Sawmill es un paquete de software para el análisis estadístico y el informe de archivos de registro (logs), con filtrado contextual dinámico, zoom de datos «en vivo», personalización de la interfaz de usuario e informes calculados personalizados. Sawmill brinda soporte para aproximadamente 850 formatos de archivo de registro del servidor. Por lo que debido a su versatilidad cada sysadmins debería tenerlo instalado para revisar los logs de su infra. En este corto tutorial les mostrare como hacerlo. Utilizare como herramienta de virtualización Proxmox. Crearemos un contenedor con Ubuntu o Debian como OS. CPU: 1 core RAM: 2GB (Sawmill recomienda 2 Gb de RAM por nucleo) SWAP: 4Gb HDD: 8GB (Si se necesita mas, luego se puede agregar) Actualizamos nuestro CT: apt update apt upgrade 1 apt update 2 apt upgrade Descargamos la última versión del Sawmill de aqui. Yo descargue la versión para debian. La descompactamos donde más acomode, en mi caso en /opt tar -xvf saw mill8.7.9.4_x64_linu 1 tar -xvf sawmill8.7.9.4_x64_linux-debian8.tar.gz Nos creara la carpeta sawmill. Dentro encontraremos el binario ejecutable de sawmill y las carpetas: LogAnalysisInfo (Web del Sawmill) Extras ( Utilidades extras) Podemos correr el binario para acceder a nuestro Sawmill root@logs:~# cd /opt/saw mill/ root@logs:/opt/saw mill# ./saw m 1 root@logs:~# cd /opt/sawmill/ 2 root@logs:/opt/sawmill# ./sawmill Ya podemos acceder a su web usando el siguiente link http://ip_sawmill:8988/ NOTA: El software Sawmill es de pago, por lo tanto, tendrán un periodo de 30 días de evaluación. Este Blog no da soporte a la piratería, así que no pidan como registrar el software. Una vez allí configuramos nuestro usuario con derechos de administrador, el idioma, el correo y otras características mas. Ahora les mostrare gracias a Luis Felipe Domínguez Vega (AKA @H3R3T1C) como hacer que nuestro Sawmill inicié junto con nuestro CT. Para ello creamos un servicio llamado sawmill. cd /etc/systemd/system/ nano saw mill.service Dentro ponemos lo siguiente: 1 cd /etc/systemd/system/ 2 nano sawmill.service 3 4 Dentro ponemos lo siguiente: 5 6 [Unit] 7 Description=Sawmill Log 8 After=network-online.target 9 [Service] 10 #User=sawmill # Sawmill must have an user 11 Type=simple 12 ExecStart=/opt/sawmill/sawmill 13 TimeoutSec=30 14 Restart=on-failure 15 RestartSec=30 16 StartLimitInterval=350 17 StartLimitBurst=10 18 19 [Install] 20 WantedBy=network-online.target Activamos e inciamos el servicio systemctl enable saw mill systemctl start saw mill 1 systemctl enable sawmill 2 systemctl start sawmill Una vez, ya arrancada nuestra web y con inicio automático solo nos queda un problema por superar. ¿Como hacer que Sawmill vea los logs de los sistemas que queremos analizar? En Sawmill se crean perfiles por cada conjunto de logs que queremos analizar. Tenemos que especificarle al Sawmill de donde leerá los registros (logs). De las opciones que nos brinda, la que vi más razonable, segura y precisa es leer los registro desde el disco local. Las otras opciones constituyen más engorrosas ya que tendríamos que tener esos servicios en nuestra red y los registros centralizados en ellos. ¿Pero cómo hacer que Sawmill encuentre los logs en su propio disco sin tener que copiárselos? La pregunta a esa interrogante está en el título de este tutorial. Sencillamente