SysLoger Instrukcja obsługi maj 2015 dla wersji aplikacji 1.0.3.0 (wersja dokumentu 1.1) Strona 1 z 42
Spis treści: Wprowadzenie str. 3 Funkcjonalność str. 4 Wymagania str. 8 Instalacja str. 9 Konfiguracja i uruchomienie str. 13 Ograniczenia funkcjonalne w wersji demo str. 26 Przykładowe zrzuty ekranu z raportów str. 27 Wykaz załączników: Załącznik nr 1 - Instalacja poszczególnych programów: Apache, PHP, MySQL, PHP My Admin Strona 2 z 42
Wprowadzenie Program Sys Loger jest aplikacją działającą w systemie Windows. Podstawowym zadaniem programu jest: archiwizacja otrzymanych logów z urządzeń, analiza treści ujętych w logach według założonych filtrów (pułapek) oraz informowanie o ich wystąpieniu w sposób ciągły, wykrywanie ataków DDoS na podstawie ilości wpisów w czasie oraz wielkości logu pliku tekstowego, codzienne i miesięczne raportowanie według założonych filtrów, program dodatkowo umożliwia: na bieżąco analizować dostępność wskazanych urządzeń w sieci, zdalne sprawdzenie dostępności urządzeń, wykonanie automatycznych kopii konfiguracji z urządzeń sieciowych wraz z obsługa zdalnego repozytorium, Konfiguracja urządzeń nie jest elementem niniejszej instrukcji. Oprogramowanie SysLoger działa w tle jako usługi systemu Windows oraz aplikacji uruchamianej w postaci monitora (format okienkowy), która odpowiedzialna jest za bieżącą analizę otrzymywanych informacji i dalsze ostrzeganie. Dzięki bieżącej analizie oraz ostrzeganiu spełniony jest jeden z wymogów nowej rekomendacji D mówiący o konieczności ciągłego przeglądania zapisów jakie są rejestrowane na urządzeniach sieciowych. Strona 3 z 42
Funkcjonalność Moduły wchodzące w skład programu i ich funkcjonalności: 1. Monitor programu okno programu prezentujące otrzymywane logi z urządzeń. W celu działania niezbędne jest dokonanie konfiguracji oraz uruchomienie serwisów: a) Syslog Serwis, b) Nasłuch serwis Monitor dokonuje bieżącej analizy otrzymanej informacji. Możliwe jest zdefiniowanie praktycznie dowolnej pułapki na podstawie analizy otrzymanej treści. Udostępnione zostały w programie opcje wyjątków, opcje analizy ataków typu DDoS w tym floodowania (kontrolowana jest ilość w czasie) oraz inne opisane w części poświęconej konfiguracji. Zrzut ekranu monitora programu odpowiedzialnego za bieżącą analizę logów, umożliwia konfigurację programu. 2. Syslog serwis serwis systemu Windows odpowiedzialny za odbiór i archiwizację logów z urządzeń. Odbiór logów następuje domyślnie na porcie 514. Serwis przekazuje informacje na zdefiniowanym porcie do monitora programu (domyślny port do komunikacji to 10514). Logi mogą być zapisywane do plików tekstowych i/lub do bazy MySQL. Zalecanym formatem zapisu są plik tekstowe. 3. Raport serwis serwis systemu Windows odpowiedzialny za generowanie codziennych zbiorczych raportów i ich przesyłanie pocztą e-mail. 4. Ping serwis serwis systemu Windows odpowiedzialny za sprawdzanie łączności wybranych urządzeń w sieci. Brak łączności oraz jej przywrócenie jest przekazywane w postaci wiadomości e-mail. Jedna z funkcjonalności programu pozwala zdalnie sprawdzić łączność poprzez wysłanie z uprawnionego adresu e-mail odpowiednio przygotowanej wiadomości pocztowej. 5. Nasłuch serwis serwis systemu Windows odpowiedzialny za restart monitora oraz usług SysLoger a. Wymagane jest uruchomienie serwisu z zaznaczoną opcją resetu programu SysLoger usługa kontroluje wyłączenie monitora oraz pozostałych usług w minutowych Strona 4 z 42
