Você está na página 1de 22

Rsyslog - Gerenciamento centralizado de logs [Artigo]

http://www.vivaolinux.com.br/artigos/impressora.php?codigo=13669

Rsyslog - Gerenciamento centralizado de logs


Autor: Bill Carlos Cabral <cabral.bill at gmail.com> Data: 02/07/2012 Introduo O principal objetivo deste artigo a configurao do Rsyslog de forma que mquinas distintas com sistemas operacionais distintos enviem seus logs do sistema para um servidor centralizado atravs da rede. Logs so arquivos de texto gerados pelo sistema e que podem ajudar a descobrir problemas na execuo de softwares, problemas de hardware, tentativas de invaso, acessos indevidos, entre outras coisas. muito importante manter estes arquivos seguros e intactos. Em uma auditoria de sistemas, estes logs podero e sero bastante importantes, portanto, a sua integridade e disponibilidade so importantssimas para um administrador de rede. Com a atual abrangncia das redes e de suas complexidades, a administrao tornou-se uma tarefa que exige o mximo de recursos que sejam disponibilizados para que torne mais fcil esta tarefa. A utilizao de ferramentas que unifiquem a administrao viabiliza a administrao de redes complexas. Utilizando o Rsyslog, que tem suporte maioria dos sistemas operacionais utilizados no mercado, a centralizao dos logs torna-se possvel e de fcil configurao, com grande capacidade de configurao e customizao de acordo com a necessidade, sem causar impacto na rede.

O que o Rsyslog
O Rsyslog um syslog com foco na segurana e confiabilidade, oferecendo suporte para vrias operaes como bufferizao sob demanda, syslog confivel para TCP, SSL e TLS, gravando em diversos banco de dados diferentes (MySQL, PostgreSQL, Oracle,...), e-mails de alerta, formatos de sada totalmente configurveis, sendo possvel filtrar qualquer parte da mensagem, compresso de mensagem, converso de arquivos textos para o Rsyslog. Existem verses avanadas que permitem a customizao para o ambiente corporativo, como proteo por criptografia. Um ponto forte a facilidade de configurao para usurios novatos e inexperientes. O objetivo do projeto Rsyslog fornecer um daemon syslog com caractersticas mais ricas e confiveis, mantendo altas as suas capacidades de reposio de estoque syslogd. Por ser "confivel", isto significa que possui suporte para modos de transmisso confiveis como TCP ou RFC 3195 (syslog-confivel). O Rsyslog tambm trabalha muito bem com infraestrutura de logs centralizados,

1 de 22

22/4/2013 17:58

Rsyslog - Gerenciamento centralizado de logs [Artigo]

http://www.vivaolinux.com.br/artigos/impressora.php?codigo=13669

implementando criptografia no trfego, verificao na perda de dados e gerenciamento de banco de dados.

Como funciona
necessrio que se instale o Rsyslog em todos os ns que devero ser monitorados e no servidor central.

O Rsyslog funciona tanto em GNU/Linux quanto em Windows, bastando fazer a instalao dos mdulos pertinentes a cada distribuio e configurar de acordo com a necessidade e da disposio da rede. Uma vez configurado o servidor e o cliente, o agente do cliente ir comunicar-se com o agente do servidor central. O banco de dados no qual o Rsyslog do servidor central ir inserir os logs poder ser qualquer um, sendo que o utilizado neste cenrio ser o PostgreSQL 9.1.

Instalao e configurao

Instalao do Rsyslog
Esta instalao ser dirigida distribuio CentOS 6.0, via YUM. Antes de instalar o Rsyslog, dever ser verificado se h o servio syslog. Caso haja, o syslog dever ser desinstalado para que o Rsyslog seja instalado. Para instalar o Rsyslog: # yum install rsyslog Com o servio do Rsyslog instalado, agora ser necessrio configurar para iniciar a utilizao.