compartiremos con Sawmill los recursos (logs) que queremos analizar usando para ello SSHFS Como el sawmill está instalado en un contendor de Proxmox y SSHFS usa FUSE entonces no es conveniente instalar SSHFS en el CT de Proxmox. Usaremos SSHFS en nuestro Proxmox para montar los recursos (logs). Posteriormente a través de un Mount Point (punto de montaje) compartiremos este recurso con el CT del Sawmill. La siguiente figura es un esquema de lo que haremos. En nuestro Proxmox 2 (el que aloja al sawmill) instalaremos SSHFS apt install sshfs 1 apt install sshfs Crearemos las carpetas qu contendran los logs. cd /mnt mkdir logs cd /logs mkdir squid mail 1 cd /mnt 2 mkdir logs 3 cd /logs 4 mkdir squid mail Montaremos los recursos. sshfs -o allow _other root@ip_p The authenticity of host 'ip_prox ECDSA key fingerprint is SHA25 Are you sure you w ant to conti 1 sshfs -o allow_other root@ip_proxy:/var/log/squid3/ /mnt/logs/squid/ 2 The authenticity of host 'ip_proxy (ip_proxy)' can't be established. 3 4 ECDSA key fingerprint is 5 SHA256:rAs+biL5GkEf5lmrmePOry9XWYLoNUy6wEva4kgs6HM. 6 Are you sure you want to continue connecting (yes/no)? yes 7 root@10.122.193.3's password: (establecer la clave root del proxy) 8 9 sshfs -o allow_other root@ip_mail:/var/log/ /mnt/logs/mail/ 10 The authenticity of host 'ip_mail (ip_mail)' can't be established. 11 ECDSA key fingerprint is SHA256:raupX9Uls57p55cjuIUb0wMJMEFuRhgX0imwA189JXQ. Are you sure you want to continue connecting (yes/no)? yes root@10.122.193.225's password: (establecer la clave root de mail) Ya podemos ver nuestros logs montados en las carpetas /mnt/logs/squid y /mnt/logs/mail . Hagamos que el montaje sea automático cada vez que se inicie nuestro Proxmox. nano /etc/fstab ###Agregamos lo siguiente sshfs#root@ip_proxy:/var/log/s ssfhs#root@ip_mail:/var/log/ /m 1 nano /etc/fstab 2 ###Agregamos lo siguiente 3 sshfs#root@ip_proxy:/var/log/squid3/ /mnt/logs/squid/ 4 ssfhs#root@ip_mail:/var/log/ /mnt/logs/mail/ NOTA:Importantísimo hacer destacar que los CT a los cuales les estamos haciendo el montaje de los logs NO están situados en el mismo Proxmox donde se encuentra el sawmill. Al estar el punto de montaje en el fstab si el Proxmox 2 (el que tiene alojado el sawmill) en el arranque no ve los CT levantados (mail y proxy) en el otro Proxmox 1 entonces no levantara. Más adelante pensare en otra solución que no involucre el fstab para correr el sshfs. Hagamos que la conexión sea sin usar la clave root de los CT. Desde nuestro Proxmox lanzamos el comando ssh-copy-id root@pve1:~# ssh-copy-id root /usr/bin/ssh-copy-id: INFO: Sou /usr/bin/ssh-copy-id: INFO: attem /usr/bin/ssh-copy-id: INFO: 1 ke 1 2 3 4 5 6 7 8 root@pve1:~# ssh-copy-id root@ip_proxy /usr/bin/ssh-copy-id: INFO: Source of key(s) to be installed: "/root/.ssh/id_rsa.pub" /usr/bin/ssh-copy-id: INFO: attempting to log in with the new key(s), to filter out any that are already installed /usr/bin/ssh-copy-id: INFO: 1 key(s) remain to be installed -- if you are prompted now it is to install the new keys root@ip_proxy's password: 9 Number of key(s) added: 1 10 11 Now try logging into the machine, with: "ssh 'root@ip_proxy'" 12 and check to make sure that only the key(s) you wanted were added. 