Subnets.ru

[dimondack]

dimondack писал(а):
"Ubuntu-друг человека"

root
Может человеку друг, но не админу

[Андрей]

В чем трудности с Ubuntu?

[dimondack]

Данный афоризм родился в результате общения на соседней теме.

Собственно говоря с Ubuntu проблем не вижу, несмотря на то что я начинающий...
Установил Ubuntu server (для сбора и анализа логов)
настроил rsyslog -слушаю 514 порт
например 10.10.10.4 (cisco) пишу в /cisco/catalyst/3750/10.10.10.4/cislog.log
и т.д.

Устройств на сети будет много - роутеры, свичи.
Каждый лог планирую содержать в отдельном файле, а также параллельно пишу всё в syslog потому что......
для чего ??? спросите вы ?
...............
Вообщем установил я Log Analyzer http://loganalyzer.adiscon.com/
, а он работает только c файлом syslog как я понял..
.........................................
А дальше картина Виктора Васнецова "Витязь на распутье"
«На камне написано:
«Как пряму ехати — живу не бывати — нет пути ни прохожему, ни проезжему, ни пролетному»,
«направу ехати — женату быти;
«налеву ехати — богату быти»

1.Думаю написать на php свой WEB интерфейс, который сможет отображать логи из нужных мне файлов с нужными мне условиями
(правда есть небольшой опыт программирования только на С/C++/C#), я так пробежал по интернету
php не такой страшный

2.Настроить ротацию или просто написать скрипт который будет архивировать файлы и собирать их копии где -нибудь в другом месте

3. В конце концов надо научиться логи читать

[lehisnoe]

Перед тем, как начинать что-то делать, тебе следует ответить самому себе на вопрос "А что я хочу получить в итоге?". Как только ответишь - сразу все станет просто: будет понятно, что делать, для чего делать и какие средства использовать.

[dimondack]

После установки Log Analyzer и сбора логов с разных устройств появилась необходимость
писать логи ещё и в базу mysql
и указать Log Analyzer-у читать логи из базы Syslog,
что и было сделано..

Код: Выделить всё


root@ub:/etc/rsyslog.d# cat mysql.conf
### Configuration file for rsyslog-mysql
### Changes are preserved

$ModLoad ommysql
*.* :ommysql:localhost,Syslog,rsyslog,123



==========================

Здесь всё пишется в файл syslog

Код: Выделить всё

root@ub:/etc/rsyslog.d# cat 50-default.conf
#  Default rules for rsyslog.
#
#                       For more information see rsyslog.conf(5) and /etc/rsyslog.conf

*.*;auth,authpriv.none          -/var/log/syslog


=============================

Здесь я ещё и в отдельные файлы пишу

Код: Выделить всё

.................................
........................................
/etc/rsyslog.conf/

#
# Include all config files in /etc/rsyslog.d/
#
$IncludeConfig /etc/rsyslog.d/*.conf

################################################
#    cisco 3750
:fromhost,isequal,"88.15.225.30" /var/log/cisco/servernay/catalyst/3750/881522530.log
:fromhost,isequal,"88.15.225.30" ~
################################################
------
-----  и т.д


=======================================================
От руководства поступает новая вводная
=====================================================
Есть некая сеть 10.100.100.0 /24
В этой сети все устройства одного бренда

И теперь появилась такая задача:
писать логи, прилетающие из данной сети, в другую базу mysql

с таким расчётом, что бы для деж.персонала были доступны логи c устройств
только данной сети 10.100.100.0 /24


Вот тут я и не знаю как быть..
1
в файле rsyslog.conf я укажу файл куда сбрасывать логи
с ip адресов новой сети 10.100.100.0 /24
например это будет файл qsyslog

Код: Выделить всё

.................................
........................................
/etc/rsyslog.conf/
################################################
#    qtec
:fromhost,isequal,"10.100.100.15" /var/log/qtech/qsyslog
:fromhost,isequal,"10.100.100.15" ~
################################################
------
-----  и т.д


=======================================================

2
Создам для этого базу Qsyslog

3
думаю взять да и установить Log Analyzer в другую папку
например база Syslog была доступна здесь
http://88.15.225.30/logs

, а новая база например QSyslog будет доступна
http://88.15.225.30/qtech

Как мне настроить файл mysql.conf
чтобы логи с сети 10.100.100.0 /24 летели
не только в новый файл qsyslog, но и в новую базу Qsyslog

Код: Выделить всё


root@ub:/etc/rsyslog.d# cat mysql.conf
### Configuration file for rsyslog-mysql
### Changes are preserved

$ModLoad ommysql
# это то что работает
*.* :ommysql:localhost,Syslog,rsyslog,123
#-------------------------------------------------------------------------
# а вот здесь как быть ?????
10.100.100.0 /24 :ommysql:localhost,QSyslog,rsyslog,123



В конечном итоге должно получиться два независимых Loganalyzer,
где каждый будет обращаться к своей базе и к своему файлу.

