L'installation du serveur Syslog Esia se fait sur une VM/serveur indépendant de votre Esia Mercury.
Au MINIMUM (dépendants de la quantité de log à traité), un serveur ou une VM avec:
Afin de pouvoir installer le Galaxy sur votre serveur, il faut ajouter notre repository à la liste des repositories de confiances de votre serveur. Il suffit pour cela de saisir les commandes suivantes.
echo "deb http://stable.repository.esia-sa.com/esia bullseye contrib non-free" >> /etc/apt/sources.list wget -O- "http://stable.repository.esia-sa.com/esia/gnupg.key" | apt-key add -
Saisissez les commandes suivantes :
apt update apt install -y postgresql apt install -y esia-syslog-alarm
Une fois le téléchargement et le dépaquetage terminé, le système d'installation vous afficheront la configuration de rsyslog-pgsql
Sélectionnez “Yes”, pour continuer la configuration.
Sélectionnez “localhost” pour indiquer que la base de données est local au serveur.
Entrez le mot de passe de la base de données
Confirmer avec le même mot de passe.
Le système va terminer de configurer les bases et logiciels autour.
Si vous souhaitez recevoir des alarmes asynchrones du serveur syslog. Il faut ajouter l'IP de votre Esia Mercury dans le fichier
/etc/esia/syslog-alarm.conf
dans la partie “receiver”. Il convient de vérifier que le port 2081 de votre serveur Esia est bien ouvert (iptables -L).
###################################### # Fichier de configuration d'ESIA # # ESIA 3.0 # # Biersart Nicolas # # support@esia-sa.com # ###################################### [RECEIVER] port=2081 key=2687b4e25ca52118ef03bfcdb31610a210b42202 #IP DE VOTRE SERVEUR ESIA ip=10.12.0.145 [CORE] thread_number=10 [DB] #chaine de connection postgresql connection_number=4 PGSQL_host=localhost PGSQL_port=5432 PGSQL_db=Syslog PGSQL_username=rsyslog PGSQL_pwd=syslog2022 [LOG] log_file=/var/log/esia/esiaSyslogAlarm.log
modifier le fichier de configuration de rsyslog pour autoriser les connexions entrantes:
nano /etc/rsyslog.conf
Dé commenter les lignes suivantes
# provides UDP syslog reception module(load="imudp") input(type="imudp" port="514") # provides TCP syslog reception module(load="imtcp") input(type="imtcp" port="514")
En dessous de cette configuration, ajouter les lignes suivantes, afin de sécuriser un minimum le serveur de log.
$AllowedSender TCP, 127.0.0.1, <ip du réseau>/8 $AllowedSender UDP, 127.0.0.1, <ip du réseau>/8
redémarrer le service rsyslog
/etc/init.d/rsyslog restart
SNMP est installé par défaut, il faut maintenant le configurer. Il faut aller éditer le fichier de configuration :
nano /etc/snmp/snmpd.conf
Changez la ligne suivante (ou la mettre en commentaire) :
agentAddress udp:127.0.0.1:161
Et la remplacer par :
agentAddress udp:0.0.0.0:161
Il faut ensuite configurer la communauté SNMP :
rocommunity read_community default
ou rocommunity « nom de la communauté » « range ip (ip unique ) /masque de sous-réseaux »
rocommunity read_community 10.7.0.14/32
ATTENTION, ne pas laisser de rocommunity avec la vue par défaut systemonly (commentez, effacez ou modifiez la ligne suivante) :
# rocommunity public default -V systemonly
Ensuite il faut redémarrer le service SNMP en tapant :
/etc/init.d/snmpd restart
Afin d'éviter que le l'agent n'ajoute une ligne toutes les X minutes dans votre fichier de log (à chaque interrogation par le serveur Esia), n'oubliez pas de rendre SNMP moins verbeux. Saisissez la commande suivante :
systemctl edit snmpd
Cela va (entre autres) créer le fichier « /etc/systemd/system/snmpd.service.d/override.conf ». Ajoutez ce code dans le fichier :
[Service] ExecStart= ExecStart=/usr/sbin/snmpd -LS4d -Lf /dev/null -u Debian-snmp -g Debian-snmp -I -smux,mteTrigger,mteTriggerConf -f
Ensuite il faut redémarrer le service SNMP en tapant :
service snmpd restart
Sur Debian Buster si la commande service n'existe pas vous pouvez redémarrer avec cette commande:
systemctl restart snmpd
Votre système est maintenant prêt à recevoir les log/journaux des autres nœuds réseau. Nous allons maintenant le lié au serveur Esia.
Sur votre serveur Esia Mercury, installez les paquets suivants:
apt install -y esia-receiver esia-webp-syslog
Afin que le serveur Syslog puissent envoyer les alertes vers votre serveur Esia, il faut autoriser les connexions sur le port 2801. En tapant les lignes de commande suivantes:
iptables -A INPUT -p tcp -m tcp --dport 2801 -s <ip serveur syslog>/32 -j ACCEPT iptables-save > /etc/iptables.rules
Pour ajouter le serveur syslog dans votre Esia, allez dans l'administration d'Esia et ensuite sur « Ajouter Nœud ». Remplissez les champs en spécifiant bien le type de nœud comme « Syslog Server ». N'oubliez pas la communauté SNMP.
Cliquez sur « Ajouter » et ensuite le système de configuration vous demandera l'URL HTTP/HTTPS vers le syslog, par défaut il prend l'IP de votre nœud.
Cliquez sur « Sauvez », ESIA vous affichera le message suivant en principe.
Le pattern par défaut « default_snmp_linux_server » est appliqué ainsi que 2 services :
Le premier vérifie que les nom d'hôtes (hostname) reçu par le serveur syslog correspondent au nœud dans ESIA. Le plugin 'MAN' lie les deux ensemble automatiquement.
Votre serveur est maintenant ajouté dans ESIA et vous pouvez aller sur la page de contrôle des nœuds afin de voir votre serveur de journaux (logs).