2 de 22

22/4/2013 17:58

Rsyslog - Gerenciamento centralizado de logs [Artigo]

http://www.vivaolinux.com.br/artigos/impressora.php?codigo=13669

Configurao do servidor
Rsyslog configurado atravs do arquivo rsyslog.conf , normalmente encontrado em /etc. Mas, antes de inciar a configurao do arquivo rsyslog.conf , que ser direcionada a um banco de dados, ser necessrio que haja um banco de dados instalado e ativo, para que seja criado o banco e suas tabelas default. O script de criao do banco de dados original, que vem no pacote durante a instalao, est disponvel no arquivo /usr/share/doc/rsyslog-verso/createDB.sql: CREATE DATABASE 'Syslog' WITH ENCODING 'SQL_ASCII'; \c Syslog; CREATE TABLE SystemEvents ( ID serial not null primary key, CustomerID bigint, ReceivedAt timestamp without time zone NULL, DeviceReportedTime timestamp without time zone NULL, Facility smallint NULL, Priority smallint NULL, FromHost varchar(60) NULL, Message text, NTSeverity int NULL, Importance int NULL, EventSource varchar(60), EventUser varchar(60) NULL, EventCategory int NULL, EventID int NULL, EventBinaryData text NULL,

3 de 22

22/4/2013 17:58

Rsyslog - Gerenciamento centralizado de logs [Artigo]

http://www.vivaolinux.com.br/artigos/impressora.php?codigo=13669

MaxAvailable int NULL, CurrUsage int NULL, MinUsage int NULL, MaxUsage int NULL, InfoUnitID int NULL , SysLogTag varchar(60), EventLogType varchar(60), GenericFileName VarChar(60), SystemID int NULL );

CREATE TABLE SystemEventsProperties ( ID serial not null primary key, SystemEventID int NULL , ParamName varchar(255) NULL , ParamValue text NULL ); Este arquivo est na linguagem SQL padro, logo, compatvel com qualquer banco que trabalhe com essa linguagem. * Um ponto importante a ressaltar quanto a codificao do banco utilizado pelo Rsyslog, que por padro SQL_ASCIII. Por padro, de instalao do PostgreSQL, caso no seja setado uma codificao padro, a "LATIN1" considerada default por conter todos os caracteres das lnguas europias (o portugus est incluso nesse grupo), mas a maioria dos bancos utilizam "UTF-8", pela interoperabilidade dos smbolos (podendo conter caracteres de todas lnguas). Ao tentar criar um banco na codificao "SQL_ASCII" numa instalao que j possui um padro de codificao diferente dessa, apresentar erros. Para sanar este erro, basta que crie o banco "SYSLOG" (conforme arquivo de criao do banco createDB.sql) em outra template que no a principal (onde foi criado o banco postgres).

4 de 22

22/4/2013 17:58

Rsyslog - Gerenciamento centralizado de logs [Artigo]

http://www.vivaolinux.com.br/artigos/impressora.php?codigo=13669

Na instalao, por default, so criados mais duas templates: a "template0" e a "template1". Crie o banco em uma delas. A modificao sugerida para o PostgreSQL 9.1 segue abaixo: CREATE DATABASE 'Syslog' WITH ENCODING 'SQL_ASCII' TEMPLATE=template0; \c Syslog; CREATE TABLE SystemEvents ( ID serial not null primary key, CustomerID bigint, ReceivedAt timestamp without time zone NULL, DeviceReportedTime timestamp without time zone NULL, Facility smallint NULL, Priority smallint NULL, FromHost varchar(60) NULL, Message text, NTSeverity int NULL, Importance int NULL, EventSource varchar(60), EventUser varchar(60) NULL, EventCategory int NULL, EventID int NULL, EventBinaryData text NULL, MaxAvailable int NULL, CurrUsage int NULL, MinUsage int NULL,

5 de 22

22/4/2013 17:58

Rsyslog - Gerenciamento centralizado de logs [Artigo]

http://www.vivaolinux.com.br/artigos/impressora.php?codigo=13669

MaxUsage int NULL, InfoUnitID int NULL , SysLogTag varchar(60), EventLogType varchar(60), GenericFileName VarChar(60), SystemID int NULL );

