Add to collection(s) Add to saved
  1. No category
Uploaded by pitufalovet95

sawmill

advertisement 
Sawmill es un paquete de software para el análisis estadístico y el informe de archivos
de registro (logs), con filtrado contextual dinámico, zoom de datos «en vivo»,
personalización de la interfaz de usuario e informes calculados personalizados. Sawmill
brinda soporte para aproximadamente 850 formatos de archivo de registro del servidor.
Por lo que debido a su versatilidad cada sysadmins debería tenerlo instalado para revisar
los logs de su infra. En este corto tutorial les mostrare como hacerlo.
Utilizare como herramienta de virtualización Proxmox. Crearemos un contenedor con
Ubuntu o Debian como OS.
CPU: 1 core
RAM: 2GB (Sawmill recomienda 2 Gb de RAM por nucleo)
SWAP: 4Gb
HDD: 8GB (Si se necesita mas, luego se puede agregar)
Actualizamos nuestro CT:
apt update
apt upgrade
1 apt update
2 apt upgrade
Descargamos la última versión del Sawmill de aqui. Yo descargue la versión para
debian.
La descompactamos donde más acomode, en mi caso en /opt
tar -xvf saw mill8.7.9.4_x64_linu
1 tar -xvf sawmill8.7.9.4_x64_linux-debian8.tar.gz
Nos creara la carpeta sawmill. Dentro encontraremos el binario ejecutable de sawmill y
las carpetas:


LogAnalysisInfo (Web del Sawmill)
Extras ( Utilidades extras)
Podemos correr el binario para acceder a nuestro Sawmill
root@logs:~# cd /opt/saw mill/
root@logs:/opt/saw mill# ./saw m
1 root@logs:~# cd /opt/sawmill/
2 root@logs:/opt/sawmill# ./sawmill
Ya podemos acceder a su web usando el siguiente link http://ip_sawmill:8988/
NOTA: El software Sawmill es de pago, por lo tanto, tendrán un periodo de 30 días de
evaluación. Este Blog no da soporte a la piratería, así que no pidan como registrar el
software.
Una vez allí configuramos nuestro usuario con derechos de administrador, el idioma, el
correo y otras características mas. Ahora les mostrare gracias a Luis Felipe Domínguez
Vega (AKA @H3R3T1C) como hacer que nuestro Sawmill inicié junto con nuestro
CT. Para ello creamos un servicio llamado sawmill.
cd /etc/systemd/system/
nano saw mill.service
Dentro ponemos lo siguiente:
1 cd /etc/systemd/system/
2 nano sawmill.service
3
4 Dentro ponemos lo siguiente:
5
6 [Unit]
7 Description=Sawmill Log
8 After=network-online.target
9 [Service]
10 #User=sawmill # Sawmill must have an user
11 Type=simple
12 ExecStart=/opt/sawmill/sawmill
13 TimeoutSec=30
14 Restart=on-failure
15 RestartSec=30
16 StartLimitInterval=350
17 StartLimitBurst=10
18
19 [Install]
20 WantedBy=network-online.target
Activamos e inciamos el servicio
systemctl enable saw mill
systemctl start saw mill
1 systemctl enable sawmill
2 systemctl start sawmill
Una vez, ya arrancada nuestra web y con inicio automático solo nos queda un problema
por superar. ¿Como hacer que Sawmill vea los logs de los sistemas que queremos
analizar? En Sawmill se crean perfiles por cada conjunto de logs que queremos analizar.
Tenemos que especificarle al Sawmill de donde leerá los registros (logs).
De las opciones que nos brinda, la que vi más razonable, segura y precisa es leer los
registro desde el disco local. Las otras opciones constituyen más engorrosas ya que
tendríamos que tener esos servicios en nuestra red y los registros centralizados en ellos.
¿Pero cómo hacer que Sawmill encuentre los logs en su propio disco sin tener que
copiárselos?