odstępach czasu, w przypadku wyłączenia uruchamia monitor i usługi automatycznie. Dodatkowo o wskazanej godzinie dokonywany jest jeden pełen restart wszystkich zainstalowanych usług oraz monitora. Serwis nasłuchu odpowiedzialny jest ponadto za odbiór i wykonanie zdalnych poleceń wysyłanych z uprawnionych adresów e-mail (na przykład kontrola łączności za danym urządzeniem. 6. Konfig serwis serwis systemu Windows odpowiedzialny za automatyczne wykonanie kopii konfiguracji ze wskazanych urządzeń. Serwis działa wykonując zdalnie polecenia na urządzeniu których celem jest wykonanie kopii konfiguracji na serwer TFTP uruchamiany w usłudze. Serwis umożliwia wykonanie dodatkowej kopii konfiguracji na inny serwer plików. Funkcjonalności modułu Monitora: zapis logów do pliku tekstowego i/lub bazy MySQL, definiowanie numeru portu nasłuchu programu (globalnie dla wszystkich urządzeń), definiowanie ilości wpisów w oknie logu, bieżące monitorowanie i powiadamianie o przekroczeniu parametru granicznej wartości wolnego miejsca, wykrywanie ataków DDoS (floodowania) - monitoring wartości granicznej wielkości logu tekstowego, - monitoring ilości wpisów z urządzeń (dla każdego urządzenia prowadzony jest oddzielny monitoring ilości wpisów w czasie), definiowanie urządzeń od których otrzymywane są logi i dla których prowadzony jest monitoring: definiowanie opcji powiadamiania - dla kategorii (alert, critical, terror, warning, notise, info, debug), - dowolnego tekstu wykrytego w otrzymywanych logach jak na przykład: Multiple authentication failures have been detected! Admin user "netscreen" logged out Phase 2: Initiated negotiations. Phase 2 msg ID Received a notification Messager CATEGORY: Adult/Sexually Explicit Powyższe wpisy są przykładowe, możliwe jest wyszukiwanie dowolnego tekstu zarówno wskazującego: zagrożenia, logowania użytkowników administracyjnych czy pozostałych użytkowników, użycie danej kategorii webfilteringu, użycie dowolnego adresu IP, błędów Strona 5 z 42
występujących na urządzeniach. Konieczna jest stosowna konfiguracja urządzeń i wskazanie jakiego typu informacje mają być skierowane w logach do syslog a. definiowanie wykluczeń powiadomień na przykład w przypadku wykrycia ładowania obrazka podczas normalnego korzystania z sieci Internet (podajemy wówczas rozszerzenia plików, które ładowane mogą być na stronach jako dodatkowe reklamy), definiowanie warunkowych wykluczeń powiadomień wskazujemy wówczas ilość wystąpień w czasie dla danego adresu IP w celu wykluczenia powiadamiania pocztą e-mail o ich wystąpieniu. Powiadomienie nastąpi po przekroczeniu wartości granicznej, definiowanie listy webfilteringu oraz ustawianie dodatkowego monitorowania w przypadku wystąpienia, raportowanie według: - webfilteringu, - zdefiniowanych własnych klas sieci listę adresów należy zdefiniować w zakładce Własne klasy sieci, - zdefiniowanych zewnętrznych klas sieci listę adresów należy zdefiniować w zakładce Zewnętrzne klasy sieci, - typów wpisów (info, critical, alert, itd.), - aktualizacji czasu serwera NTP - wskazać należy jakich fraz w logach ma wyszukiwać program i które oznaczają wykonanie aktualizacji czasu na serwerze NTP każde urządzenie ma swoją specyfikę, lista ta jest listą zamknięta i standardowo wystarcza wpisanie słowa NTP, - zestawiania połączeń szyfrowanych (IKE) jak powyżej należy wskazać wyszukiwaną frazę, standardowo wystarcza wpisanie słowa IKE, listę adresów ujętych w raportowaniu należy zdefiniować w zakładce Adresy IP dla IKE, - logowań użytkowników w oknie zdefiniować należy listę (loginy) użytkowników którzy mają podlegać raportowaniu dodatkowa opcja prezentowania logów pozwoli dołączyć do raportu wpisy z logów z urządzeń. Zaznaczenie opcji prezentowania logów może spowodować znaczny przyrost wielkości raportu. Wykonanie raportu należy wskazań po przełamaniu dnia (po północy). System automatycznie przeanalizuje plik z poprzedniego dnia i wyśle rezultat. Raportowanie z dnia bieżącego możliwe jest po skopiowaniu pliku logu tekstowego zapis do logu tekstowego następuje w formie wyłączności przez jeden proces (usługę Syslog serwis). bieżące monitorowanie wraz z przesyłaniem powiadomień z wystąpienia wpisu w logu z danym adresem IP sieci własnej (zakładka: Adresy IP sieci własnej ) opcja pozwala Strona 6 z 42