CREATE TABLE SystemEventsProperties ( ID serial not null primary key, SystemEventID int NULL , ParamName varchar(255) NULL , ParamValue text NULL ); Aps criar o banco e as tabelas, algumas configuraes devero ser feitas no arquivo rsyslog.conf . Inicialmente iremos habilitar o suporte a banco de dados. Suporte de banco de dados em Rsyslog integrado por mdulos (plugin) carregveis. Para usar a funcionalidade de banco de dados, o plugin do banco de dados deve ser habilitado no arquivo de configurao antes que a primeira tabela do banco de dados seja usada. Isto feito atravs da configurao da diretiva abaixo, no inicio do arquivo de configurao: $ModLoad ompgsql Neste caso estaremos habilitando o suporte ao banco de dados PostgreSQL, escolhido como padro. Vrios bancos de dados so suportados. A lista e as especificaes esto disponveis no site: www.rsyslog.com Em seguida ns precisamos dizer ao Rsyslogd para gravar dados no banco de dados. Como usamos o esquema padro, no precisamos definir um modelo para isso. Podemos usar a hardcoded (rsyslogd lida com o modelo adequado de um link). Ento, tudo o que precisamos fazer, por exemplo, para o PostgreSQL, adicionar uma linha simples seletor para /etc/rsyslog.conf :

6 de 22

22/4/2013 17:58

Rsyslog - Gerenciamento centralizado de logs [Artigo]

http://www.vivaolinux.com.br/artigos/impressora.php?codigo=13669

*.* :ompgsql:database-server,database-name,database-userid,database-password Onde: database-server : o nome ou o endereo IP do servidor; database-name : o nome do banco onde as tabelas foram criadas; database-userid : o nome do usurio que tem acesso ao banco; database-password : a senha do usurio. Com estas configuraes feitas, basta iniciar o servio do Rsyslog e verificar a entrada de dados na tabela do banco de dados. Toda esta entrada de dados pode ser configurada de acordo com a necessidade e do ambiente em questo. Neste caso, os logs sero originados de dois sistemas operacionais distintos, sendo um Windows Server 2003 e um GNU/Linux Red Hat 5.5 Enterprise Edition. Os principais logs do GNU/Linux sero enviados ao servidor centralizado, como o /var/log/messages, e outros especficos como do DHCP, Squid e Apache. No Windows sero enviados os logs do "System Events Reports".

Configuraes de arquivo e cliente

7 de 22

22/4/2013 17:58

Rsyslog - Gerenciamento centralizado de logs [Artigo]

http://www.vivaolinux.com.br/artigos/impressora.php?codigo=13669

Configurao do arquivo /etc/rsyslog.conf


A customizao para a coleta dos dados especficos so inseridas atravs de regras no rsyslog.conf . Por exemplo, para coletar os dados TCP da mquina, basta ativar os mdulos de entrada. Os mdulos de entrada so utilizados para reunir mensagens de vrias fontes. Eles interagem com os geradores de mensagens. J os mdulos do analisador so utilizados para analisar o contedo da mensagem, uma vez que a mensagem foi recebida. Eles podem ser usados para processar formatos de mensagens personalizadas e invalidamente formatadas. Existem ainda os mdulos de modificao de mensagens que so usados para alterar o contedo das mensagens que esto sendo processadas. Eles podem ser implementados utilizando um mdulo de sada ou da interface do mdulo analisador. Do ponto de vista do ncleo Rsyslog, eles realmente so mdulos de sada, ou parser, e a sua implementao que os tornam especiais. Atualmente existe apenas um conjunto limitado de tais mdulos, mas os novos podem ser escritos com os mtodos que o motor melhor lhe proporcione. Eles podem ser utilizados, por exemplo, a: Anonimizar contedo da mensagem; Adicionar contedo dinamicamente computada a mensagem (campos). Mdulos de modificao de mensagens geralmente so escritos para uma tarefa especfica e, portanto, normalmente no so genricos o suficiente para ser reutilizados. No entanto, o cdigo do mdulo existente provavelmente uma excelente base de partida para escrever um novo mdulo, que pode ser escrito por terceiros tambm. Abaixo segue o cdigo do rsyslog.conf que ser utilizado no servidor onde os logs sero centralizados: #/etc/rsyslog.conf $ModLoad imuxsock.so $ModLoad imklog.so $ModLoad imtcp.so $InputTCPServerRun 514 $ActionFileDefaultTemplate RSYSLOG_TraditionalFileFormat $ModLoad ompgsql.so *.* :ompgsql:127.0.0.1,syslog,postgres,postgres *.info;mail.none;authpriv.none;cron.none /var/log/messages authpriv.* /var/log/secure mail.* /var/log/maillog cron.* /var/log/cron *.emerg *