La pregunta a esa interrogante está en el título de este tutorial. Sencillamente
compartiremos con Sawmill los recursos (logs) que queremos analizar usando para ello
SSHFS
Como el sawmill está instalado en un contendor de Proxmox y SSHFS usa FUSE
entonces no es conveniente instalar SSHFS en el CT de Proxmox. Usaremos SSHFS en
nuestro Proxmox para montar los recursos (logs). Posteriormente a través de un Mount
Point (punto de montaje) compartiremos este recurso con el CT del Sawmill. La
siguiente figura es un esquema de lo que haremos.
En nuestro Proxmox 2 (el que aloja al sawmill) instalaremos SSHFS
apt install sshfs
1 apt install sshfs
Crearemos las carpetas qu contendran los logs.
cd /mnt
mkdir logs
cd /logs
mkdir squid mail
1 cd /mnt
2 mkdir logs
3 cd /logs
4 mkdir squid mail
Montaremos los recursos.
sshfs -o allow _other root@ip_p
The authenticity of host 'ip_prox
ECDSA key fingerprint is SHA25
Are you sure you w ant to conti
1
sshfs -o allow_other root@ip_proxy:/var/log/squid3/ /mnt/logs/squid/
2
The authenticity of host 'ip_proxy (ip_proxy)' can't be established.
3
4 ECDSA key fingerprint is
5 SHA256:rAs+biL5GkEf5lmrmePOry9XWYLoNUy6wEva4kgs6HM.
6 Are you sure you want to continue connecting (yes/no)? yes
7 root@10.122.193.3's password:
(establecer la clave root del proxy)
8
9 sshfs -o allow_other root@ip_mail:/var/log/ /mnt/logs/mail/
10 The authenticity of host 'ip_mail (ip_mail)' can't be established.
11 ECDSA key fingerprint is
SHA256:raupX9Uls57p55cjuIUb0wMJMEFuRhgX0imwA189JXQ.
Are you sure you want to continue connecting (yes/no)? yes
root@10.122.193.225's password: (establecer la clave root de mail)
Ya podemos ver nuestros logs montados en las carpetas /mnt/logs/squid y
/mnt/logs/mail . Hagamos que el montaje sea automático cada vez que se inicie nuestro
Proxmox.
nano /etc/fstab
###Agregamos lo siguiente
sshfs#root@ip_proxy:/var/log/s
ssfhs#root@ip_mail:/var/log/ /m
1 nano /etc/fstab
2 ###Agregamos lo siguiente
3 sshfs#root@ip_proxy:/var/log/squid3/ /mnt/logs/squid/
4 ssfhs#root@ip_mail:/var/log/ /mnt/logs/mail/
NOTA:Importantísimo hacer destacar que los CT a los cuales les estamos haciendo
el montaje de los logs NO están situados en el mismo Proxmox donde se encuentra
el sawmill. Al estar el punto de montaje en el fstab si el Proxmox 2 (el que tiene
alojado el sawmill) en el arranque no ve los CT levantados (mail y proxy) en el otro
Proxmox 1 entonces no levantara. Más adelante pensare en otra solución que no
involucre el fstab para correr el sshfs.
Hagamos que la conexión sea sin usar la clave root de los CT. Desde nuestro Proxmox
lanzamos el comando ssh-copy-id
root@pve1:~# ssh-copy-id root
/usr/bin/ssh-copy-id: INFO: Sou
/usr/bin/ssh-copy-id: INFO: attem
/usr/bin/ssh-copy-id: INFO: 1 ke
1
2
3
4
5
6
7
8
root@pve1:~# ssh-copy-id root@ip_proxy
/usr/bin/ssh-copy-id: INFO: Source of key(s) to be installed: "/root/.ssh/id_rsa.pub"
/usr/bin/ssh-copy-id: INFO: attempting to log in with the new key(s), to filter out
any that are already installed
/usr/bin/ssh-copy-id: INFO: 1 key(s) remain to be installed -- if you are prompted
now it is to install the new keys
root@ip_proxy's password:
9 Number of key(s) added: 1
10
11 Now try logging into the machine, with: "ssh 'root@ip_proxy'"
12 and check to make sure that only the key(s) you wanted were added.
