Bonjour,
Mon but est de faire remonter les eventlogs de Windows sur le serveur SME et de les analyser via une interface web.
Je souhaite faire un envoi ponctuel des évennements de différents serveurs windows ou postes via internet et les centraliser sur mon serveur pour les analyser via l'interface web.
A priori, il me faut un serveur syslog et une interface qui permet de les organiser et de les analyser.
J'ai découvert le loganalyser : http://loganalyzer.adiscon.com/downloads/ qui m'a l'air très bien
je suis la procédure suivante : http://tecadmin.net/setup-rsyslog-with-mysql-and-loganalyzer/# et
http://www.unixmen.com/install-and-configure-rsyslog-in-centos-6-4-rhel-...
deux problèmes : le rsyslog n'est pas reconnu en tant que service
et une fois le syslog désactivé, le serveur SME déconne grave (plus possible de créer d'ibay ni d'utilisateur via le sezrver-manager)
bref, l'install du loganalyser se passe sans trop de mal par contre l'installation du rsyslog ne fonctionne pas super (pas de service rsyslog) et la désactivation du syslog fait beaucoup de mal à mon serveur.
Je suis un peu brouillon.
Si quelqu'un a éventuellement une solution pour ce système ou un autre système à me proposer je suis preneur.
Pour info, j'ai regardé snare qui a l'aire d'être bien masi je ne trouve pas la partie serveur.
batist3
Salut,
J'ai vu sur contribs.org que nouvelle version de sme server, la 9, qui est en développement, va utiliser rsyslog.
http://bugs.contribs.org/show_bug.cgi?id=7221
Tu peux bien sur tester la version 9 qui est en beta 3 maintenant.
Ou bien, il y a ce howto: http://www.howtoforge.com/building-a-central-loghost-on-centos-and-rhel-...
C'est pour une ancienne version de centos mais faut tenter l'opération.
Bon chance.
MasterSleepy.
Salut et Merci pour la réponse qui n'a malheureusement pas fonctionné.
Par contre, j'ai suivi cette proc qui a donné un syslog dans mysql :
http://prostenotatki.blogspot.fr/2013/03/install-and-setup-syslog-ng-to-...
Il ne me restait plus qu'à trouver un moyen de visualiser et interpréter cette base sql sur une interface web.
Mais je me suis rendu compte que cette solution (syslog) ne colle pas à mes besoins.
Du coup j'ai trouvé un soft qui génère des fichier web html des windows event logs en fonction du type warning, error... et du journal voulu avec une possibilité de spécifier la durée des logs.
le soft ce trouve ici : http://www.nirsoft.net/utils/myeventviewer.zip et ici pour la version 64 : http://www.nirsoft.net/utils/myeventviewer-x64.zip
ce soft est utilisable en script par exemple :
MyEventViewer.exe /ShowOnlyLastEvents 1 /LastEventsUnit 3 /LastEventsValue 2 /VisibleEventTypes 3 /shtml d:\SOCIETE-Nomserveur.html
ensuite j'envoi les les infos via sftp sur le serveur SME :
sftp à télécharger ici : http://the.earth.li/~sgtatham/putty/latest/x86/psftp.exe
et utilisation via batch exemple
créer un fichier commande.txt avec ce contenu :
cd /home/e-smith/files/ibays/log/html
put d:\SOCIETE-Nomserveur.html
quit
et lancer un batch :
psftp.exe {Adresse_IP_SERVEUR} -P {numero_port} -l {user} -pw {password} -b {chemin_fichier_commande}
par exemple :
psftp.exe193.252.218.120 -P 2022 -l root -pw XXXXXX -b d:\sftp\commande.txt
Pour moi cette solution fonctionne par rapport à mes besoins
Pour finir, je souhaite archiver les logs
du coup, je réceptionne les fichiers des logs au format html dans le dossier
/home/e-smith/files/ibays/log/html/current
Je crée un dossier /home/e-smith/files/ibays/log/html/archives pour y créer un dossier par jour et déplacer le contenu du dossier current dans le dossier archives/YYYMMDD
création du script :
nano /root/arc-logs.sh
insérer le contenu:
cd /home/e-smith/files/ibays/log/html/archives
mkdir `date +%Y%m%d`
cd /home/e-smith/files/ibays/log/html/current
mv * /home/e-smith/files/ibays/log/html/archives/`date +%Y%m%d`
Permission d'execution :
chmod +x /root/arc-logs.sh
Plannification :
mkdir -p /etc/e-smith/templates-custom/etc/crontab
nano /etc/e-smith/templates-custom/etc/crontab/arc-logs
Ecrire ce texte :
#Execution Archivage Logs a 1h du matin
00 01 * * * root /root/arc-logs.sh
j'ai une question : peut'on créer un dossier au nom Jour-1 exemple YYYYMMDD-1
Merci,
batist3
Salut,
Merci pour les explications.
Pour la date, linux a tout prévut, rajoute le flag -d "yesterday" à la commande date.
A+,
MasterSleepy.