13 14 root@pve1:~# ssh-copy-id root@ip_mail 15 /usr/bin/ssh-copy-id: INFO: Source of key(s) to be installed: "/root/.ssh/id_rsa.pub" 16 /usr/bin/ssh-copy-id: INFO: attempting to log in with the new key(s), to filter out 17 any that are already installed 18 /usr/bin/ssh-copy-id: INFO: 1 key(s) remain to be installed -- if you are prompted 19 now it is to install the new keys 20 root@ip_mail's password: 21 Number of key(s) added: 1 Now try logging into the machine, with: "ssh 'root@ip_mail'" and check to make sure that only the key(s) you wanted were added. En el CT de Sawmill crearemos las carpetas que montaran los recursos. Yo cree las carpetas mail y squid en el siguiente camino /var/log ustedes pueden ubicarlas donde deseen. Ahora pararemos el CT de Sawmill para crearle los puntos de montaje. nano /etc/pve/nodes/<nombre d ###Agregamos lo siguiente mp0: /mnt/logs/squid/,mp=/var/lo 1 nano /etc/pve/nodes/<nombre del nodo>/lxc/ct_id_sawmill.conf 2 ###Agregamos lo siguiente 3 4 mp0: /mnt/logs/squid/,mp=/var/log/squid/ 5 mp1: /mnt/logs/mail/,mp=/var/log/mail/ Iniciamos nuestro Sawmill y ya por fin dentro veremos los logs de los CT mail y squid . Ahora crearemos el perfil para analizar los logs de Squid. Los dejo con una imagen del Sawmill en accion. ¿De cuánta utilidad te ha parecido este contenido? ¡Haz clic en una estrella para puntuar! Promedio de puntuación 4 / 5. Recuento de votos: 4 Please follow and like us: CiberSeguridad SawMill Sobre Alexander Rivas Alpizar 52 artículos Administrador de Redes EMPRESTUR Cienfuegos 11 comentarios 1. Pavel Milanes (CO7WT) 24 mayo, 2018 a las 10:47 am Firefox 59.0 Ubuntu x64 Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:59.0) Gecko/20100101 Firefox/59.0 Hum… A mi me gusta más la variante de que los CT tiren sys logs por rsyslog a un server de logs y este server entonces tenga el sawmill… Buen tema pra un putorial… dejame buscar a ver si no inventé el agua tivia… Responder 2. Rafael L. Salgueiro 28 mayo, 2018 a las 12:22 pm Firefox 60.0 Windows 10 x64 Edition Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:60.0) Gecko/20100101 Firefox/60.0 Muy buen articulo ya tengo el mio funcionando, para ubuntu no sirve la variante da problema por una libreria de mysql al menos en la version 18.04 tengo 2 cosas que agregar es decir 2 cosas que pueden mejorar el articulo, incluir la carpeta destino a la hora de extraer con la opcion -C quedaria: tar -C /opt/ -xvf sawmill8.7.9.4_x64_linux-debian8.tar.gz Apagar y encender el CT(VMID 100) con los comandos desde la consola de proxmox pct stop 100 Despues de agregar los ptos de montaje pct start 100 Responder 3. Irleider 29 octubre, 2018 a las 12:22 pm Google Chrome 70.0.3538.77 Windows 10 x64 Edition Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/70.0.3538.77 Safari/537.36 Clave del producto Sawmill8.7.9.4 enterprise-unlimited-perp-5373-0b04 enterprise-unlimited-perp-8830-4411 enterprise-unlimited-perp-2098-ad54 enterprise-unlimited-perp-6488-87f3 enterprise-unlimited-perp-3566-4b83 Responder 4. elizabeth perez herrera 4 enero, 2019 a las 9:43 am Firefox 52.0 GNU/Linux x64 Mozilla/5.0 (X11; Linux x86_64; rv:52.0) Gecko/20100101 Firefox/52.0 bueno instale el sawmill perfectamente en mi pc de trabajo y lo levante la primer vez, luego cerre seccion y vuelvo a solicitar el sawmill desde la web y no levanta … que me puede estar pasando, tengo la pc en debian 9. saludos, gracias. Responder 5. Adrian Rodriguez 3 