13
14 root@pve1:~# ssh-copy-id root@ip_mail
15 /usr/bin/ssh-copy-id: INFO: Source of key(s) to be installed: "/root/.ssh/id_rsa.pub"
16 /usr/bin/ssh-copy-id: INFO: attempting to log in with the new key(s), to filter out
17 any that are already installed
18 /usr/bin/ssh-copy-id: INFO: 1 key(s) remain to be installed -- if you are prompted
19 now it is to install the new keys
20 root@ip_mail's password:
21
Number of key(s) added: 1
Now try logging into the machine, with: "ssh 'root@ip_mail'"
and check to make sure that only the key(s) you wanted were added.
En el CT de Sawmill crearemos las carpetas que montaran los recursos. Yo cree las
carpetas mail y squid en el siguiente camino /var/log ustedes pueden ubicarlas donde
deseen. Ahora pararemos el CT de Sawmill para crearle los puntos de montaje.
nano /etc/pve/nodes/<nombre d
###Agregamos lo siguiente
mp0: /mnt/logs/squid/,mp=/var/lo
1 nano /etc/pve/nodes/<nombre del nodo>/lxc/ct_id_sawmill.conf
2 ###Agregamos lo siguiente
3
4 mp0: /mnt/logs/squid/,mp=/var/log/squid/
5 mp1: /mnt/logs/mail/,mp=/var/log/mail/
Iniciamos nuestro Sawmill y ya por fin dentro veremos los logs de los CT mail y squid .
Ahora crearemos el perfil para analizar los logs de Squid.
Los dejo con una imagen del Sawmill en accion.
¿De cuánta utilidad te ha parecido este contenido?
¡Haz clic en una estrella para puntuar!





Promedio de puntuación 4 / 5. Recuento de votos: 4
Please follow and like us:


CiberSeguridad
SawMill
Sobre Alexander Rivas Alpizar 52 artículos
Administrador de Redes EMPRESTUR Cienfuegos
11 comentarios
1.
Pavel Milanes (CO7WT)
24 mayo, 2018 a las 10:47 am
Firefox 59.0
Ubuntu x64
Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:59.0) Gecko/20100101 Firefox/59.0
Hum…
A mi me gusta más la variante de que los CT tiren sys logs por rsyslog a un
server de logs y este server entonces tenga el sawmill…
Buen tema pra un putorial… dejame buscar a ver si no inventé el agua tivia…
Responder
2.
Rafael L. Salgueiro
28 mayo, 2018 a las 12:22 pm
Firefox 60.0
Windows 10 x64 Edition
Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:60.0) Gecko/20100101 Firefox/60.0
Muy buen articulo ya tengo el mio funcionando, para ubuntu no sirve la variante
da problema por una libreria de mysql al menos en la version 18.04
tengo 2 cosas que agregar es decir 2 cosas que pueden mejorar el articulo,
incluir la carpeta destino a la hora de extraer con la opcion -C quedaria:
tar -C /opt/ -xvf sawmill8.7.9.4_x64_linux-debian8.tar.gz
Apagar y encender el CT(VMID 100) con los comandos desde la consola de
proxmox
pct stop 100
Despues de agregar los ptos de montaje
pct start 100
Responder
3.
Irleider
29 octubre, 2018 a las 12:22 pm
Google Chrome 70.0.3538.77
Windows 10 x64 Edition
Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko)
Chrome/70.0.3538.77 Safari/537.36
Clave del producto Sawmill8.7.9.4
enterprise-unlimited-perp-5373-0b04
enterprise-unlimited-perp-8830-4411
enterprise-unlimited-perp-2098-ad54
enterprise-unlimited-perp-6488-87f3
enterprise-unlimited-perp-3566-4b83
Responder
4.
elizabeth perez herrera
4 enero, 2019 a las 9:43 am
Firefox 52.0
GNU/Linux x64
Mozilla/5.0 (X11; Linux x86_64; rv:52.0) Gecko/20100101 Firefox/52.0
bueno instale el sawmill perfectamente en mi pc de trabajo y lo levante la primer
vez, luego cerre seccion y vuelvo a solicitar el sawmill desde la web y no levanta
… que me puede estar pasando, tengo la pc en debian 9.
saludos, gracias.
Responder
5.