Можно ли здесь что нибудь подсказать.?

Я не являюсь профессионалом в этой сфере, готов выслушать и критику

[lehisnoe]

Тут описывается как определять, что событие пришло с девайся из интересующей тебя подсети.
Как обычно есть несколько решений твоей проблемы.
Решение первое (избыточное): конфигурится нужным образом и стартуется еще один rsyslog на порту, отличном от 514/udp. Логгирование от девайсов из нужной тебе подсети настраивается на него.
Решение второе (рациональное): настроить изменение БД в зависимости от того, откуда пришло лог-сообщение. Что-то типа:

Код: Выделить всё

if $fromhost-ip startswith '10.100.100.' then :ommysql:localhost,DB_NAME,DB_USER,DB_PASSWORD
& ~

[dimondack]

Решение второе (рациональное):

Спасибо

Всё Супер

Пробовал на VirtualBox

Код: Выделить всё

### Configuration file for rsyslog-mysql
### Changes are preserved

$ModLoad ommysql
*.* :ommysql:localhost,Syslog,rsyslog,12345

#*.* :ommysql:localhost,Qlog,qsyslog,1234q

#if $syslogtag  startswith 'serv' then :ommysql:localhost,Qlog,qsyslog,1234q
#& ~
#решил так
:syslogtag,startwith, "serv" :ommysql:localhost,Qlog,qsyslog,1234q



----------------------------------

Код: Выделить всё

root@serv:/etc/rsyslog.d# mc


root@serv:/etc# cat rsyslog.conf
#  /etc/rsyslog.conf    Configuration file for rsyslog.
#
#                       For more information see
#                       /usr/share/doc/rsyslog-doc/html/rsyslog_conf.html
#
#  Default logging rules can be found in /etc/rsyslog.d/50-default.conf


#################
#### MODULES ####
#################

$ModLoad imuxsock # provides support for local system logging
$ModLoad imklog   # provides kernel logging support
#$ModLoad immark  # provides --MARK-- message capability

# provides UDP syslog reception
#$ModLoad imudp
#$UDPServerRun 514

# provides TCP syslog reception
#$ModLoad imtcp
#$InputTCPServerRun 514

# Enable non-kernel facility klog messages
$KLogPermitNonKernelFacility on

###########################
#### GLOBAL DIRECTIVES ####
###########################

#
# Use traditional timestamp format.
# To enable high precision timestamps, comment out the following line.
#
$ActionFileDefaultTemplate RSYSLOG_TraditionalFileFormat

# Filter duplicated messages
$RepeatedMsgReduction on

#
# Set the default permissions for all log files.
#
$FileOwner syslog
$FileGroup adm
$FileCreateMode 0640
$DirCreateMode 0755
$Umask 0022
$PrivDropToUser syslog
$PrivDropToGroup syslog

#
# Where to place spool and state files
#
$WorkDirectory /var/spool/rsyslog

#
# Include all config files in /etc/rsyslog.d/
#
$IncludeConfig /etc/rsyslog.d/*.conf
# serv для теста
:syslogtag,startwith,"serv" -/var/log/testlog




В phpmyadmin сделал экспорт рабочей базы Syslog

Создал новую базу - Qlog

и импортировал в новую базу Qlog весь бэкап

Таким образом получилась копия базы Syslog

Затем
# mysql -u root –p
mysql> grant all on Qlog.* to qsyslog@localhost identified by '1234q';
mysql> flush privileges;
mysql> exit

При установке второго Loganalyzer была заминка

ERROR: Cannot use the database 'Qloq'! If the database does not exists, create it or check user access permissions! Mysql Error 1049 - Description: Unknown database 'Qloq'

После некоторых мучений ...

На проблемном этапе
указал реквизиты предыдущей базы - Syslog
,а вот когда дошло дело до выбора источника логов указал файл

/var/log/testlog

далее, когда я увидел нужные мне логи из нужного мне файла testlog

я добавил в источник логов ещё и новую базу Qlog

и она "добавилась"

почему при установке Loganalyzer а не получалось добавить базу Qlog так и не понял....


Какие ещё существуют программы для анализа логов ?
Мне про Zabix что говорили...

[lehisnoe]

Спасибо

Всё Супер

Пожалуйста

Какие ещё существуют программы для анализа логов ?

Смотря каких логов, они же бывают разные )
Для наших задач не подошла ни одна система и мы написали свою, которая шлет нам ежедневные и ежемесячные отчеты о "самочувствии" оборудования в сети, например:

Код: Выделить всё

ЕЖЕМЕСЯЧНЫЙ ОТЧЕТ
Месяц 03.2016
Всего значимых событий: 102035 шт.
   auth: 1 шт.
    fans: 4 шт.
    link: 100357 шт.
    loop: 242 шт.
    ping: 882 шт.
    reboot: 547 шт.
    safeguard: 2 шт.

И, ессесно, есть возможность посмотреть, из событий на каком оборудовании получились данные цифры.
Например:

График