8 de 22

22/4/2013 17:58

Rsyslog - Gerenciamento centralizado de logs [Artigo]

http://www.vivaolinux.com.br/artigos/impressora.php?codigo=13669

uucp,news.crit local7.*

/var/log/ spooler /var/log/boot.log

Nesse arquivo, cada linha tem a seguinte funo: $MoadLoad imuxsock.so : Fornece a capacidade para aceitar mensagens de syslog via sockets locais Unix. Mais importante, este o mecanismo pelo qual o syslog envia mensagens syslog rsyslogd. Ento, voc precisa ter este mdulo carregado para ler o socket de log do sistema e ser capaz de processar as mensagens de log de aplicativos em execuo no sistema local. $MoadLoad imklog.so : L mensagens de log do kernel e as envia para o motor de syslog. $MoadLoad imtcp.so : Habilita a conexo TCP. Necessrio para possibilitar que hosts remotos se conectem para centralizar os logs. $InputTCPServerRun 514 : Declara a porta pelo qual o servidor ir escutar os rsyslogs remotos. $ActionFileDefaultTemplate RSYSLOG_FileFormat : Define um novo modelo padro para aes de arquivo. um formato de arquivo de log de estilo moderno semelhante ao TraditionalFileFormat, mas com alta preciso timestamps e informaes de fuso horrio. $ModLoad ompgsql.so : Carrega o mdulo responsvel pela conexo com o banco de dados PostgreSQL. *.* :ompgsql:127.0.0.1,syslog,postgres,postgres : String de conexo com o banco de dados. Os demais dados do arquivo so as informaes sobre o que selecionar no log e sua localizao. possvel que sejam customizadas essas entradas de acordo com a necessidade.

Instalao e configurao do cliente


Para que haja comunicao entre o servidor onde ser centralizado os logs e os clientes que fornecero estes logs, necessrio que seja instalado o cliente do Rsyslog nestas mquinas, alm do servidor centralizado e configur-lo para receber estas conexes. Tanto para o GNU/Linux quanto para o Windows, faremos a configurao dos seus clientes. Iniciando pelo GNU/Linux.

Instalao dos clientes

Instalao do cliente no GNU/Linux


Para a instalao do cliente no GNU/Linux, sero os mesmos passos que foram utilizados na instalao do Rsyslog no servidor central, via YUM, conforme j descrito anteriormente. A diferenciao se dar no arquivo de configurao rsyslog.conf , que ter algumas configuraes diferenciadas, conforme mostrado abaixo:

