ESXi>Graylog2 – Quickstart – MAJ
Posted by NiTRo | Filed under HowTo, Test, Tips & Tricks, VMware
MAJ 31.10.2012 : Pour ceux qui veulent profiter rapidement des alarmes, allez modifier le fichier /usr/share/graylog2-web/config/email.yml et rajoutez ces 2 lignes dans votre crontab :
su - -c 'cd /usr/share/graylog2-web;rake RAILS_ENV=production streamalarms:send>>/var/log/graylog.log' su - -c 'cd /usr/share/graylog2-web;rake RAILS_ENV=production subscriptions:send>>/var/log/graylog.log'
Ceux qui connaissent Graylog2 savent à quel point c’est un serveur syslog surpuissant mais pas vraiment simple à installer. De plus, ceux qui s’en servent pour des ESXi ont eu la douloureuse surprise de constater que graylog2 ne supportait pas le format syslog d’ESXi 5.x alors que celui de 4.x était parfaitement géré. Nous allons donc faire d’une pierre deux coups.
En ce qui concerne la simplicité, Mick Pollard a posté cet été comment utiliser ses packages sur un Ubuntu 12.04, ce à quoi nous ajouterons des morceaux d’un autre how-to pour faire tourner l’interface web de graylog2 sous apache.
Et pour la compatibilité, nous configurerons graylog2 pour écouter sur un port “alternatif” (10514 dans notre exemple) car le port 514 sera pour rsyslog qui réécrira tout ce qui passe au bon format et le forwardera (non, ce mot n’existe pas) à graylog2. Attention ca va aller très vite :
echo 'deb http://ppa.lunix.com.au/ubuntu/ precise main' | sudo tee /etc/apt/sources.list.d/aussielunix.list apt-key adv --keyserver keyserver.ubuntu.com --recv D77A4DCC apt-get update apt-get install mongodb elasticsearch graylog2-server graylog2-web apache2 libapache2-mod-passenger
Vous pouvez aller boire un café, ya ~500Mo à downloader/installer. Ensuite il faut configurer quelques trucs :
/etc/graylog2.conf
syslog_listen_port = 10514
/etc/rsyslog.conf
$ModLoad immark
$ModLoad imudp
$UDPServerRun 514
$ModLoad imtcp
$InputTCPServerRun 514
/etc/rsyslog.d/50-default.conf
#*.*;auth,authpriv.none -/var/log/syslog
/etc/apache2/sites-available/default
<VirtualHost *:80> DocumentRoot /usr/share/graylog2-web/public/ RailsEnv 'production' <Directory /usr/share/graylog2-web/public/> Allow from all Options -MultiViews </Directory> ErrorLog /var/log/apache2/error.log LogLevel warn CustomLog /var/log/apache2/access.log combined </VirtualHost>
/etc/rsyslog.d/32-graylog2.conf
$template GRAYLOG2,"<%PRI%>1 %timegenerated:::date-rfc3339% %HOSTNAME% %syslogtag% - %APP-NAME%: %msg:::drop-last-lf%\n" $ActionForwardDefaultTemplate GRAYLOG2 $PreserveFQDN on *.* @localhost:10514
/etc/security/limits.conf
root – nofile 64000
root – memlock unlimited
/etc/pam.d/su
session required pam_limits.so
Après, on secoue bien :
service elasticsearch start service mongodb restart service graylog2-server start service rsyslog restart service apache2 restart
Selon le formatage des messages, il est parfois nécessaire d’avoir un reverse DNS pour que le hostname remonte bien (au lieu de l’ip). Sur le screenshot suivant vous pourrez constater la présence de log provenant d’ESXi 5, de pfSense et d’Astaro/UTM mais nous avons pu également valider que cette solution était fonctionnelle pour ESXi 4, FreeNAS, NTsyslog, Snare/Epilog et nxlog.
On vous laisse découvrir les joyeusetés des streams et des analytics de Graylog2
October 30th, 2012 at 10:17
Dans la première partie du code, il y a des balises br qui trainent :p
October 30th, 2012 at 10:19
@Ammesiah Thanks
November 1st, 2012 at 14:55
[...] November 1, 2012 PiroNet Leave a comment Go to comments This is the English version of a blog post from Raphael Schitz at [...]
November 21st, 2012 at 9:48
Bonjour !
Le rewrite a malheureusement cassé la manière dont les logs de certains équipements remontent, par exemple des load balancers Stingray. En remplaçant %HOSTNAME% par %FROMHOST% la présentation est sympa….
December 6th, 2012 at 0:10
Merci, je voulais justement en parler pour les ESX 4.x aussi
January 10th, 2014 at 14:36
Bonjour, l’article date de 2012, je souhaite juste préciser qu’une nouvelle version de Graylog2 arrive dans les prochaines semaines (la RC.1 est prévue pour lundi 13 janvier). Celle-ci sera plus simple à installer, plus performante et proposera plus d’options
January 10th, 2014 at 15:05
Merci seb, en effet on test déjà activement les previews (https://twitter.com/hypervisor_fr/status/408267944490041346) et il y aura un article dès que ce sera stable