octubre, 2019 a las 12:24 pm Firefox 69.0 Windows 10 x64 Edition Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:69.0) Gecko/20100101 Firefox/69.0 Sawmill 8.8.0.1 Serial : enterprise-unlimited-perp-d514-cc25 enterprise-unlimited-perp-607a-b2e7 Responder 6. Jose 16 octubre, 2019 a las 2:30 pm Firefox 69.0 Windows 7 Mozilla/5.0 (Windows NT 6.1; rv:69.0) Gecko/20100101 Firefox/69.0 Hola. Instale Sawmill en windows y lo he usado durante años pero de repente dejo de funcionar, me gustaria verificar con ustedes que es lo que tengo que poner exactamente en la seccion de configuracion del navegador «No usar proxy para» la verdad no recuerdo. Responder 7. Lester 28 noviembre, 2019 a las 3:31 pm Firefox 70.0 Windows 8.1 x64 Edition Mozilla/5.0 (Windows NT 6.3; Win64; x64; rv:70.0) Gecko/20100101 Firefox/70.0 buenas a todos soy nuevo usando sawmill y no se como darle la direccion pues tengo un servidor y tengo intalado el sawmill en otra pc y necesito darle la direccion del servidor para crear el perfi y que me genere desde ahy las bitacoras. Responder 8. dienteperro 7 febrero, 2020 a las 12:03 pm Firefox 72.0 Mac OS X 10.12 Mozilla/5.0 (Macintosh; Intel Mac OS X 10.12; rv:72.0) Gecko/20100101 Firefox/72.0 buen tuto, otra opción para los que usen proxmox hiperconvergente es escribir en cephfs. ademas creo que hay un paquete llamado autofs. abrazo Responder 9. dienteperro 7 febrero, 2020 a las 12:30 pm Firefox 72.0 Mac OS X 10.12 Mozilla/5.0 (Macintosh; Intel Mac OS X 10.12; rv:72.0) Gecko/20100101 Firefox/72.0 vuelvo, sobre autofs (https://packages.debian.org/buster/autofs) habría que probarlo, pero en teoría con este pudieran estar en el mismo host-pve todos los ct, pero… habría que declarar en el orden de inicio de los ct que el de sawmill sea último, para cuando arranque ya los otros estén operativos. con autofs no se monta hasta que no exista la necesidad del uso del mountpoint. se puede combinar con sshfs y usar el resto del tuto como se describe, solo agregar la parte de autofs. aquí les dejo un enlace http://www.tjansson.dk/2008/01/autofsand-sshfs-the-perfect-couple/ Responder 10. dienteperro 18 febrero, 2020 a las 4:36 pm Firefox 73.0 Mac OS X 10.12 Mozilla/5.0 (Macintosh; Intel Mac OS X 10.12; rv:73.0) Gecko/20100101 Firefox/73.0 Ahora vuelvo con lo de cephfs y me disculpo por volcar las ideas directo a los comentarios sin darles caldero antes… Lo primero es que no todos poseen el proxmox en modo hiperconvergente con ceph. Comprendo que esto demanda más recursos de hardware, así que es una solución que se limita más en cuanto a la cantidad de usuarios. No obstante, me gusta la idea de tener las cosas en Ceph por su redundancia y disponibilidad en el clúster. nodo=pve=host Si el almacenamiento que vamos a usar «radica en la red» es decir en Ceph en los hosts, da igual donde estan los ct y si algún host no está operativo, el cephfs está operativo y el host proxmox lo ve desde que se levanta el servicio de Ceph. Tengamos en cuenta que para este diseño se necesitan al menos 3 hosts Proxmox con Ceph. También es necesario crear un CephFS. Es ta secillo como crear un bindmount que radique en CephFS en uno cualquiera de los hosts: # mkdir /mnt/pve/ceph-fs/logs-para-sawmill Luego montamos esta carpeta como rw en el ct que escribe los logs (el contenedor deberá ser privileged o deberemos