monitorować na bieżąco wpisy umożliwiając administratorowi w łatwy sposób uzyskać informację z ruchu jaki jest generowany z danego zestawu komputerowego oraz podjąć stosowne działania (przydatny przy wyszukiwaniu wystąpienia niepożądanych blokad w ruchu sieciowym). Dodatkowo możliwe jest bezpośrednie przesłanie logów do użytkownika który je generuje opcja przydatna w przypadku wykrycia niestandardowego ruchu (używanie sieci Internet w celach prywatnych, otwieranie zakazanych stron), w łatwy sposób pozwala przypomnieć użytkownikowi o konieczności stosowania pewnych ustalonych zasad w organizacji. raportowanie na żądanie w monitorze dostępne są opcje wykonania raportów z pliku logu lub bazy MySQL: Raport z pliku logu tekstowego umożliwia przeszukanie logu tekstowego z dnia poprzedniego poprzez przeszukanie występowania dowolnego tekstu (wyszukiwanie frazy w tekście), występowania zakresu IP. Wyszukiwanie można wykonać dla wskazanego pliku oraz wskazanego zakresu dat. W ramach raportowania z plików tekstowych dostępne jest generowanie raportów w formie wykresu: - raport ilościowy braku dostępności urządzeń, - raport procentowy dostępności urządzeń, - raport kategorii (typów wpisów: info, critical, itd.), - raport kategorii w czasie (typów wpisów: info, critical, itd.), - raport webfilteringu. Raport z bazy MySQL podobnie jak poprzedni umożliwia przeszukiwać wpisy za podany okres. Wyszukiwać można występowania dowolnego tekstu (wyszukiwanie fraz), występowania wpisów dla zakresu adresów IP. Możliwe jest uzyskanie raportu na żądanie według ustalonych parametrów, wygenerowany zostanie raport w układzie podobnym jak w przypadku raportu generowanego automatycznie po przełamaniu dnia. Program pozwala wybrać jakie części mają zostać ujęte w raporcie. W zakresie dostępnych opcji możliwe jest uzyskanie wykresów: - kategorii (info, critical, itd.), - kategorii według urządzeń, - webfilteringu według urządzeń. Strona 7 z 42
Wymagania Wymagania sprzętowe: system operacyjny minimum MS Windows XP, komputer Core 2 Duo lub szybszy, pamięć ram minimum 1 GB, wolne miejsce na dysku twardym w zależności od ilości urządzeń oraz ich konfiguracji w zakresie przekazywanych informacji w logach. Sugerowane minimum 40GB. Sprawne wyszukiwanie logów, generowanie raportów wymaga zastosowania możliwie szybkiego sprzętu, zadeklarowania odpowiednich parametrów w przypadku wirtualizacji. Strona 8 z 42
Instalacja Instalacja podstawowa: Instalację programu przeprowadzamy wypakowując otrzymane archiwum w dowolnym miejscu na twardym dysku. Zalecane jest utworzenie bezpośrednio na danym dysku katalogu (na przykład sysloger) i wypakowania do niego zawartości archiwum. Po wypakowaniu do katalogu głównego z plikami należy wkopiować plik licencji. W katalogu z programem może znajdować się tylko jeden plik licencji. Plik licencji generowany jest każdorazowo dla nowej wersji oprogramowania. Po wypakowaniu oraz wgraniu pliku licencji konfigurację programu należy przeprowadzić uruchamiając monitor program: sys_loger.exe Wszystkie wykonywalne programy są napisane w strukturze 32 bitowej. Działają w środowisku 32 i 64 bitowym. Dodatkowe uruchomienie obsługi bazy MySQL. W celu uruchomienia dodatkowej obsługi bazy MySQL należy zainstalować środowisko bazodanowe. Możliwe jest zainstalowanie środowiska XAMPP w wersji 1.7.4 (bez obsługi VC9) z uruchomioną obsługą Apache oraz MySQL w trybie serwisu systemu Windows lub poszczególnych programów z osobna: Apache, PHP, MySQL, PHP My Admin. Instalacja poszczególnych programów: Apache, PHP, MySQL, PHP My Admin opisano w załączniku nr 1. Instalacja programu XAMPP nie wymaga dodatkowej instrukcji przy instalacji należy wskazać, aby instalator zainstalował usługę Apache oraz MySQL. W programie XAMPP występują utrudnienia konfiguracji użytkownika i hasła dla obsługi bazy MySQL z poziomu PHP My Admin, dlatego zalecane jest zainstalowanie dodatkowych programów: Apache, PHP, MySQL, PHP My Admin z osobna zgodnie z instrukcją opisaną w załączniku nr 1. Strona 9 z 42