9 de 22

22/4/2013 17:58

Rsyslog - Gerenciamento centralizado de logs [Artigo]

http://www.vivaolinux.com.br/artigos/impressora.php?codigo=13669

# /etc/rsyslog.conf *.* @@10.0.0.1:514 $ModLoad imuxsock.so # provides support for local system logging (e.g. via logger command) $ModLoad imklog.so # provides kernel logging support (previously done by rklogd) $ModLoad imtcp.so $InputTCPServerRun 514 $ModLoad ompgsql.so $ActionFileDefaultTemplate RSYSLOG_TraditionalFileFormat *.info;mail.none;authpriv.none;cron.none /var/log/messages *.* /var/log/yum.log *.* /var/log/anaconda.log *.* /var/log/boot.log *.* /var/log/squid/access.log *.* /usr/lib/rpm/rpm.log A nica diferena no arquivo de log do servidor para esse cliente, a seguinte linha na configurao do arquivo rsyslog.conf : *.* @@10.0.0.1:514 Onde as " @@ ", significam que o protocolo TCP, depois informado o IP e por ltimo, a porta no qual o servidor estar escutando. Basta (re)iniciar o servio e verificar no servidor se os logs esto chegando.

Instalao do cliente no Windows


Para a configurao de um cliente Windows que ir conectar-se no servidor centralizado, o software cliente Rsyslog dever ser baixado na seguinte URL: http://www.rsyslog.com/windows-agent/windows-agent-download/ Depois de baixado na maquina Windows, iniciaremos executando o arquivo rsyslogwa.exe. A instalao normal de Windows (next, next, finish). Aps terminado esta instalao, no menu iniciar ter o Rsyslog Windows Agent Configuration. Clique nele para que a tela abaixo seja apresentada.

10 de 22

22/4/2013 17:58

Rsyslog - Gerenciamento centralizado de logs [Artigo]

http://www.vivaolinux.com.br/artigos/impressora.php?codigo=13669

Nesta tela comearemos criando uma regra onde vamos definir um novo conjunto de regras. Clique com o boto direito do mouse em cima de Rules. Um menu pop-up ir aparecer. A partir deste menu, selecione: Add rules

11 de 22

22/4/2013 17:58

Rsyslog - Gerenciamento centralizado de logs [Artigo]

http://www.vivaolinux.com.br/artigos/impressora.php?codigo=13669

Digite um nome para as regras que estaremos criando na tag: Name of RuleSet

Selecione apenas: Forward Syslog Alm disso, deixe a opo marcada: create a Rule for each of the following action Clique em "Next". Voc ver uma pgina de confirmao. Clique em "Concluir" para criar o conjunto de regras.

12 de 22

22/4/2013 17:58

Rsyslog - Gerenciamento centralizado de logs [Artigo]

http://www.vivaolinux.com.br/artigos/impressora.php?codigo=13669

A nova Rule Set com o nome digitado est aparecendo. Clique no simbolo para expandi-lo na rvore at que o nvel de ao do "Foward Syslog" aparea. Clique nela para aparecer as configuraes, conforme figura abaixo:

Configure o "Forward Syslog" inserindo o IP do seu Servidor Central Rsyslog alterando a porta para a que foi configurada no servidor, sabendo que a porta padro a "514".

13 de 22

22/4/2013 17:58

Rsyslog - Gerenciamento centralizado de logs [Artigo]

http://www.vivaolinux.com.br/artigos/impressora.php?codigo=13669

Voc tambm pode alterar o tipo de protocolo TCP, de acordo com o configurado com no seu servidor. ATENO: O Rsyslog agente do Windows e seu servidor Rsyslog devem usar a mesma porta e o mesmo protocolo. Altere o "Message Format", clicando no menu suspenso para escolher: Use CEE enhanced Syslog Format

Agora clique em "Save". Esta primeira parte est pronta. Agora configuraremos a parte do EventLog Monitor Service. Iniciaremos clicando com o boto direito do mouse em: 1. Services 2. Selecione: Add Services 3. Depois: Event Log Monitor V2

14 de 22

22/4/2013 17:58

Rsyslog - Gerenciamento centralizado de logs [Artigo]

http://www.vivaolinux.com.br/artigos/impressora.php?codigo=13669

Novamente voc precisar digitar um nome ou deixar o padro. Deixe o campo "Use default settings" selecionada e clique em "Finish".

