Bonjour j'ai installé le generateur de rapport sawmill sur mon ipcop, super pour la génération de rapport en tout sens et toutes log (Squiq, SqidGuard, Snort ....).
Par contre impossible de lancer sawmill en service. Certain ont-il deja utilisé ce logiciel, ou alors comment lancer un service dans IPCOP.
A+
IPCOP et SAWmill
Modérateur: modos Ixus
9 messages
• Page 1 sur 1
par secur-net » 15 Fév 2005 10:07
Bonjour
et en avant pour la procedure
le Site : http://www.thesawmill.co.uk/cgi-bin/saw ... ownload.pl
la version : 7.0.10h
L'os de base : Linux (recent; e.g. RedHat 9/ES/AS/WS)
Le package a telecharger : sawmill7.0.10h_x86_linux.tar.gz
Le poser dans un dossier temporaire sur IPCOP au moyen de WINSCP
Lancer les commandes
gunzip -c sawmill7.0.10h_x86_linux.tar.gz | tar xf -
Cela crée un dossier appelé "sawmill" contenant l'executable Sawmill (sawmill7.0.10h) et d'autre fichier.
Déplacer le dossier (/sawmill) pour moi
cd sawmill
Entrez la commande suivante pour lancer le produit depuis putty
./sawmill7.0.10h
Depuis votre navigateur favoris
http://IPCOP-IP-VERT:8987
Pour creer un rapport sur squid:
Ouvrir une session, selectionner le Menu :create a new profil
Log Source type : local disk
PathName :/var/log/squid/access.log
Bouton : Suivant
2) Auto detect log Format : Blue Coat squid log Format
Bouton Suivant
3) Activer tous les choix : requests, pages view, visitors, Size
Bouton Suivant
4) Par defaut
Bouton Suivant
5) Data base Option
Use Internal data base
si vous selectionnez MYSQL il semble que SAWmill va tester la version et ne fonctionner qu'avec une version enregistré sur Linux, par contre cela fonctionne sur un Mysql Windows
J'ai laissé Use internal Data Base
Bouton Suivant
5) Profil name : LogSquid (Par exemples)
Bouton Fin
Selectionnez : "Show config" de LogSquig
Lancer Rebild database
puis Mise a jour Data base
Selectionnez Report (en haut a gauche), votre Profil (SquidLog)
Naviguer dans le Menu de Gauche pour sélectionner le critère de base de tri des Informations
Exp: Date and time, Hours of days selectionnez l'heure
Ouvrir callendrier, selectionnez le jour
Puis dans la page d'affichage selectionnez des critères plus stricte (Zoom report) (Ahthentificated User)
Selectionnez l'utilisateur XX
Voila vous avez la log de suid pour le 14 février de 10 a 11 heure pour l'utilisateur XX
Bon courage
et en avant pour la procedure
le Site : http://www.thesawmill.co.uk/cgi-bin/saw ... ownload.pl
la version : 7.0.10h
L'os de base : Linux (recent; e.g. RedHat 9/ES/AS/WS)
Le package a telecharger : sawmill7.0.10h_x86_linux.tar.gz
Le poser dans un dossier temporaire sur IPCOP au moyen de WINSCP
Lancer les commandes
gunzip -c sawmill7.0.10h_x86_linux.tar.gz | tar xf -
Cela crée un dossier appelé "sawmill" contenant l'executable Sawmill (sawmill7.0.10h) et d'autre fichier.
