Page 1
Splunk_logo
Par défaut

Serveur de logs Splunk (Partie 1): Présentation et installation

Introduction : Splunk kezako ?
Indexez les données machine de tous les formats, où qu’elles se trouvent : journaux, données click-stream, configurations, traps et alertes, changements, résultats de commandes de diagnostic, données issues des API et files de messages, et même les journaux multi lignes provenant d’applications personnalisées. Sans aucun schéma prédéfini, Splunk ne fait appel à aucun connecteur spécial pour des formats de données spécifiques. Une fois dans Splunk, toutes vos données machines sont disponibles à des fins de détection des pannes, d’examen des incidents de sécurité, de surveillance réseau, de rapports de conformité, d’analyse décisionnelle et de nombreuses autres précieuses utilisations.

NOTA : La version gratuite de splunk permet d’indexer jusqu’à 500 Mo de logs par jour. au delà, il faudra passer sur une licence payante. Pour ma part, les 500 Mo me permettent d’inventorier environ une cinquantaine de serveurs sans dépasser la limite (je limite la verbosité des logs au mode warning et error).

Passant à l’installation de Splunk :

- Installer votre serveur Debian Squeeze correctement patché,

- Télécharger votre version de Splunk en cliquant ici (Attention, necessaire d’avoir créer un compte préalablement)

- Déposer le package dans le dossier /tmp

mv splunk-4.3.2-123586-linux-2.6-intel.deb /tmp

- Lancer l’installation de Splunk :

cd /tmp

dpkg -i splunk-4.3.2-123586-linux-2.6-intel.deb

- Après l’installation, il ne reste plus qu’ à démarrer Splunk

/opt/splunk/bin/splunk start

- A ce stade, vous avez désormais accès à l’interface Web de Splunk http://nom_serveur_splunk:8000

- Ne reste plus qu’à créer un socket udp à l’écoute sur le port 514, afin de recueillir les différents logs de vos serveurs ou équipements.

- Pour cela, rendez-vous dans Add data, puis sélectionner « From a UDP port »

- Sauvegarder le tout, et voilà c’est fini (pfff à ce rythme, il n’y aura plus d’informaticiens dans 10 ans).

Vous pouvez vérifier avec la commande suivante que votre syslog est bien à l’écoute sur le port 514 en UDP

netstat -unlp

- Donc voilà, vous pouvez désormais diriger tous vos logs vers ce serveur.

Dans les prochaines parties, nous verrons comment utiliser l’interface de recherche et d’analyse, mais aussi comment exporter vos events Logs Windows, Unix, Linux, réseau, etc …… A suivre sur Macintom …

Lien vers la deuxième partie : Serveur de logs Splunk : export des logs Windows

Logo PowerShell
Par défaut

POWERSHELL : Comment Exécuter un script PowerShell via un exécutable (.exe)

Si comme moi vous avez besoin de transformer un script PowerShell en exécutable .exe, je vais peut être vous aider.

Il est possible via des logiciels payants (beurk !!) de convertir un PowerShell (.ps1) en éxécutable (.exe), mais afin de contourner ce petit problème, j’ai décidé de faire autrement.

Ma démarche est la suivante, je compte créer un simple batch (.bat) qui à pour but de lancer un script PowerShell (.ps1), et tout simplement convertir ce Batch (.bat) en exécutable (.exe). La conversion est très simple vu qu’il existe un logiciel GRATUIT (Hmmm) pour le faire : Batch Compiler.
(P.S : si vous comptez utiliser ce logiciel sur un Windows Seven, vous devez absolument le lancer en permanence en tant qu’ Administrateur de votre machine, sinon vous allez obtenir un message d’erreur lors du démarrage de celui-ci).

Pré-requis :

– Votre PC doit pouvoir exécuter des scripts PowerShells : Si ce n’est pas le cas, lisez mon article suivant : Executer-un-script-powershell
- Avoir téléchargé et installé le logiciel Batch Compiler.

Continue Reading →

Logo PowerShell
Par défaut

POWERSHELL : Démarrer un service distant sur un Serveur Windows

Si comme moi vous avez besoin de démarrer un service sur un serveur distant (en l’occurrence un Windows 2008), vous avez sans doute eut un message d’erreur lors de l’exécution de votre commande Powershell.

Prenons un exemple simple, dans la commande qui va suivre, je souhaites démarrer le service NSCLIENT ++. Pour celà vous devez avant toute chose récupérer le nom du service (service name), dans mon cas : NSClientpp. Pour cette exemple, nous allons partir sur le fait que mon serveur windows se nomme : srv-windows.

Si vous exécutez cette commande, sans avoir configuré votre serveur distant  vous avez sans doute obtenu le message d’erreur qui se trouve après cette commande :

Invoke-Command {Start-Service "NSClientpp" -passthru} -ComputerName "srv-windows"

Message d’erreur :

[srv-windows] La connexion au serveur distant a échoué avec le message d’erreur suivant : Le client ne peut pas se connecter à la destination spécifiée dans la demande. Vérifiez que le service est en cours d’exécution sur la destination et qu’il accepte les demandes. Consultez les journaux et la documentation du service Gestion des services Web en cours d’exécution sur la destination, le plus souvent IIS or WinRM. Si la destination est le service WinRM, exécutez la commande suivante sur la destination pour analyser et configurer le service WinRM : « winrm quickconfig ». Pour plus d’informations, voir la rubrique d’aide about_Remote_Troubleshooting.
+ CategoryInfo : OpenError: (:) [], PSRemotingTransportException
+ FullyQualifiedErrorId : PSSessionStateBroken

Pour résoudre ce message, rien de plus simple, pour une fois Microsoft donne la solution dans son message d’erreur. Dirigez-vous vers votre serveur distant (via RDP ou autre). Ouvrez une fenêtre powershell, et tapez cette commande :

Continue Reading →

Logo PowerShell
Par défaut

POWERSHELL : Se connecter en SSH à un Debian SQUEEZE

Histoire de m’éviter à lancer SSH et d’exécuter une commande précise sur mon serveur Linux, je me suis dit, tant qu’à faire, autant pour commencer, réduire la manipulation à un simple lancement de script PowerShell.

Au préalable vous devez avoir autoriser l’exécution de script sur votre ordinateur (voir mon article la dessus)

 

– Commencez par télécharger putty.exe et plink.exe

– Dirigez vous dans votre Program Files (X86) (pour un 64 bits et Program Files pour un 32 bits) 

– Créez un répertoire Putty et collez dedans les deux softs téléchargés précédemment.

On va commencer par tester si tout c’est bien passé :

– Ouvrez une invite de commandes (démarrer ==> Exécuter ==> cmd ==> Entrée)
– Dans votre invite de commandes collez ceci :

« c:\Program Files (x86)\Putty\plink.exe » -ssh utilisateur-linux@IP-DE-VOTRE-SERVEUR-ou-NOM-DNS-DE-VOTRE-SERVEUR -pw mot-de-passe-linux

Exemple :

J’ai un serveur Linux « SRV-LINUX », sur ce serveur je n’ai qu’un compte « root » et le mot de passe root est « passwordroot », la commande précédente ressemblera à :

« c:\Program Files (x86)\Putty\plink.exe » -ssh root@SRV-LINUX -pw passwordroot

Répondez « Y » à la question :

Store key in cache?

Continue Reading →