Ver que tem um servio recm-criado sob os "services" como parte da exibio de rvore. Para verificar seus parmetros, clique em cima dele:

15 de 22

22/4/2013 17:58

Rsyslog - Gerenciamento centralizado de logs [Artigo]

http://www.vivaolinux.com.br/artigos/impressora.php?codigo=13669

Como voc pode ver, o servio verifica automaticamente todos os EventLogs presentes no Windows. Agora voc pode selecionar ou desativar determinados registros ou alterar algumas de suas propriedades. Note que o conjunto de regras "Syslog Forward" foi automaticamente atribudo como o conjunto de regras para ser usadas. Agora basta inciar o servio e comear a monitorar atravs do servidor centralizado.

Com esta configurao, o cliente do Windows est pronto e, possivelmente, inserindo os logs no servidor centralizado.

Instalao do LogAnalyzer Para visualizar estes logs de uma maneira mais didtica, iremos utilizar o LogAnalyser. O LogAnalyser um front-end free para Syslog-Rsyslog de fcil compreenso e manuseio. um aplicativo gratuito de fonte GLP aberto, que foi desenvolvido, em sua maioria, em PHP. Sua integrao com a fonte de dados tanto pode ser um banco quanto o prprio arquivo texto gerado pelo Rsyslog. Para instalar o LogAnalyser voc precisar ter instalado os seguintes mdulos no servidor centralizado de logs, seja ele Windows ou GNU/Linux: Apache ou IIS Webserver

16 de 22

22/4/2013 17:58

Rsyslog - Gerenciamento centralizado de logs [Artigo]

http://www.vivaolinux.com.br/artigos/impressora.php?codigo=13669

PHP5 Para iniciar precisaremos baixar LogAnalyzer. Escolha a verso mais recente atravs do site: http://loganalyzer.adiscon.com/downloads Ser baixado um arquivo do tipo ".tar.gz". Copie toda a pasta "src" e os arquivos configure.sh e secure.sh da pasta "contrib", que estavam dentro do diretrio recm descompactado, para o diretrio padro do Apache ou do IIS. Neste caso tomaremos como padro o Apache no servidor GNU/Linux, logo o arquivo dever ser descompactado no diretrio /var/www/html. Agora ser necessrio dar as permisses necessrias na pasta e nos arquivos contidos dentro dela. Defina o sinalizador de execuo para eles: # chmod + x configure.sh secure.sh Execute: # ./configure.sh Que criar um config.php em branco, e tambm ir definir o acesso de escrita a todos a ele. Poder fazer isso manualmente, se quiser, configurando a permisso 777 neste arquivo. Para iniciar a instalao LogAnalyzer, abra o seguinte link no browser que estar apontado para o script de instalao: http://localhost/install.php O script de instalao ir solicitar configuraes para a instalao do LogAnalyzer, basta seguir as instrues. Iniciado a instalao do LogAnalyser, uma mensagem de boas-vindas ser apresentada. Esta a primeira pgina da instalao. Diz-lhe apenas, que antes de instalar, algumas diretivas de permisso de arquivos sero verificados. Basta clicar em "Next" para iniciar o processo.

Verifique as permisses do arquivo. Aqui voc vai ver, se o config.php pode ser escrito ou no. Se no pode ser escrito, voc ter que aplicar as permisses necessrias manualmente (chmod 777 config.php) e clicar em "Next".