Instalator środowiska XAMPP: xampp-win32_1.7.4.exe nie jest częścią dystrybucji oprogramowania. Po dokonaniu instalacji środowiska XAMPP lub poszczególnych programów Apache, PHP, MySQL, PHP My Admin należy zdefiniować użytkownika w bazie MySQL. Dokonujemy tego uruchamiając opcję PHP My Admin. Korzystając z programu XAMPP należy uruchomić przeglądarkę z parametrami środowiska XAMPP: Korzystając z drugiego rozwiązania (instalacji poszczególnych programów) należy uruchomić przeglądarkę podając parametry uruchomienia PHP My Admin w adresie przeglądarki, na przykład jak na poniższym ekranie: Po zalogowaniu do PHP My Admin dodajemy użytkownika dla połączenia z bazą danych wybierając host lokalny pole obok zostanie uzupełnione wpisem: localhost nadajemy wszystkie uprawnienia tzn. zaznaczamy wszystkie pola w obszarach: dane, struktura, administracja: Strona 10 z 42
Dla użytkownika należy bezwzględnie wprowadzić hasło. Po założeniu użytkownika uruchamiamy monitor programu: sys_loger.exe. W oknie programu wybieramy z menu Opcje. W zakładce Ogólne wybieramy drugą zakładkę Obsługa bazy MySQL. Podajemy: host bazy danych: localhost nazwę bazy danych: syslog nazwa użytkownika: <nazwa utworzonego użytkownika tutaj: super> hasło użytkownika baz danych Po podaniu danych wykonujemy test połączenia. Zakończenie testu komunikatem: Strona 11 z 42
oznacza, że użytkownik połączył się bazą danych MySQL. Należy utworzyć bazę danych syslog (podaną w opcjach). W tym celu wybieramy nie zmieniając zakładki opcję: Tworzenie bazy danych (dostępna na środku ekranu w sekcji Operacje na bazie danych MySQL). Po wybraniu system zakomunikuje, że będzie łączył się z obecną bazą: mysql akceptujemy naciskając OK., następnie akceptujemy zmianę połączenia z bazą na bazę mysql wybieramy Tak. Program potwierdzi połączenie z bazą mysql na serwerze localhost wybieramy OK. Na pytanie: Uwaga! Nastąpi tworzenie bazy syslog! Czy kontynuować? Wybieramy Tak. Program utworzy bazę danych syslog. W celu sprawdzenia utworzenia ponownie wybieramy opcję Test połączenia. Komunikat po lewej stronie oznacza istnienie bazy danych syslog. W kolejnym kroku wybieramy opcję: Utwórz tabele bazy danych program wyświetli komunikat o połączeniu z bazą danych oraz oczekiwał będzie potwierdzenia utworzenia tabel na pytanie: Czy utworzyć tabele bazy danych? Odpowiadamy Tak. Utworzenie tabel można sprawdzić z poziomu PHP My Admin. W przypadku uruchomienia obsługi baz danych wskazane jest sprawdzenie zapisu danych do bazy. Operację sprawdzenia można wykonać z poziomy PHP My Admin lub z poziomu przyrostu pliku bazodanowego. Katalog z plikami baz danych w środowisku XAMPP znajduje się najczęściej w podkatalogu \mysql\data\. W katalogu tym utworzony zostanie katalog z nazwą bazy danych dla syslog a (tutaj syslog) w którym znajdować będą się pliki bazodanowe: Zapis danych widoczny będzie po przyroście plików syslog (frm, MYD, MYI). Opcja Importuj dane z zapisanych logów w plikach tekstowych pozwala na uzupełnienie danych w bazie na podstawie logów tekstowych w dowolnej chwili. Strona 12 z 42
Konfiguracja i uruchomienie Konfigurację programu SysLoger przeprowadza się po wybraniu menu Opcje z monitora sys_loger.exe Zakładka Ogólne. W zakładce Ogólne ustawiamy: zapis logów do pliku tekstowego wskazując katalog z logami oraz stałą nazwę pliku z logami. Do stałej nazwy pliku dodana zostanie część z datą dnia logu, ilość wpisów w oknie logu monitora, numer portu dla serwisu syslog a ora numer porty dla monitora, sprawdzanie wolnego miejsca z krytyczną wartością kontrolną. W zakładce obsługa bazy danych MySQL ustawiamy parametry dla bazy danych MySQL (opcja omówiona została w części instalacja -> dodatkowe uruchomienie obsługi bazy danych mysql. W zakładce Wykrywanie ataków parametryzujemy: sprawdzanie granicznej wielkości logu tekstowego, sprawdzanie ilości wpisów z urządzeń. Opcje te mają na celu wykrywanie i informowanie o atakach typu DDoS jak floodowanie. Zakładka Logi programu pozwala sprawdzić wielkość logów, które są tworzone podczas pracy programu w podkatalogu: service_log. Strona 13 z 42