Déplacer le dossier (/sawmill) pour moi
cd sawmill
Entrez la commande suivante pour lancer le produit depuis putty
./sawmill7.0.10h
Depuis votre navigateur favoris
http://IPCOP-IP-VERT:8987
Pour creer un rapport sur squid:
Ouvrir une session, selectionner le Menu :create a new profil
Log Source type : local disk
PathName :/var/log/squid/access.log
Bouton : Suivant
2) Auto detect log Format : Blue Coat squid log Format
Bouton Suivant
3) Activer tous les choix : requests, pages view, visitors, Size
Bouton Suivant
4) Par defaut
Bouton Suivant
5) Data base Option
Use Internal data base
si vous selectionnez MYSQL il semble que SAWmill va tester la version et ne fonctionner qu'avec une version enregistré sur Linux, par contre cela fonctionne sur un Mysql Windows
J'ai laissé Use internal Data Base
Bouton Suivant
5) Profil name : LogSquid (Par exemples)
Bouton Fin
Selectionnez : "Show config" de LogSquig
Lancer Rebild database
puis Mise a jour Data base
Selectionnez Report (en haut a gauche), votre Profil (SquidLog)
Naviguer dans le Menu de Gauche pour sélectionner le critère de base de tri des Informations
Exp: Date and time, Hours of days selectionnez l'heure
Ouvrir callendrier, selectionnez le jour
Puis dans la page d'affichage selectionnez des critères plus stricte (Zoom report) (Ahthentificated User)
Selectionnez l'utilisateur XX
Voila vous avez la log de suid pour le 14 février de 10 a 11 heure pour l'utilisateur XX
Bon courage
IPCOP1.4.2+sarg+nessus PIII 128/10G 200 Postes
- secur-net
- Major
- Messages: 97
- Inscrit le: 26 Jan 2005 16:05
- Localisation: Est FC
par shwing » 21 Fév 2005 19:36
J'avais pas vu ta réponse secur-net, merci very much !
Pas beaucoup de succès pour créer un nouveau profile: lorsque je tente de faire "rebuild database" je recois ce message:
Sawmill Error
There is no log data in the log source. This can happen if the log source pattern did not match any files, or if the file(s) are all empty, or if they end in .gz, .bz, .bz2, or .zip but are not valid gzip/ZIP/bzip files.
Error occurred at: : /tulip1/sawmill/v7/production/src/read_log.cpp:536
Ce que je pige pas c'est que l'arborésence commence par /tulip1 , et que je n'ai pas de tulipe dans mon ipcop, ni de rose d'ailleure...
Et aussi dès que tu reboot Ipcop, plus d'accès à la console, pourtant dans les préférences j'ai bien editer l'ip du servuer web. La soluce provisoir, relancer l'install, il garde les profiles.
Brèf, il pas si évident que ça.
Pas beaucoup de succès pour créer un nouveau profile: lorsque je tente de faire "rebuild database" je recois ce message:
Sawmill Error
There is no log data in the log source. This can happen if the log source pattern did not match any files, or if the file(s) are all empty, or if they end in .gz, .bz, .bz2, or .zip but are not valid gzip/ZIP/bzip files.
Error occurred at: : /tulip1/sawmill/v7/production/src/read_log.cpp:536
Ce que je pige pas c'est que l'arborésence commence par /tulip1 , et que je n'ai pas de tulipe dans mon ipcop, ni de rose d'ailleure...
Et aussi dès que tu reboot Ipcop, plus d'accès à la console, pourtant dans les préférences j'ai bien editer l'ip du servuer web. La soluce provisoir, relancer l'install, il garde les profiles.
Brèf, il pas si évident que ça.
-
shwing - Amiral
- Messages: 1246
- Inscrit le: 14 Mars 2004 01:00
- Localisation: GE/CH
par shwing » 22 Fév 2005 13:54
Je reprends ta procedure secur-net, il manquait qqch. 