17 de 22

22/4/2013 17:58

Rsyslog - Gerenciamento centralizado de logs [Artigo]

http://www.vivaolinux.com.br/artigos/impressora.php?codigo=13669

Algumas opes bsicas devero ser definidas aqui nesta tela: Number of syslog messages per page = 50 (default) Este o nmero de mensagens syslog indicadas em cada pgina. Voc pode aumentar o valor ou diminuir o valor de acordo com a necessidade, vale lembrar que quanto maior o nmero, mais lento poder ficar. Message character limit for the main view = 80 (default) Defina o nmero de caracteres por mensagem, que ser mostrado na ltima coluna da janela principal. Mensagens completas podem ser revistas ao passar o mouse sobre elas. Muitas pessoas preferem usar uma configurao de "0", para que toda a mensagem seja exibida. Character display limit for all string type fields = 30 (default) Limite de caracteres para exibio. O default pequeno, porm agiliza no tempo de retorno do sistema. Show message details popup (default yes) = yes (default) Muitas pessoas acham que os pop-ups so intrusivos e preferem desativ-los. Use "no" neste caso. Automatically resolved IP Adrress (inline) = yes (default) Resolve os IPs em nomes durante a visualizao dos logs. No recomendado, pois poder abaixar o rendimento da aplicao.

Na prxima tela teremos o passo mais importante, onde ser configurada a fonte de dados, onde esto

18 de 22

22/4/2013 17:58

Rsyslog - Gerenciamento centralizado de logs [Artigo]

http://www.vivaolinux.com.br/artigos/impressora.php?codigo=13669

armazenados todos os dados do Rsyslog. Primeiramente ter que ser escolhido um "Name of the Source" (Nome da Fonte) e um "Source Type" (Tipo de Origem). O nome ser escolhido por voc e este ser exibido no menu drop-down com no qual voc escolher a sua fonte de dados Rsyslog ativa. O "Source Type" (Tipo de Fonte) pode ser um arquivo, um banco de dados MySQL ou o PHP PDO que suporta tipos de dados diferentes como MS SQL, PostgreSQL, ODBC, Oracle ou IBM DB2 mesmo. Neste caso utilizaremos a ltima opo, onde ser configurado o banco PostgreSQL 9.1. Database Storage Engine = MySQL Server (default) Escolha o tipo do banco de dados voc est usando. Estes bancos so suportados: MySQL Server Microsoft SQL Server ODBC Conexo Banco de Dados PostgreSQL Oracle Call Interface IBM DB2 Firebird / Interbase 6 IBM Informix Dynamic Server SQLite 2 E a configurao do banco: Table Type = monitorware (default) Este o layout da tabela. Atualmente, voc pode usar "monitorware" ou "syslogng" *Database Host = localhost (default) Este o nome da maquina ou IP de onde o banco de dados est localizado. Por padro localhost. Voc pode especificar qualquer outro host, de acordo com o seu cenrio. Database Name = loganalyzer (default) O nome do banco de dados que voc configurou no banco. Database Tablename = systemevents (default) Este o nome da tabela em que os dados so armazenados. O tablename padro corresponde s tabelas criadas com a Linha "Table Type". Database User = user (default) O nome de usurio do banco de dados. Database Password = no definido por padro

19 de 22

22/4/2013 17:58

Rsyslog - Gerenciamento centralizado de logs [Artigo]

http://www.vivaolinux.com.br/artigos/impressora.php?codigo=13669

A senha do usurio. Enable Row Counting = No (default) Se configurado para "Yes", a quantidade de linhas na tabela sero contados com cada consulta, mostrando os registros totais para a sua pesquisa. Poder ter um grande impacto em seu sistema ao utilizar um banco de dados muito grande. Se configurado para "No", as linhas no sero contadas, proporcionando um desempenho melhor.

Se tudo ocorreu bem, voc deve ver mensagens do Rsyslog j aps a sua instalao LogAnalyzer. Por segurana voc pode remover o script install.php.

