Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Installation eines Logservers mit Loganalyzer als Debian-VM auf Hyper-V

Mitglied: lcer00

lcer00 (Level 2) - Jetzt verbinden

25.09.2018, aktualisiert 20:15 Uhr, 4194 Aufrufe, 1 Kommentar, 3 Danke

Zuerst sei auf den schönen Beitrag von @aqui hier im Forum verwiesen, in dem die loganalyzer-installation bereits beschrieben ist: https://www.administrator.de/wissen/netzwerk-management-server-raspberry ...

Mein Ziel war es, einen Debian-Server als VM unter einem Windows 2012R2 Server mittels Hyper-V laufen zu lassen. Das Setup unterschiedet sich etwas vom Raspi . der Logserver solle Syslog-Nachrichten und SNMP-Traps aus dem Netzwerk entgegennehmen. Diese sollen über ein Webinterface verfolgt werden können.

Die folgende Anleitung ist das Ergebnis von 2 Tagen dauergoogeln. Zum Thema gibt es unzählige zum Teil sehr ausführliche Webseiten. Der Teufel steckt aber im Detail. Durch die verschiedenen Distributionen bzw. Versionen von Debian und rsyslog sind ältere Anleitungen nicht immer zutreffend und manchmal auch unnütz umständlich. Daher meine Motivation, noch eine Anleitung zu schreiben. Ich hoffe ich habe keine wesentlichen Punkte vergessen. Die enthaltenen Befehlsfolgen, Links und Codeausschnitte sind hoffentlich fehlerfrei angekommen.

Die Grundlagen zur Verwendung von Hyper-V und zur Installation eines Debian ohne graphische Oberfläche lasse ich hier aus. Die Installationsanweisungen verzichten hier auf sudo und erfolgen über den root Benutzer. Wer mag, kann das gerne ändern. Ebenso habe ich keine weiteren Maßnahen zum absichern des Systems gemacht. Eine Firewall sollte mindestens hinzugefügt werden. Interessante Links zum Thema habe ich im jeweiligen Abschnitt direkt angegeben.


Installation der VM


Zunächst läd man sich die aktuelle Netinstall-ISO herunter: https://www.debian.org/distrib/

Die VM wird in Hyper-V mit folgenden Parametern erstellt:
  • Generation 1
  • Festplattentyp VHDX mit 32GB

Im Anschluss habe ich den Arbeitspeicher zunächst auf 2048MB festgelegt (nicht dynamisch).

Zunächst sollte man die Debian-Installation an die virtuelle Umgebung anpassen:

Dazu wird das Paket hyperv-daemons installiert.

https://docs.microsoft.com/en-us/windows-server/virtualization/hyper-v/s ...
https://docs.microsoft.com/de-de/windows-server/virtualization/hyper-v/B ...
https://msdn.microsoft.com/de-de/library/dn798297(v=ws.11).aspx

Im Anschluss erledigt man die Netzwerkkonfiguration, im einfachsten Fall über den DHCP-Server
  • DHCP-Lease in DHCP-Reservierung konvertieren
  • ggf. statischen DNS-Eintrag erstellen
... das geht aber besser!

Paketinstallation

Die Grundlage des Logservers sind folgende Pakete:
  • rsyslog (bereits im Debian enthalten) als Syslog
  • snmptrapd zum Entgegennehmen der SNMP-Traps
  • mysql-server als Datenbank zum Speichern der Syslog-Einträge und zur Benutzerverwaltung des Webinterfaces
  • apache2 als webserver
  • loganalyzer als Webinterface

ein paar Links zum Thema
http://lab4.org/wiki/Rsyslog_mit_MySQL_als_zentraler_Logserver
https://tecadmin.net/setup-rsyslog-with-mysql-and-loganalyzer/
https://tecadmin.net/setup-loganalyzer-with-rsyslog-and-mysql/
https://loganalyzer.adiscon.com/doc/install.html

Installation des MYSQL-Servers

Im Anschluss testet man die Installation mit:
Wenn hier keine Fehlermeldung kommt, läuft alles.

Im Anschluss wird das mysql-Modul dür rsyslog installiert:
Hier wird auch das Zugriffspassword für den Benutzer "rsyslog" festgelegt. Bitte merken für später! Ich habe hier mal GEHEIM2 benutzt.

