импортировал в новую базу Qlog весь бэкап
Таким образом получилась копия базы Syslog
Затем
# mysql -u root –p
mysql> grant all on Qlog.* to qsyslog@localhost identified by '1234q';
mysql> flush privileges;
mysql> exit
При установке второго Loganalyzer была заминка
ERROR: Cannot use the database 'Qloq'! If the database does not exists, create it or check user access permissions! Mysql Error 1049 - Description: Unknown database 'Qloq'
После некоторых мучений ...
На проблемном этапе
указал реквизиты предыдущей базы - Syslog
,а вот когда дошло дело до выбора источника логов указал файл
/var/log/testlog
далее, когда я увидел нужные мне логи из нужного мне файла testlog
я добавил в источник логов ещё и новую базу Qlog
и она "добавилась"
почему при установке Loganalyzer а не получалось добавить базу Qlog так и не понял....
Какие ещё существуют программы для анализа логов ?
Мне про Zabix что говорили...
Re: Афоризмы
Добавлено: 01 апр 2016, 11:37dimondack писал(а):Спасибо
Всё Супер
Пожалуйста
lehisnoe писал(а):Какие ещё существуют программы для анализа логов ?
Смотря каких логов, они же бывают разные )
Для наших задач не подошла ни одна система и мы написали свою, которая шлет нам ежедневные и ежемесячные отчеты о "самочувствии" оборудования в сети, например:
- Код: Выделить всё
ЕЖЕМЕСЯЧНЫЙ ОТЧЕТ
Месяц 03.2016
Всего значимых событий: 102035 шт.
auth: 1 шт.
fans: 4 шт.
link: 100357 шт.
loop: 242 шт.
ping: 882 шт.
reboot: 547 шт.
safeguard: 2 шт.
И, ессесно, есть возможность посмотреть, из событий на каком оборудовании получились данные цифры.
Например:
- График