Pour creer un rapport sur squid:
Ouvrir une session, selectionner le Menu :create a new profil
Log Source type : local disk
PathName :/var/log/squid/access.log
et cocher : Pattern is a regular expression <-- mon changement
Bouton : Suivant
2) Auto detect log Format : Blue Coat squid log Format
Bouton Suivant
3) Activer tous les choix : requests, pages view, visitors, Size
Bouton Suivant
4) Par defaut
Bouton Suivant
5) Data base Option
Use Internal data base
si vous selectionnez MYSQL il semble que SAWmill va tester la version et ne fonctionner qu'avec une version enregistré sur Linux, par contre cela fonctionne sur un Mysql Windows
J'ai laissé Use internal Data Base
Bouton Suivant
6) Profil name : LogSquid (Par exemples)
Bouton Fin
Selectionnez : "Show config" de LogSquig
Lancer Rebild database
puis Mise a jour Data base
Selectionnez Report (en haut a gauche), votre Profil (SquidLog)
Naviguer dans le Menu de Gauche pour sélectionner le critère de base de tri des Informations
Exp: Date and time, Hours of days selectionnez l'heure
Ouvrir callendrier, selectionnez le jour
Puis dans la page d'affichage selectionnez des critères plus stricte (Zoom report) (Ahthentificated User)
Selectionnez l'utilisateur XX
Ca marche d'enfer, dommage que c'est seulement à trente jours. :'(
Par contre dès qu'ipcop a rebooter, impossible d'accèder à l'interface de sawmill....
Pour creer un rapport sur squid:
Ouvrir une session, selectionner le Menu :create a new profil
Log Source type : local disk
PathName :/var/log/squid/access.log
et cocher : Pattern is a regular expression <-- mon changement
Bouton : Suivant
2) Auto detect log Format : Blue Coat squid log Format
Bouton Suivant
3) Activer tous les choix : requests, pages view, visitors, Size
Bouton Suivant
4) Par defaut
Bouton Suivant
5) Data base Option
Use Internal data base
si vous selectionnez MYSQL il semble que SAWmill va tester la version et ne fonctionner qu'avec une version enregistré sur Linux, par contre cela fonctionne sur un Mysql Windows
J'ai laissé Use internal Data Base
Bouton Suivant
6) Profil name : LogSquid (Par exemples)
Bouton Fin
Selectionnez : "Show config" de LogSquig
Lancer Rebild database
puis Mise a jour Data base
Selectionnez Report (en haut a gauche), votre Profil (SquidLog)
Naviguer dans le Menu de Gauche pour sélectionner le critère de base de tri des Informations
Exp: Date and time, Hours of days selectionnez l'heure
Ouvrir callendrier, selectionnez le jour
Puis dans la page d'affichage selectionnez des critères plus stricte (Zoom report) (Ahthentificated User)
Selectionnez l'utilisateur XX
Ca marche d'enfer, dommage que c'est seulement à trente jours. :'(
Par contre dès qu'ipcop a rebooter, impossible d'accèder à l'interface de sawmill....
-
shwing - Amiral
- Messages: 1246
- Inscrit le: 14 Mars 2004 01:00
- Localisation: GE/CH
par secur-net » 22 Fév 2005 15:25
Bonjour
Désolé pour le retard à la reponse mais en mission sur du Mail Bombing
D'accord avec shwing pour la version de MYSQL, seul fonctionne easyphp sur winxx, sawmill a besoin d'une version commerciale de MYSQL.
Pour le demarage j'ai recupéré le script suivant :/etc/rc.d/rc.sawmill
-------------------------
#!/bin/sh
#
# Startup script for Sawmill
# function library.
#. /etc/rc.d/init.d/functions
# See how we were called.
case "$1" in
start)
echo -n "Starting sawmill: "
/sawmill/sawmill7.0.10h
echo
touch /var/lock/subsys/sawmill
;;
stop)
echo -n "Shutting down sawmill: "
killproc sawmill
echo
rm -f /var/lock/subsys/sawmill
rm -f /var/run/sawmill.pid
;;
status)
status sawmill
;;
restart)
$0 stop
$0 start
;;
reload)
echo -n "Reloading sawmill: "
killproc sawmill -HUP
echo
;;
*)
echo "Usage: $0 {start|stop|restart|reload|status}"
exit 1
esac
exit 0
-----------------------
Puis ai ajouté la ligne suivante dans /etc.rc.d/rc.local
--------------------------------
echo starting sawmill....