Installation des Webservers

Hier ist nicht viel zu sagen.

Installation von Loganalyzer

Leider ist das Debian-Paket loganalyzer ist für Debian 9 Stable (Stretch) (noch?) nicht verfügbar. Für andere Distributionen wäre es direkt über apt-get installierbar. siehe https://packages.debian.org/jessie/loganalyzer

Daher muss es manuell geladen werden. Zunächst identifiziert man den aktuellen Downloadlink unter https://loganalyzer.adiscon.com/download/

Im Anschluss wird die Datei heruntergeladen, entpackt und in das Webserververzeichnis kopiert:
Die weiteren Schritte erfolgen mittels Webinterface. Falls man (wegen meiner DHCP-IP-Lösung oben ) die IP Adresse nicht parat hat, kann man sie sich anzeigen lassen:
Das Webinterface ruft man mittels http://ip/loganalyzer/ auf. Kritisch sind hier die Schritte 3 und 7:

  • Step 3 - Benutzerdatenbank in mysql neu erstellen
Hier ist das Psaswort aus dem Schritt (apt-get install rsyslog-mysql - siehe oben) anzugeben!
loganalyzer-step3 - Klicke auf das Bild, um es zu vergrößern

  • Step 7 - Syslog Datanbank angeben
Hier darf nicht direkt auf das syslog (Einstellung Diskfile / Syslog) verwiesen werden. Der Zugriff durch den Webserver-Benutzer (www-data) auf /var/log/syslog wird fehlschlagen! Stattdessen stellt man folgendes ein:
loganalyzer-step7 - Klicke auf das Bild, um es zu vergrößern

Am Schluss landet man auf der aktiven Monitoring-Seite von loganalyzer.

Wenn hier was schiefgeht

Man kann die gerade erstellte Konfiguration einfach löschen und nochmal von vorne anfangen:
Die Konfiguration des SQL-Servers kann man wie folgt überprüfen:
Die Datenbank heißt also Syslog, die Datenbanktabelle SystemEvents. Achtung Gross-und Kleinschreibung beachten!

Installation von snmptrap

Konfiguration von snmptrap

Die Konfigurationsdatei ist /etc/snmp/snmptrapd.conf
Damit alle SNMP-Traps der SNMP-Communityt public im syslog landen muss dies mittels authCommunity log public angegeben werden.
Im Anschluss wird snmptrapd neu gestarted:

Konfiguration von rsyslog

Hier sind etwas größere Umbauten nötig, damit die Sache übersichtlich bleibt und wir gewünscht funktioniert. Rsyslog verwendet verschiedene Schreibweisen für die Konfiguration. https://www.rsyslog.com/doc/v8-stable/configuration/conf_formats.html#wh ... Benötigt wird das advanced format .

Bei der Installation von rsyslog-mysql wurde die Datei /etc/rsyslog.d/mysql.conf erzeugt. Hier müssen die Zeilen auskommentiert werden. Alternativ kann man die Datei auch löschen!
Der Ladebefehl für das Modul und die Aktion werden dann in der eigentlichen rsyslog-Konfigurations eingefügt, aber etwas abweichend!

Wichtig ist hier die Reiehenfolge der Einträge. siehe: https://www.rsyslog.com/doc/v8-stable/concepts/multi_ruleset.html
Zuerst werden alle Module geladen. Dann werden die Rulesets definiert. Erst danach werden die Rulesets an die Eingabemodule (imudp und imtcp) mittels input(type= gebunden! Die Regeln für die lokalen Syslogereignisse folgen ganz unten.


Ich habe die Filter zum Verwerfen nicht relevanter Meldungen meines Bintec-Routers in der rsyslog.conf als Beispiel drin gelassen. Das kann man anpassen. Bitte insbesondere die Leerzeichen beim startwith filter beachten. Zur Not ist es besser contains anstelle von startwith zu verwenden.

Die Konfiguration trennt das systemeigene Syslog vom mysql-Syslog. Auch das kann man anders lösen. Die Verwendung der Rulesets macht sinn, da dann nicht alle lokalen Syslogmeldungen durch die Filter müssen, und das ganze etwas performanter wird.