Adrian Rodriguez
3 octubre, 2019 a las 12:24 pm
Firefox 69.0
Windows 10 x64 Edition
Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:69.0) Gecko/20100101 Firefox/69.0
Sawmill 8.8.0.1 Serial :
enterprise-unlimited-perp-d514-cc25
enterprise-unlimited-perp-607a-b2e7
Responder
6.
Jose
16 octubre, 2019 a las 2:30 pm
Firefox 69.0
Windows 7
Mozilla/5.0 (Windows NT 6.1; rv:69.0) Gecko/20100101 Firefox/69.0
Hola.
Instale Sawmill en windows y lo he usado durante años pero de repente dejo de
funcionar, me gustaria verificar con ustedes que es lo que tengo que poner
exactamente en la seccion de configuracion del navegador «No usar proxy para»
la verdad no recuerdo.
Responder
7.
Lester
28 noviembre, 2019 a las 3:31 pm
Firefox 70.0
Windows 8.1 x64 Edition
Mozilla/5.0 (Windows NT 6.3; Win64; x64; rv:70.0) Gecko/20100101 Firefox/70.0
buenas a todos soy nuevo usando sawmill y no se como darle la direccion pues
tengo un servidor y tengo intalado el sawmill en otra pc y necesito darle la
direccion del servidor para crear el perfi y que me genere desde ahy las
bitacoras.
Responder
8.
dienteperro
7 febrero, 2020 a las 12:03 pm
Firefox 72.0
Mac OS X 10.12
Mozilla/5.0 (Macintosh; Intel Mac OS X 10.12; rv:72.0) Gecko/20100101 Firefox/72.0
buen tuto, otra opción para los que usen proxmox hiperconvergente es escribir
en cephfs. ademas creo que hay un paquete llamado autofs. abrazo
Responder
9.
dienteperro
7 febrero, 2020 a las 12:30 pm
Firefox 72.0
Mac OS X 10.12
Mozilla/5.0 (Macintosh; Intel Mac OS X 10.12; rv:72.0) Gecko/20100101 Firefox/72.0
vuelvo, sobre autofs (https://packages.debian.org/buster/autofs) habría que
probarlo, pero en teoría con este pudieran estar en el mismo host-pve todos los
ct, pero… habría que declarar en el orden de inicio de los ct que el de sawmill
sea último, para cuando arranque ya los otros estén operativos. con autofs no se
monta hasta que no exista la necesidad del uso del mountpoint. se puede
combinar con sshfs y usar el resto del tuto como se describe, solo agregar la
parte de autofs. aquí les dejo un enlace http://www.tjansson.dk/2008/01/autofsand-sshfs-the-perfect-couple/
Responder
10.
dienteperro
18 febrero, 2020 a las 4:36 pm
Firefox 73.0
Mac OS X 10.12
Mozilla/5.0 (Macintosh; Intel Mac OS X 10.12; rv:73.0) Gecko/20100101 Firefox/73.0
Ahora vuelvo con lo de cephfs y me disculpo por volcar las ideas directo a los
comentarios sin darles caldero antes…
Lo primero es que no todos poseen el proxmox en modo hiperconvergente con
ceph. Comprendo que esto demanda más recursos de hardware, así que es una
solución que se limita más en cuanto a la cantidad de usuarios. No obstante, me
gusta la idea de tener las cosas en Ceph por su redundancia y disponibilidad en
el clúster.
nodo=pve=host
Si el almacenamiento que vamos a usar «radica en la red» es decir en Ceph en
los hosts, da igual donde estan los ct y si algún host no está operativo, el cephfs
está operativo y el host proxmox lo ve desde que se levanta el servicio de Ceph.
Tengamos en cuenta que para este diseño se necesitan al menos 3 hosts Proxmox
con Ceph. También es necesario crear un CephFS.
Es ta secillo como crear un bindmount que radique en CephFS en uno cualquiera
de los hosts:
# mkdir /mnt/pve/ceph-fs/logs-para-sawmill
Luego montamos esta carpeta como rw en el ct que escribe los logs (el
contenedor deberá ser privileged o deberemos anteriormente asignar los
permisos en un ct unprivileged), digamos que es el ct 100.