anteriormente asignar los permisos en un ct unprivileged), digamos que es el ct 100. # pct set 100 -mp1 /mnt/pve/ceph-fs/logs-para-sawmill,mp=/logs-para-sawmill Y en el ct que lee los logs lo montamos como solo lectura, este puede ser un ct unprivileged, digamos que es el 101: # pct set 101 -mp1 /mnt/pve/ceph-fs/logs-para-sawmill,mp=/logs-para-sawmill Esto no podremos hacerlo por la interfaz web, ya que por ella solo permite crear discos virtuales en el CephFS. Luego de reiniciar los ct, podrá ver el almacenamiento disponible. Desde mi punto de vista esta opción tiene la ventaja de: 1. Los logs estan en Ceph, es decir en todo el clúster Ceph con la redundancia y disponibilidad que ello implica. 2. No hay que tocar el fstab de un host 3. Los ct comparten los logs, no se duplica la info y se escribe donde se debe el otro solo lee. Bueno, es para probar, espero este comentario sea útil, soy ajeno a Sawmill. Responder 11. dienteperro 19 febrero, 2020 a las 3:45 pm Firefox 73.0 Mac OS X 10.12 Mozilla/5.0 (Macintosh; Intel Mac OS X 10.12; rv:73.0) Gecko/20100101 Firefox/73.0 Sigo dándole vueltas en mi cabeza al asunto de los ct accediendo a un almacenamiento compartido entre varios para los logs. Otra variante que pienso tendrá mejor rendimiento de iops es que los ct accedan a la red de Ceph directamente como clientes, para esto habría que habilitarles una interfaz de red en la red pública de Ceph. Los ct no tendrán ni osd, ni mds, ni mgr, solo acceden a escribir y leer como clientes. Pienso que así es una solución mejor que con bindmounts. De esta manera tendrán la redundancia y disponibilidad de ceph y de una manera limpia. Hay que revisar los requerimientos de recursos y probarlo, yo no lo he hecho. Abrazos Responder Dejar una contestacion Tu dirección de correo electrónico no será publicada. Comentario Nombre* Correo electrónico* Web Guarda mi nombre, correo electrónico y web en este navegador para la próxima vez que comente. Buscar: Socio Comunitario de LPI en CUBA Donar Please follow & like us :) Archivos Archivos Categorías Categorías Los mas valorados 5 (3) Monitoreo de métricas en tiempo real y con historial [2da Parte] 5 (4) Instalador y Repositorio de Zimbra Nacional Ubuntu 16.04 (Xenial) y 18.04 (bionic) 5 (9) MEGATUTORIAL Squid 5. Primera Parte. LOS MAS POPULARES Configurar UBIQUITI NanoStation M2(M5) para conectarse a WIFI_LENTA 3.6k vistas | por Lagarto Juancho TIPS – Crear un usuario con privilegios Root 1.6k vistas | por Armando Felipe Fuentes Denis DiGiBox un servidor de activación de Windows y Office. 1.6k vistas | por Alexander Rivas Alpizar TIPS – Configuracion de proxy para los servicios de linux 1.4k vistas | por Rafael L. Salgueiro TIPS- Buenas prácticas al instalar un Proxmox 1.3k vistas | por Alexander Rivas Alpizar Emby una manera diferente de ver películas y series 1.2k vistas | por Armando Felipe Fuentes Denis Configurando las interfaces de red en Debian 9 1.2k vistas | por Leslie León Sinclair Instalación de Kerio Control y configuracion básica. Primera Parte. 1.2k vistas | por Alexander Rivas Alpizar Instalación y configuración de Proxmox Mail Gateway 1k vistas | por Raysel Gonzalez Delgado Controlador de nivel de agua en tanque con sensor ultrasonico y Arduino. 0.9k vistas | por Alexander Rivas Alpizar Obten Servidor VPS Barato Contáctenos ArmandoF Alexminator