Zakładka Definicja urządzeń. W zakładce tej definiujemy listę urządzeń podając dodatkowe indywidualne cechy potrzebne do codziennego raportowania, tj.: webfilteringu, logowań użytkowników, własnych klas IP, zewnętrznych klas IP, IKE. Brak ustawienia raportowania indywidualnego przy urządzeniu oznaczać będzie jego pominięcie pomimo ustawienia parametrów ogólnych w zakładce: Raporty. Zakładka powiadomienia e-mail. W zakładce powiadomienia e-mail -> ogólne uruchamiamy powiadamianie o zaistniałych zdarzeniach konfigurując połączenia z serwerem pocztowym. Po zdefiniowaniu wykonujemy test wiadomości wybierając opcję Wyślij wiadomość testową. Otrzymanie wiadomości oznaczać będzie Strona 14 z 42
prawidłowość skonfigurowania połączenia z serwerem pocztowym. Ustawione w tej opcji parametry będą wykorzystywane w większości modułów w zakresie powiadamiania pocztą e-mail (chyba, że zostały zdefiniowane dodatkowe opcje). W zakładce powiadomienia e-mail -> opcje powiadamiania definiujemy w jakim zakresie monitor ma przysłać wiadomości e-mail. Zakładce tej możliwe jest ustawienie dowolnej pułapki poprzez przeszukiwanie logu. Frazy do wyszukania należy umieszczać w osobnych wierszach. Opuszczane są puste wiersze. W zakładce powiadomienia e-mail -> wykluczenia powiadomień ustawiamy frazy których wykrycie spowoduje zastosowanie wyjątku i nie będzie wysłany e-mail (opcja jest przydatna w przypadku wykrycia nazwy pliku z grafiką wpisujemy wówczas rozszerzenia plików na przykład:.jpg.bmp.tif W zakładce powiadomienia e-mail -> warunkowe wykluczenia powiadomień dla IP definiowane są adresy IP dla których ustalane są wyjątki na podstawie dodatkowych cech czyli ilości wystąpień w czasie. Przekroczenie warunku spowoduje wysłanie wiadomości e-mail. Strona 15 z 42
Zakładka webfiltering. W zakładce tej definiujemy webfiltering jaki jest stosowany na urządzeniu brzegowym (na styku z siecią Internet). Ustawiamy tutaj również automatyczne informowanie o jej wstąpieniu pocztą e- mail. Ustawienia webfilteringu są wykorzystywane przy generowaniu codziennych raportów, przypisanie raportu z webfilteringu do urządzenia dokonywane jest na etapie definiowania urządzenia w zakładce: Definicja urządzeń. Wyszukiwanie webfilteringu następuje poprzez wyszukiwanie opisów w logu. Lista webfilteringu jest najczęściej dostępna w konfiguracji urządzenia należy ją przepisać. Powyższa lista dotyczy urządzenia typu juniper. Warto na tej liście ująć również słowa kluczowe jak: allow, deny, permitted, blocked. Raportowanie po tych frazach dostarczy wiedzy na temat całkowitej ilości zablokowanego ruchu (deny, blocked) i zez wolonego (allow, permitted). Zakładka raporty. Strona 16 z 42
W zakładce tej definiujemy jakie elementy będą prezentowane w codziennym raporcie wykonywanym po przełamaniu dnia na podstawie informacji zapisanych w plikach tekstowych. Raporty generowane są w formacie html w tym samym katalogu co logi tekstowe. W zakresie raportu dostępne jest uruchomienie raportowania dla: webfilteringu, zdefiniowanych własnych klas sieci listę adresów należy zdefiniować w zakładce Własne klasy sieci, zdefiniowanych zewnętrznych klas sieci listę adresów należy zdefiniować w zakładce Zewnętrzne klasy sieci, typów wpisów (info, critical, alert, itd.), aktualizacji czasu serwera NTP - wskazać należy jakich fraz w logach ma wyszukiwać program i które oznaczają wykonanie aktualizacji czasu na serwerze NTP każde urządzenie ma swoją specyfikę, lista ta jest listą zamknięta i standardowo wystarcza wpisanie słowa NTP, zestawiania połączeń szyfrowanych (IKE) jak powyżej należy wskazać wyszukiwaną frazę, standardowo wystarcza wpisanie słowa IKE, listę adresów ujętych w raportowaniu należy zdefiniować w zakładce Adresy IP dla IKE, logowań użytkowników w oknie podać listę (loginy) użytkowników którzy mają podlegać raportowaniu dodatkowa opcja prezentowania logów pozwoli dołączyć do raportu wpisów z logów z urządzeń. Zaznaczenie opcji prezentowania logów może spowodować znaczny przyrost wielkości raportu. Zakładka adresy IP sieci własnej. Zakładka ta pozwala zdefiniować dodatkowy monitoring dla wskazanych adresów IP. Opcja wykorzystywana może być w przypadku konieczności uruchomienia specyficznego monitoringu w celu wykrycia przyczyny błędu w sieci, blokowania ruchu lub poinformowania użytkownika o fakcie Strona 17 z 42