Conforme figura acima, os dados que j foram inseridos no banco de dados podem ser visualizados pelo browser atravs do endereo do IP, ou localmente atravs do localhost. Detalhando uma das mensagem acima, teremos a seguinte tela:

20 de 22

22/4/2013 17:58

Rsyslog - Gerenciamento centralizado de logs [Artigo]

http://www.vivaolinux.com.br/artigos/impressora.php?codigo=13669

Acima, temos os seguintes campos: uiD - ID da mensagem conforme sua insero no banco; Date - data e hora do evento; Host - nome da maquina onde o evento ocorreu; Severity - tipo de prioridade da mensagem; Syslogtag - tag que identifica qual o servio que gerou o evento; Checksum - tag utilizada quando o rsyslog utilizado com SSL/TLS; Message - contedo da mensagem com os dados do evento. Messagetype Facility Neste evento, podemos perceber alguns dados interessantes: por ser um evento do tipo DHCPACK (onde o servidor confirma a alocao do endereo IP ao cliente), o endereo MAC da mquina que recebeu o IP e o endereo IP que foi atribudo. Isto pode permitir uma rastreabilidade na rede.

Concluso Com o Rsyslog, torna-se possvel o gerenciamento centralizado de logs, independentemente do sistema operacional, permitindo a visualizao dos eventos de todos os pontos monitorados de forma que um relatrio pode ser emitido demostrando um cenrio geral da rede para um certo tipo de evento, ou at mesmo de todos os eventos, procurando o de maior ocorrncia para verificar o motivo de tanta repetio. Um fator positivo a possibilidade de utilizao de um banco de dados para armazenamento centralizado destes eventos (logs). Independente de qual seja o banco, o fato de estar inserido em um SGBD (sistema de gerenciamento de banco de dados) permite uma integrao com outras ferramentas e at mesmo, outros sistemas, alm de possibilitar aes que garantiro a alta disponibilidade desses dados, como o backup e redundncia, que j no to funcional como o backup de um arquivo e redundncia do mesmo. Outro ponto positivo a interoperabilidade: a maioria dos bancos mais usados no mercado so suportados nessa ferramenta, que garante a cobertura de mais de 90%. Por ter a licena do tipo GPLv3, h uma liberdade para se trabalhar com esta ferramenta adequando-a, dentro dos termos da licena, necessidade. Qualquer um pode desenvolver um plugin para o Rsyslog, ou mesmo adaptar (de acordo com o tipo de licena dele, pois o projeto Rsyslog regido pela GLPv3, e nada implica que seus plugins sejam, j que a grande maioria no foram desenvolvidos pelos criados/desenvolvedores do Rsyslog) para a sua melhor aplicao num cenrio especfico. Durante a configurao do "servidor" centralizado Rsyslog, houveram muitos erros. Na configurao da string de conexo com o banco de dados, por exemplo, um simples espao entre os dados desta string gera o erro na conexo com o banco de dados, e nada na documentao do site www.rsyslog.com/doc fala sobre isso.

21 de 22

22/4/2013 17:58

Rsyslog - Gerenciamento centralizado de logs [Artigo]

http://www.vivaolinux.com.br/artigos/impressora.php?codigo=13669

Alis, tirando a documentao do site oficial, pouqussimos so os documentos disponveis que tem algum valor mensurvel em questo de contedo, pois a maioria uma replica de algum trabalho que uma cpia/traduo do que est no site. Este documento foi todo escrito com palavras do autor, tendo uma sinopse do contedo encontrado na documentao oficial que foi usada como referncia. Talvez se houvesse uma documentao mais detalhada, a maioria destes erros poderiam ser corrigidos mesmo antes da sua ocorrncia. O trfego na rede causado pelo Rsyslog no impactante para influenciar no desempenho, porm, ao se pensar em banco de dados e dependendo da quantidade de pontos monitorados, poder gerar um I/O muito grande no banco, que pode onerar sua performance, cabendo ao responsvel pela instalao/configurao, procurar por solues que possam resolver e que atenda as necessidades. Outro ponto forte do Rsyslog, a possibilidade da implementao de segurana na transmisso dos eventos para o servidor centralizado, utilizando SSL/TLS. No prximo artigo, implementaremos esta funcionalidade juntamente com o suporte de strings com mais de 32 bits.

http://www.vivaolinux.com.br/artigo/Rsyslog-Gerenciamento-centralizado-de-logs Voltar para o site

22 de 22

22/4/2013 17:58