Premier tutoriel du site tiré de mon expérience personnelle:

Un réseau est constitué de nombreux équipements actifs tels des switchs, des pare feu et bien sûr des postes. Tous ces équipements génèrent des journaux d’activité rendant compte de divers évènements (connexions, changement d’adresse, etc…). Ces journaux ou logs sont formatés d’une certaine façon qui les rend difficilement lisibles. D’autre part les logs sont éparpillés sur le réseau ce qui a pour conséquence de devoir être sur le périphérique qui émet ces logs pour les consulter. De ces constatations on en déduit une solution simple à savoir : la centralisation des logs sur un seul et même serveur. Une fois le problème de la centralisation résolu il faut ensuite en venir à l’exploitation de ces logs. On va donc voir ce qu’il est possible de faire avec rsyslog et une interface web: LogAnalyzer

Rsyslog est le démon de log présent par défaut dans Ubuntu et Debian depuis peu. Il est plus simple à paramétrer que Syslog-ng et plus sécurisé.

Loganalyzer est une interface web permettant d’intéragir avec la base de donnée dans laquelle rsyslog va stocker les logs qui lui parviennent du réseau.

Le seul pré requis à ce tuto est d’avoir un serveur LAMP fonctionnel. Vous pouvez suivre ce tuto pour en monter un sous Debian 5 ainsi que sous Ubuntu.

Installation et configuration de rsyslog:

rsyslog est installé par défaut dans Ubuntu mais il faut rajouter le module MySQL::

aptitude install rsyslog-mysql

Pour la configuration tout passe par le fichier de configuration situé dans /etc. Afin d’activer la réception des logs via le réseau il faut simplement décommenter deux lignes:

 provides UDP syslog reception
$ModLoad imudp
$UDPServerRun 514

Par défaut et par convention le service Syslog utilise le port 514 du protocole UDP.

Ensuite pour que LogAnalyzer puisse récupérer les logs et les analyser il faut les stocker dans une base de donnée. Normalement on dispose d’un serveur MySQL donc il faut là encore activer le module MySQL de rsyslog en décommentant ou ajoutant une ligne:

$ModLoad MySQL

Ensuite pour que rsyslog rentre automatiquement les logs dans la base de donnée il faut lui donner les informations de connexion à cette base:

*.*  >serveurSQL,nomdelabase,utilisateur,motdepasse

Ensuite pour il nous faut créer la base de donnée :

mysql  -u root --password=votremotdepasse
mysql> CREATE DATABASE Syslog;

Pour plus de sécurité on peut aussi créer un utilisateur dédié à cette base.

Installation de LogAnalyzer

Tout d’abord on le télécharge ici

Puis on le décompresse:

tar -zxvf  /root/Bureau/loganalyzer-3.0.0.tar.gz

Une fois décompressé on copie le répertoire src à la racine du serveur Web:

cp -R loganalyzer-3.0.0/src/ /var/www/

Afin que l’installation se déroule sans encombre il faut mettre les droits d’écriture sur le contenu de /src pour plus de simplicité on va appliquer ces droits à tout le répertoire ainsi qu’aux sous-dossiers.

Ceci n’est pas sécurisé c’est pourquoi on reviendra à un chmod plus correct après l’installation.

Ensuite à l’aide d’un navigateur type Firefox ou autre on se rend à l’adresse: http://127.0.0.1/src

Cet écran s’affiche et c’est tout à fait normal étant donné que l’on a pas créé de fichier de configuration. On va le faire en continuant l’installation.

Suivent plusieurs écrans de vérification de la configuration. Le plus important est le 3e qui doit nous permettre de configurer l’interaction avec notre base de donnée notamment ici pour stocker les utilisateurs.

On y renseigne les informations de connexion à la base ainsi que le nombre de log qui vont apparaître simultanément sur la page de LogAnalyzer.

Puis l’assistant d’installation va créér les tables.

L’étape 6 est très importante car elle permet de déterminer le login et le mot de passe pour l’accès à l’interface de LogAnalyzer

Ensuite on paramètre notre première source de log soit notre base de données:

Voilà la configuration est terminée on peut se connecter à l’interface d’administration et visualiser en un seul endroit les logs de notre réseau. Il est possible de faire des recherches de générer des graphes ou encore de classer les logs par sévérité !

On peut reprocher à LogAnalyzer de ne pas être disponible encore en français mais vous remarquerez vite qu’un fichier de log en français n’existe pas !

Voilà pour ce tuto assez simple pour commencer j’espère que cela vous sera utile !