wykonywania czynności niezgodnych z ustalonymi w organizacji (forma otrzymanej wiadomości e-mail na skrzynce użytkownika najczęściej powoduje zaprzestanie wykonywania czynności). Zakładka serwisy. SysLog serwis odpowiedzialny za odbieranie logów z urządzeń, zapis do plików tesktowych i/lub bazy MySQL oraz przekazanie do monitora. Podstawowy serwis programu. W pierwszej kolejności należy wykonać instalację serwisu, drugim krokiem jest uruchomienie serwisu. Monitor programu (sys_loger.exe) sprawdza i prezentuje działanie poszczególnych serwisów. Działanie syslog serwis jest dodatkowo prezentowane w postaci słownej na środku monitora. Raport Serwis systemu Windows odpowiedzialny za generowanie codziennych zbiorczych raportów i ich przesyłanie pocztą e-mail. Parametry dla poczty e-mail pobierane są z zakładki Powiadomienia e- mail. Strona 18 z 42
W zakładce tej definiujemy godzinę generowania raportu. Generowany jest zawsze raport za dzień poprzedni z uwag na wyłączny dostęp do pliku logu tekstowego przez serwis SysLog. Zaleca się ustawić godzinę generowania raportu po przełamaniu dnia, tj. w granicach godziny 01:00 w nocy (czas w sekundach jest pomijany). Raport generowany jest w postaci pliku html, dołączany jest do przekazywanej wiadomości e-mail. Ping Serwis systemu Windows odpowiedzialny za sprawdzanie łączności wybranych urządzeń w sieci. Brak łączności oraz jej przywrócenie jest przekazywane w postaci wiadomości e-mail. W ramach opcji dostępne jest ustawienie: częstotliwości wykonania, częstotliwości wykonania raportu szczegółowego (format raportu definiowany jest w sekcji: Rodzaj raportu szczegółowego ) raport polegający na cyklicznym informowaniu o stanie poszczególnych połączeń do urządzeń (zaleca się ustawienie częstotliwości tak aby raport był generowany nie częściej niż co 3 godziny), ilości prób przypadających na jednego hosta (próbkowanie hostów), ilości prób krytycznych osiągnięcie wartości w ramach próbkowania hosta spowoduje wysłanie wiadomości e-mail z ostrzeżeniem. Serwis w ramach działania pamięta pierwszy brak wystąpienia łączności, informacja o braku łączności jest wysyłana tylko za pierwszym razem. Wiadomość o przywróceniu łączności wysyłana jest po wykryciu prawidłowego połączenia. Parametrem sterującym jest opcja definiowana w sekcji Wysyłaj info o błędzie. Strona 19 z 42
W zakładce powiadomienia uruchamiana jest wysyłka powiadomień, definiowany jest sposób połączenia z serwerem pocztowym oraz wysyłki wiadomości e-mail. Opcja jest konfigurowana niezależnie od opcji Powiadamiania e-mail ustawianych dla monitora programu. /ekran konfigurowania powiadomień dla serwisu ping/ Lista hostów definiowana jest niezależnie od definicji urządzeń, które przesyłają logi do Sys Loger a. Poniższy ekran prezentuje możliwe ustawienia: Program pozwala skonfigurować testowanie połączenia dla każdego urządzenia w ramach osobnych harmonogramów (dni tygodnia, godziny), możliwe jest ustawienie wartości granicznej opóźnienia. Wartość opóźnienia jest w ramach testu wydłużana w celu sprawdzenia łączności w sytuacjach znacznego obciążenia sieci. Istnieje możliwość zdalnego sprawdzenia połączenia poprzez wysłanie z uprawnionego adresu e-mail odpowiednio przygotowanej wiadomości. Obsługę tego procesu wykonuje serwis nasłuchu. Strona 20 z 42