/etc/rc.d/rc.sawmill start
echo fin de starting sawmill...
--------------------------------
Je ne suis pas un grand pro de linux si tu as une autre solution pour le Lancer ...
Si tu utilise Sawmill pour des log squid il y a d'autre solution,
j'ai créé des scripts sawmill pour toutes les logs sécurité de mon environnement notament les traces des Antisapm (Spamfilter), routage de message SMTP et messagerie Intranet ainsi que squidGuard.
Bonne Journée
Désolé pour le retard à la reponse mais en mission sur du Mail Bombing
D'accord avec shwing pour la version de MYSQL, seul fonctionne easyphp sur winxx, sawmill a besoin d'une version commerciale de MYSQL.
Pour le demarage j'ai recupéré le script suivant :/etc/rc.d/rc.sawmill
-------------------------
#!/bin/sh
#
# Startup script for Sawmill
# function library.
#. /etc/rc.d/init.d/functions
# See how we were called.
case "$1" in
start)
echo -n "Starting sawmill: "
/sawmill/sawmill7.0.10h
echo
touch /var/lock/subsys/sawmill
;;
stop)
echo -n "Shutting down sawmill: "
killproc sawmill
echo
rm -f /var/lock/subsys/sawmill
rm -f /var/run/sawmill.pid
;;
status)
status sawmill
;;
restart)
$0 stop
$0 start
;;
reload)
echo -n "Reloading sawmill: "
killproc sawmill -HUP
echo
;;
*)
echo "Usage: $0 {start|stop|restart|reload|status}"
exit 1
esac
exit 0
-----------------------
Puis ai ajouté la ligne suivante dans /etc.rc.d/rc.local
--------------------------------
echo starting sawmill....
/etc/rc.d/rc.sawmill start
echo fin de starting sawmill...
--------------------------------
Je ne suis pas un grand pro de linux si tu as une autre solution pour le Lancer ...
Si tu utilise Sawmill pour des log squid il y a d'autre solution,
j'ai créé des scripts sawmill pour toutes les logs sécurité de mon environnement notament les traces des Antisapm (Spamfilter), routage de message SMTP et messagerie Intranet ainsi que squidGuard.
Bonne Journée
IPCOP1.4.2+sarg+nessus PIII 128/10G 200 Postes
- secur-net
- Major
- Messages: 97
- Inscrit le: 26 Jan 2005 16:05
- Localisation: Est FC
par shwing » 22 Fév 2005 22:05
Merci secur-net pour ce script. Je ne peux que te féliciter, car je ne suis pas encore capable de faire ce genre de script.
Concernant les autres logs que sawmill peut afficher, je vais étudier la chose....
Concernant les autres logs que sawmill peut afficher, je vais étudier la chose....
-
shwing - Amiral
- Messages: 1246
- Inscrit le: 14 Mars 2004 01:00
- Localisation: GE/CH
par shwing » 23 Fév 2005 01:36
@secure-net.
As-tu testé ton script ? Fonctionne t-il sur ton ipcop ??
dans ton script à la 6ème ligne il me semble que le # est de trop.
j'ai changé pour ceci
Le path chez moi est différent:
j'ai changé pour ceci
et j'ai remarqué que tu as "supprimé" une ligne. expret ou erreur ? Je me suis basé sur ceci --> http://lea-linux.org/admin/daemons.html
Tu codes :
J'ai changé pour ceci:
Donc vu que cela ne marche pas, j'ai obté pour un raccourci de putty avec cette ligne, mais le désavantage est que tu dois la lancer manuellement et que le fenêtre ne se ferme pas à la fin du "script"
dans le fichier sawmill.txt
Voilà, pour ce soir , j'arrête, plein les bottes !
