Installation et Configuration VIGILOG

Recupérer la distribution

http://www.ensmp.fr/CC/vigilog/vigilog.tar.gz

Installation rapide :

   gunzip -c vigilog.tar.gz | tar xvf -
   cd vigilog
   ./configure
   make install

vigilog est installé par defaut dans /usr/local/vigilog.

Si vous souhaitez l'installer ailleurs, vous devez remplacer la ligne ./configure par

    ./configure --prefix=/opt/vigilog --with-perl=/opt/perl/bin/perl

par exemple.

Lors de l'installation, les fichiers suivants seront crées :

/usr/local/vigilog/bin/vigilog
script de traitement du fichier de log.
/usr/local/vigilog/bin/mk_index
script perl de generation d'une page index.html permettant d'acceder aux differentes pages crées par vigilog.
/usr/local/vigilog/bin/logrouteur.org
script qui sera lancé par un cron. Ce script permet d'effectuer la rotation des logs et de lancer le traitement. Vous aurez probablement à adapter ce script à vos besoins.
/usr/local/vigilog/bin/vigiscan
script de génération de rapport d'incident
/usr/local/vigilog/etc/services
fichier contenant une liste de correspondance ports/services, generalement plus complète que celle qui vient avec votre OS.
/usr/local/vigilog/etc/vigilog.conf.org
exemple de fichier de configuration par défaut du script vigilog. Ce fichier est aussi utilisé par vigiscan.
/usr/local/vigilog/etc/vigiscan.conf.org
exemple de fichier de configuration par défaut du script vigiscan.

Configuration de log du routeur

Sur la configuration du routeur, il faut ajouter les lignes :

      logging trap debugging
      logging facility local3
      logging 10.3.50.1

Vous adapterez l'adresse IP et la facility qui vous conviendront.

Configuration de votre serveur de log

Dans /etc/syslog.conf, vous mettrez, p. exemple :

    local3.*    /var/log/router

Dans le cron, vous mettrez, par exemple :

    5 0 * * *  cd /var/vigilog/html; /usr/local/vigilog/bin/logrouteur

Organisation de l'arborescence des données :

Je suggère la gestion de vos documents dans une arborescence du type :

/var/vigilog/data
Dans ce repertoire seront archivés les fichiers de log L'extension des fichiers de log sont archivés a la forme :
```
          router.aammjj.gz
```
/var/vigilog/html
Dans ce repertoire seront mis les resultats du traitement.

Vous pouvez chosir une autre arborescence dans le script logrouteur.

Le script logrouteur est probablement celui que vous aurez besoin à effectuer plus de modifications.

Je propose de faire comme chez nous. Ce script fait :

copie le fichier de log en cours dans /var/vigilog/data et recrée un nouveau vide
fait un cd /var/vigilog/html
pour chaque fichier de log non compressé :
- lance le script de traitement, configuré avec le fichier vigilog.conf présent dans le repertoire courant
- compacte (gzip) le fichier de log

Cette organisation vous permet, par exemple, d'avoir plusieurs repertoires html, chacun étant le résultat d'un traitement différent effectué sur le même fichier de log, mais avec des paramètres différents : seuils, formats, ...

Teste de l'installation

Pour tester votre installation, vous pouvez recopier dans le repertoire /var/vigilog/data le fichier de log fourni dans le repertoire exemples de la distribution.

    cp path_de_la_distrib/router.020101 /var/vigilog/data
    cd /var/vigilog/html
    cp /usr/local/vigilog/etc/vigilog.conf .
    cp /usr/local/vigilog/etc/vigiscan.conf .

Editez et adaptez les fichiers vigilog.conf et vigiscan.conf à vos besoins. Ils sont commentés. Vous pouves aussi vous referer à la doc de reference de ces fichiers.

Notamment, vous devez configurer les noms des acls tels qu'elles appairaissent dans le fichier de log (chez nous c'est 100 pour l'entree et 101 pour la sortie).

Regardez le log de votre routeur. Vous devez avoir une ligne du genre :

 
    Jan 30 05:58:09 routeur 258557: 7w6d: %SEC-6-IPACCESSLOGP: \
        list 100 denied udp 4.36.44.6(53) ...

C'est le "100" qui interesse.

Vous devez le definir ainsi dans le fichier de configuration :

        ACL    100 Entree Site
        ACL    101 Sortie Site

Vérification du fonctionnement de vigilog

Lancer le traitement :

    cd /var/vigilog/html
    /usr/local/vigilog/bin/vigilog -f ../data/router.020101
    /usr/local/vigilog/bin/mk_index

Maintenant, vous pouvez, soit mettre le repertoire /var/vigilog/html accessible par votre serveur web, ou alors, le lire par :

      netscape /var/vigilog/html/index.html &

Vérification du fonctionnement de vigiscan

Dans la page web générée par vigilog, des suggestions de remontées d'incidents sont faites dans la partie scan. Vous pouvez soit les accepter, choisir certaines, ou alors choisir d'autres incident que vous avez événtuellement reperé dans le rapport.

vigilog crée un script do_it dans le repertoire où le résultat (fichier html) est généré. Dans le script généné vous trouverez toutes les instructions nécessaires.

Il vous suffit alors de suivre les instructions et de lancer le script do_it.

La configuration de vigiscan est faite aussi bien par le fichier vigiscan.conf, que par vigilog.conf, d'oú vigiscan recupère des informations communes aux deux traitements. La syntaxe et le contenu sont similaires.

Remarques :

Dans un premier temps, laissez l'option RESOLVE_IP_ADDRESS a NO. En fait, ces scripts mettent beaucoup plus longtemps pour tourner du aux requetes DNS faites à l'exterieur. Des que vos scripts tourneront sans probleme, vous pouvez mettre cette option a YES.
Les résultats dépendent fortement de la configuration des access-list du routeur. Les logs constituent des violations de ces acls. Si vous ne programmez pas des acls, ou si vous ne programmez pas les acls comme il le faut, ou si vous ne loggez pas les lignes "deny" des acls, vous n'aurez rien. Pour cela il y a un bon nombre de tres bonnes references, vous permettant de bien configurer votre routeur.

Jose Marcio Martins da Cruz

Last modified: Tue Feb 19 13:43:25 MET 2002