Nasłuch Serwis systemu Windows odpowiedzialny za restart serwisów SysLoger a oraz restart okna monitora. Restart wykonywany jest po zaznaczeniu opcji Resetuj program SysLoger o godzinie: Wymagane jest zaznaczenie opcji resetu. Resetowane są serwisy programu SysLoger o wskazanej godzinie (sekundy są pomijane) zwiększając niezawodność działania. Opcja sprawdza również działanie monitora i pozostałych serwisów SysLoger a w przypadku ich zatrzymania w cyklach co minutę podejmowana jest próba ich ponownego uruchomienia. Definiowany jest dla tego serwis niezależny sposób komunikacji z serwerem pocztowym. W zakładce Uprawnione adresy e-mail definiowana jest lista adresów e-mail z których zezwolone jest zdalne odpytanie programu o łączność z danym adresem IP. Dostępne polecenia są wymienione w zakładce Polecenia. Strona 21 z 42
Kopia konfiguracji Serwis systemu Windows odpowiedzialny za automatyczne wykonanie kopii konfiguracji ze wskazanych urządzeń. Serwis działa wykonując zdalnie polecenia na urządzeniu których celem jest wykonanie kopii konfiguracji na serwer TFTP uruchamiany w usłudze. Serwis umożliwia wykonanie dodatkowej kopii konfiguracji na inny serwer plików. W ramach działania serwisu niezbędne jest umieszczenie programu plink.exe w katalogu głównym programu. Po dodaniu urządzenia niezbędne jest wykonanie jednego połączenia z wiersza poleceń z danym hostem w celu zapamiętania klucza sesji SSH. Lista hostów definiowana jest w sposób niezależny od definicji urządzeń przekazujących logi syslog a, niezależne są też parametry ustawienia dla serwera pocztowego oraz wiadomości e-mail. Parametry połączenia oraz polecenie wsadowe ustawiane jest w zakładce Parametry hosta. Ustawia się tam wykonanie na danego hosta. Podaje się użytkownika oraz hasło do połączenia (informacje są zapisane w sposób zaszyfrowany). Możliwe jest wykonanie połączenia testowego z urządzeniem. Strona 22 z 42
Poniższy ekran prezentuje opcje konfiguracyjne: Przykładowe polecenie dla wykonania kopii z urządzenia juniper: save config to tftp <adres ip zestawu z syslogiem> <nazwa archiwum> exit <pusty wiersz> lub wskazując dokładnie jakim portem ma być wysłany plik z konfiguracją: lub save config to tftp <adres ip zestawu z syslogiem> <nazwa archiwum> from trust exit <pusty wiersz> save config to tftp <adres ip zestawu z syslogiem> <nazwa archiwum> from eth0/1 exit <pusty wiersz> Dla urządzenia Cisco przykładowe polecenie wyglądać może: ena <hasło dla trybu enabled> copy running-config tftp: <adres ip zestawu z syslogiem> <nazwa archiwum> exit exit <pusty wiersz> W przypadku polecenia dla wsadu wszelkie informacje zapisywane są w sposób jawny dla przykładu urządzenia Cisco hasło dla trybu enabled nie będzie zakodowane. Strona 23 z 42
Serwis umożliwia wykonanie dodatkowej kopii otrzymanej konfiguracji z urządzeń na serwer FTP. W zakładce Dodatkowe repozytorium istnieje możliwość uruchomienia i skonfigurowania usługi. Dodatkowe repozytorium zwiększa bezpieczeństwo kopii konfiguracji. Strona 24 z 42
Uruchomienie. Uruchomienie programu polega na zainstalowaniu i uruchomieniu poszczególnych usług. Uruchomienia można dokonać z głównego okna monitora lub po wejściu w Opcje programu. Stan pracy serwisów jest prezentowany w głównym oknie programu. Minimalna wymagana ilość uruchomionych serwisów: syslog serwis odpowiedzialny za archiwizację logów, nasłuch serwis odpowiedzialny za nadzór uruchomienia monitora oraz pozostałych serwisów programu SysLoger, w tym codzienny restart o wskazanej godzinie. W przypadku uruchomienia serwisu nasłuchu okno monitora powinno zostać automatycznie uruchamiane w ciągu jednej minuty po jego zamknięciu. Okno monitora jest odpowiedzialne za analizę logów i informowanie o zdarzeniach. W celu wykonania analizy musi być zalogowana sesja w systemie Windows oraz uruchomiony monitor programu: Strona 25 z 42
Ograniczenia funkcjonalne w wersji demo. W przypadku braku klucza licencji program sysloger będzie można przetestować w poniedziałek i wtorek. W pozostałe dni tygodnia obowiązywać będą ograniczenia funkcjonalne polegające na: braku zapisu otrzymywanych informacji do logów, braku bieżącej analizy logów, zamianie otrzymanej treści logu na informację o wersji demonstracyjnej. Strona 26 z 42