As-tu testé ton script ? Fonctionne t-il sur ton ipcop ??
dans ton script à la 6ème ligne il me semble que le # est de trop.
- Code: Tout sélectionner
#source function library
#. /etc/init.d/functions
j'ai changé pour ceci
- Code: Tout sélectionner
#source function library
. /etc/init.d/functions
Le path chez moi est différent:
- Code: Tout sélectionner
/sawmill/sawmill7.0.10h
j'ai changé pour ceci
- Code: Tout sélectionner
/program/sawmill/sawmill7.0.10h
et j'ai remarqué que tu as "supprimé" une ligne. expret ou erreur ? Je me suis basé sur ceci --> http://lea-linux.org/admin/daemons.html
Tu codes :
- Code: Tout sélectionner
case $1 in
'start')
[ -f /var/lock/subsys/sawmill ] &&
exit 0
echo -n "sawmill"
echo
touch /var/lock/subsys/sawmill
;;
J'ai changé pour ceci:
- Code: Tout sélectionner
case $1 in
'start')
[ -f /var/lock/subsys/sawmill ] &&
exit 0
echo -n "sawmill"
daemon /usr/bin/sawmill
echo
touch /var/lock/subsys/sawmill
;;
Donc vu que cela ne marche pas, j'ai obté pour un raccourci de putty avec cette ligne, mais le désavantage est que tu dois la lancer manuellement et que le fenêtre ne se ferme pas à la fin du "script"
- Code: Tout sélectionner
H:\PROGRAMMES\putty\putty.exe -ssh -2 -P 222 root@192.168.34.254:445 -pw mon_mot_de_passe -m sawmill.txt
dans le fichier sawmill.txt
- Code: Tout sélectionner
#lancer manuellement sawmill, en attendant une meilleure soluce (23/02/05)
/program/sawmill/sawmill7.0.10h
Voilà, pour ce soir , j'arrête, plein les bottes !
-
shwing - Amiral
- Messages: 1246
- Inscrit le: 14 Mars 2004 01:00
- Localisation: GE/CH
par secur-net » 23 Fév 2005 09:24
Bonjour
shwing je n'ai rien fait du tout pour le script, je l'ai récupéré sur le site de l'editeur.
La seule ligne que j'ai mise en commentaire est : /etc/rc.d/init.d/functions
car cela ne fonctionnais pas avec.
pour le reste j'ai pas de problème, sauf que lorsque je regarde la sseion de démarage d'IPCOP elle est bloquée sur le demarrage de sawmill. Comme cela ne me pose pas de probleme je laisse, mais c'est pas tres propre.
j'utilise sawmill pour les log de SMTP (800 users , 3 domaines, 100 000 traces smtp par jour, dont 7 000 smtp valides dans les domaines !!!) imagine le repporting la dessus.
A+
Ps Pour le script je te teste avec tes remarques
shwing je n'ai rien fait du tout pour le script, je l'ai récupéré sur le site de l'editeur.
La seule ligne que j'ai mise en commentaire est : /etc/rc.d/init.d/functions
car cela ne fonctionnais pas avec.
pour le reste j'ai pas de problème, sauf que lorsque je regarde la sseion de démarage d'IPCOP elle est bloquée sur le demarrage de sawmill. Comme cela ne me pose pas de probleme je laisse, mais c'est pas tres propre.
j'utilise sawmill pour les log de SMTP (800 users , 3 domaines, 100 000 traces smtp par jour, dont 7 000 smtp valides dans les domaines !!!) imagine le repporting la dessus.
A+
Ps Pour le script je te teste avec tes remarques
IPCOP1.4.2+sarg+nessus PIII 128/10G 200 Postes
- secur-net
- Major
- Messages: 97
- Inscrit le: 26 Jan 2005 16:05
- Localisation: Est FC
9 messages
• Page 1 sur 1
Qui est en ligne ?
Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité