Viene de la parte 1: [HowTo] Recibir logs remotos usando Syslog
Usando phpsyslogng se pueden controlar los logs de cualquier PC que corra Linux y Syslog-NG de forma mucho mas visual e intuitiva.
Phpsyslogng provee además de interesantes gráficos estadísticos y un potente sistema de filtrado por host, aplicación, prioridad y facility.
Para que todo esto funcione es necesario contar con una instalación preexistente de Apache con PHP y MySQL. No voy a entrar en detalles acerca de la instalación y configuración de cada uno de estos servicios por que está fuera del alcance de esta guía.
Instalación:
Usando el gestor de paquetes de su distribución preferida, instalar phpsyslogng. En Gentoo:
echo «app-admin/phpsyslogng mysql» >> /etc/portage/package.use
emerge phpsyslogng
Opcional, si el servidor Apache está configurado para usar hosts virtuales, se puede instalar solo en uno de estos vhost habilitando la use flag correspondiente.
Una vez instalado, crear la base de datos correspondiente:
mysql> create database syslog;
Query OK, 1 row affected (0.18 sec)
El nombre de la base de datos (syslog) es arbitrario, pero es el que se sugiere por defecto durante la instalación.
Configuración de phpsyslogng:
Para que se rellene la base de datos con las tablas correspondientes basta con apuntar el browser a http://host.dominio.com/phpsyslogng, esto iniciará el asistente para finalizar la configuración en donde se solicitarán el nombre de usuario y contraseña de acceso, parámetros de la base de datos, etc.
Configurando Syslog-NG:
El paso siguiente es configurar Syslog-NG para que pueda convertir los logs a un formato que permita su inserción en la base de datos MySQL, para lo cual basta con editar /etc/syslog-ng/syslog-ng.conf y agregar lo siguiente:
destination d_mysql {
pipe(«/var/log/mysql.pipe»
template(«INSERT INTO logs
(host, facility, priority, level, tag, datetime, program, msg)
VALUES ( ‘$HOST’, ‘$FACILITY’, ‘$PRIORITY’, ‘$LEVEL’, ‘$TAG’, ‘$YEAR-$MON$
‘$PROGRAM’, ‘$MSG’ );\n») template-escape(yes));
};
log {
source(src);
destination(d_mysql);
};
Como ven, todos los logs se envían al archivo /var/log/mysql.pipe que será el encargado de parsearlos y insertarlos en la base de datos, por lo cual, el próximo paso es generar este archivo.
Creando el pipe /var/log/mysql.pipe
Crear un archivo nuevo de nombre arbitrario y con permisos de ejecución:
touch /usr/bin/syslogasql.sh
chmod +x /usr/bin/syslogasql.sh
Dentro de ese archivo copiar las siguientes líneas:
if [ ! -e /var/log/mysql.pipe ]
then
mkfifo /var/log/mysql.pipe
fi
while [ -e /var/log/mysql.pipe ]
do
mysql -u aqui_tu_usuario –password=aqui_tu_password syslog < /var/log/mysql.pipe >/dev/null
done
Este archivo ejecutable será el encargado de crear el archivo de tubería que rellene la base de datos con la información obtenida desde los logs del sistema. Tiene que estar en constante ejecución por lo que es conveniente que se ejecute al inicio del sistema. En Gentoo esto se logra agregando el nombre del archivo a /etc/conf.d/local.start:
echo «/usr/bin/syslogasql.sh» >> /etc/conf.d/local.start
Es importante que este archivo no se ejecute antes de que se haya iniciado el servidor MySQL.
¡Y eso es todo!
Mientras syslogasql.sh se mantenga en ejecución, toda la salida de syslog será cargada en la base de datos y podrá ser consultada desde phpsyslogng.
Una vez terminada la instalación, un poco de seguridad:
Borrar el directorio de instalación:
rm -fr /var/www/localhost/htdocs/phpsyslogng/install
Evitar accesos ilegítimos a directorios comprometedores agregando las siguientes directivas al archivo de configuración de Apache:
<Directory «/var/www/phpsyslogng/scripts»>
Deny from all
</Directory>
<Directory «/var/www/phpsyslogng/includes»>
Deny from all
</Directory>
<Directory «/var/www/phpsyslogng/config»>
Deny from all
</Directory>