# pct set 100 -mp1 /mnt/pve/ceph-fs/logs-para-sawmill,mp=/logs-para-sawmill
Y en el ct que lee los logs lo montamos como solo lectura, este puede ser un ct
unprivileged, digamos que es el 101:
# pct set 101 -mp1 /mnt/pve/ceph-fs/logs-para-sawmill,mp=/logs-para-sawmill
Esto no podremos hacerlo por la interfaz web, ya que por ella solo permite crear
discos virtuales en el CephFS.
Luego de reiniciar los ct, podrá ver el almacenamiento disponible. Desde mi
punto de vista esta opción tiene la ventaja de:
1. Los logs estan en Ceph, es decir en todo el clúster Ceph con la redundancia y
disponibilidad que ello implica.
2. No hay que tocar el fstab de un host
3. Los ct comparten los logs, no se duplica la info y se escribe donde se debe el
otro solo lee.
Bueno, es para probar, espero este comentario sea útil, soy ajeno a Sawmill.
Responder
11.
dienteperro
19 febrero, 2020 a las 3:45 pm
Firefox 73.0
Mac OS X 10.12
Mozilla/5.0 (Macintosh; Intel Mac OS X 10.12; rv:73.0) Gecko/20100101 Firefox/73.0
Sigo dándole vueltas en mi cabeza al asunto de los ct accediendo a un
almacenamiento compartido entre varios para los logs. Otra variante que pienso
tendrá mejor rendimiento de iops es que los ct accedan a la red de Ceph
directamente como clientes, para esto habría que habilitarles una interfaz de red
en la red pública de Ceph. Los ct no tendrán ni osd, ni mds, ni mgr, solo acceden
a escribir y leer como clientes. Pienso que así es una solución mejor que con
bindmounts. De esta manera tendrán la redundancia y disponibilidad de ceph y
de una manera limpia. Hay que revisar los requerimientos de recursos y
probarlo, yo no lo he hecho. Abrazos
Responder
Dejar una contestacion
Tu dirección de correo electrónico no será publicada.
Comentario
Nombre*
Correo electrónico*
Web
Guarda mi nombre, correo electrónico y web en este navegador para la próxima vez
que comente.
Buscar:
Socio Comunitario de LPI en CUBA
Donar
Please follow & like us :)
Archivos
Archivos
Categorías
Categorías
Los mas valorados
5 (3)
Monitoreo de métricas en tiempo real y con historial [2da Parte]
5 (4)
Instalador y Repositorio de Zimbra Nacional Ubuntu 16.04 (Xenial) y 18.04 (bionic)
5 (9)
MEGATUTORIAL Squid 5. Primera Parte.
LOS MAS POPULARES










Configurar UBIQUITI NanoStation M2(M5) para conectarse a WIFI_LENTA
3.6k vistas | por Lagarto Juancho
TIPS – Crear un usuario con privilegios Root 1.6k vistas | por Armando Felipe
Fuentes Denis
DiGiBox un servidor de activación de Windows y Office. 1.6k vistas | por
Alexander Rivas Alpizar
TIPS – Configuracion de proxy para los servicios de linux 1.4k vistas | por
Rafael L. Salgueiro
TIPS- Buenas prácticas al instalar un Proxmox 1.3k vistas | por Alexander Rivas
Alpizar
Emby una manera diferente de ver películas y series 1.2k vistas | por Armando
Felipe Fuentes Denis
Configurando las interfaces de red en Debian 9 1.2k vistas | por Leslie León
Sinclair
Instalación de Kerio Control y configuracion básica. Primera Parte. 1.2k vistas |
por Alexander Rivas Alpizar
Instalación y configuración de Proxmox Mail Gateway 1k vistas | por Raysel
Gonzalez Delgado
Controlador de nivel de agua en tanque con sensor ultrasonico y Arduino. 0.9k
vistas | por Alexander Rivas Alpizar
Obten Servidor VPS Barato
Contáctenos


ArmandoF
Alexminator
Related documents
Respuesta del tejido periapical de ratas al endo
Respuesta del tejido periapical de ratas al endo
Download
advertisement