Zum Schluss muss noch rsyslog neu gestartet werden:
So. Das sollte dann laufen. Ich hoffe, es hilft jemandem.

Grüße

lcer


Mitglied: Mailwasher
09.08.2019 um 15:41 Uhr
Weiß einer, wie ich in das Log noch das Kern.log dazu bekomme? Also dass es mir auch so auf der Website angezeigt wird.
über eine Antwort wäre ich sehr Dankbar.
Bitte warten ..
Ähnliche Inhalte
Debian

Debian Installation: Fehlende Firmware von Installations-Stick hinzufügen

Tipp von MOS6581Debian3 Kommentare

Moin, da ich es gerade gebraucht habe: wollte ein Debian 9 auf einer ausrangierten Securepoint RC100 vom USB-Stick installieren ...

Hyper-V

Setup VM W2016 startet nicht in Hyper-V 2016

Erfahrungsbericht von keine-ahnungHyper-V10 Kommentare

Moin, sitze gerade über meinem neuen Server und versuche, die VM auf den Host zu prügeln. Jetzt wollte ich ...

Virtualisierung

VEEAM Instant VM Recovery Datenverlust möglich

Information von sabinesVirtualisierung

Wer instant VM Recovery unter Veeam nutzt, sollte seine Installation überprüfen. In manchen Fällen könnte es zu Datenverlust kommen, ...

Debian

Debian: Wichtiges Sicherheits-Update schließt 18 Lücken

Information von BassFishFoxDebian

Für Debian liegt seit dem 23. Dezember ein aktuelles Sicherheits-Update vor, das insgesamt 18 Lücken im Kernel 4.9 LTS ...

Neue Wissensbeiträge
Off Topic

5G und Corona - schwachsinnige Verschwörungstheroretiker

Information von brammer vor 7 StundenOff Topic6 Kommentare

Hallo, das man Verschwörungstheoretikern nicht mit Logik und stichhaltigen Argumenten beikomme kann ist ja leider ein weit verbreitetes Phänomen. ...

Informationsdienste

Leistungsschutzrecht: Ein neuer Diskussionsentwurf liegt vor

Information von Frank vor 2 TagenInformationsdienste12 Kommentare

Anfang April (leider kein Scherz) hat das Bundesjustizministerium den nächsten ausformulierten Referentenentwurf für ein "erstes Gesetz zur Anpassung des ...

Instant Messaging

Videokonferenz oder Chatsystem für das Homeoffice

Information von Frank vor 2 TagenInstant Messaging6 Kommentare

Ich hatte es bereits in einem Kommentar gepostet, da ich aber viele Nachfragen dazu bekam, hier noch mal meine ...

Off Topic

Ein wenig Aufklärung über Corona von Bill Gates persönlich

Information von Frank vor 3 TagenOff Topic24 Kommentare

Amerika hat ein Problem: Die Arroganz des sehr klugen Präsidenten führte zur aktuellen Corona-Krise in den USA. Was jetzt ...

Heiß diskutierte Inhalte
LAN, WAN, Wireless
Lokale IP-Adresse
gelöst Frage von Kuerbis2020LAN, WAN, Wireless38 Kommentare

Lokale IP-Adresse: Woher bezieht Mein PC seine lokale IP-Adresse? Nenne den Namen des Dienstes und wo der Dienst installiert ...

DNS
DNS-Festlegung Windows
gelöst Frage von Kuerbis2020DNS16 Kommentare

DNS-Festlegung: Wo kann man das statische DNS festlegen und an welcher stelle wird das vorgenommen? A: Feste IP-Adresse für ...

Netzwerke
Frage zu VoIP-VLAN und
Frage von darkness08Netzwerke9 Kommentare

Hallo, in einem anderen Beitrag hatte ich gefragt, wie ich UDP bzw. RTP in ein anderes VLAN Route. Dazu ...

Windows Server
RDS CAL Device CAL vs User CAL
Frage von ImmenburgWindows Server9 Kommentare

Hallo zusammen, wir wollen einen neuen Windows Terminalserver aufsetzen (lassen) und stellen uns nun die Frage, welche RDS Cals ...