Raport codzienny wysyłany pocztą e-mail: Przykładowe zrzuty ekranu z raportów Strona 27 z 42
Raport z bazy MySQL: Strona 28 z 42
Raport z logów tekstowych: Strona 29 z 42
Strona 30 z 42
Strona 31 z 42
Załącznik nr 1 Instalacja poszczególnych programów: Apache, PHP, MySQL, PHP My Admin Instalacja Apache/PHP/MySQL/PHP My Admin 1. Instalacja MySQL a) Uruchomienie programu instalacyjnego: mysql-essential-5.0.24a-win32 b) W oknie jak poniżej wybieramy Next c) Wybieramy opcję instalacji: custom Strona 32 z 42
d) W oknie instalacyjnym Custom zmieniamy katalog instalacyjny na c:\mysql e) Wybieramy opcję Next i w kolejnym oknie Install Strona 33 z 42
f) Po zakończeniu instalacji pomijamy rejestrację wybierając Skin Sign-Up g) Zaznaczmy opcję Configure the MySQL Server now h) W kolejnych oknach pozostawiamy ustawienia domyślne: Strona 34 z 42
Jak na poniższych ekranach: Strona 35 z 42
Strona 36 z 42
W oknie z domyślnymi znakami warto dokonać zmiany na Best Support For Multilingualism: i) W ostatnim oknie wybieramy Install As Windows Service oraz Include Bin Directory in Windows PATH Strona 37 z 42
j) W kolejnym oknie Modify Security Settings podajemy hasło dla użytkownika root bazy MySQL W przypadku dostępu zdalnego zaznaczamy dodatkowo opcję: Enable root access from remote machines k) W ostatnim oknie następuje potwierdzenie wybranych opcji: Strona 38 z 42
2. Instalacja serwera Apache a) Uruchamiamy plik instalacyjny: apache_2.0.59-win32-x86-no_ssl b) W oknie server information podajemy nazwę domeny, nazwę serwera, adres e-mail administratora c) Wszystkie pozostałe opcje pozostawiamy bez zmian. 3. Instalacja PHP a) Wypakować archiwum: php-5.2.10-win32 do katalogu c:\php b) Przekopiować plik c:\php\php.ini-recomended do folderu c:\windows i zmienić nazwę na php.ini (C:\Windows\php.ini) c) Na końcu pliku konfiguracyjnego serwera Apache (tj. conf/httpd.conf) dodać wpisy: LoadModule php5_module "c:/php/php5apache2.dll" AddType application/x-httpd-php.php PHPIniDir "C:/windows" Ścieżka do pliku conf C:\Program Files (x86)\apache Group\Apache2\conf d) Wykonujemy restart serwera apache korzystając z ikony w tray u Lub przy pomocy opcji Start -> programy -> Apache http Server 2.0.59 -> Control Apache Server ->Restart e) Sprawdzamy poprawność instalacji PHP: - w katalogu: C:\Program Files (x86)\apache Group\Apache2\htdocs umieszczamy plik phpinfo.php zawierający: Strona 39 z 42
<?php phpinfo();?> - w przeglądarce wpisujemy http:\\localhost\phpinfo.php po akceptacji (Enter) powinniśmy zobaczyć ekran: 4. Instalacja obsługi MySQL w PHP a) W pliku php.ini wprowadzamy zmiany extension_dir = "c:/php/ext" extension=php_mysql.dll extension=php_mysqli.dll Pierwsze dwa wpisy powinny być już pliku należy je zmodyfikować, w pliku powinny być wpisy: extension_dir = "./" tutaj zmiana na "c:/php/ext" ; extension=php_mysql.dll tutaj usuwamy znak średnik ; na początku Strona 40 z 42
ostatni wiersz extension=php_mysqli.dll należy wprowadzić w całości (lub jeżeli istnieje usunąć znak średnika). b) Wykonujemy restart serwera apache i sprawdzamy poprawność wprowadzonych zmian wywołując ponownie w przeglądarce http:\\localhost\phpinfo.php - prawidłowość widoczna będzie jeżeli odnajdziemy sekcję mysql i mysqli. 5. Instalacja PHP My Admin a) W katalogu C:\Program Files (x86)\apache Group\Apache2\htdocs tworzymy katalog phpmyqdmin b) Wypakowujemy zawartość archiwum phpmyadmin-3.5.0-all-languages do katalogu htdocs (opisanego powyżej) c) W pliku \librares\config.default.php wprowadzamy hasło administratora serwera SQL (hasło dla root podanego przy instalacji MySQL a) sekcja: $cfg['servers'][$i]['password'] = 'haslo'; Strona 41 z 42
d) Sprawdzamy poprawność instalacji wpisując w przeglądarce http:\\localhost\phpmyadmin\index.php i akceptując (enter) przeglądarka powinna wyświetlić ekran umożliwiający zalogowanie na koncie root sprawdzamy poprawność logowania. Strona 42 z 42