用Sawmill搭建日誌平臺

1.系統簡介

Sawmill適用於Unix/Linux和Windows等多種平臺，支持900 種日誌格式，集中式且跨平臺的日誌報表管理系統，能集中搜集日誌，併產生中文報表(包含體簡體及繁體中文)，簡約的操做界面讓使用者能直覺地透過簡單的點擊操做，快速分析並定製報表。
透過Sawmill 的分析統計具備以下功能:
 操做系統：帳號的登入與登出、各類服務狀態、告警信息的排行列舉；
 FTP 服務：用戶登入登出、訪問次數、文件的上傳下載信息及帶寬的佔用；
 Web 服務：網頁點閱率、頁面停留時間、來源區域分佈、點擊路徑分析；
 Mail 服務：郵件收發人、收發地址、收發狀態、響應路徑、郵件統計；
 Firewall服務：可查詢IP、區域分類、分析來源位置、帶寬使用量；
 Datebase：數據庫的連線存取、創建、審計異常進入進出狀態；

圖 1 Sawmill架構圖

2.部署注意事項

1）操做系統：Sawmill支持全系列操做系統，不管UNIX/Linux仍是Windows都有對應版本
2）硬盤容量估算：按照未壓縮狀況計算，建議準備500GB以上空間。
3）防火牆設定：
 Sawmaill管理接口使用TCP Port 8988,因此係統防火牆須要開放此端口；
 Syslog Server默認使用UDP Port514，因此係統防火牆須要開放此端口；

3.安裝舉例

咱們部署在SUSE Linux Enterprise 11，(SUSE Linux Enterprise 12 一樣適用)目前最新版本爲8.7.4，你們能夠到www.sawmill-asia.com下載。輸入如下命令：
步驟一：#./sawmill
安裝完成便可登陸http://IP:8988,下一步接受許可協議選擇企業版。
步驟二：設定Sawmill開機啓動
#vi /etc/rc.local 在最後加入以下一行：
/opt/sawmill/bin/sawmill&
步驟三：配置syslog server可以接受外來日誌
#vi/etc/sysconfig/syslog
SYSLOGD_OPTIONS="-m 0 -r"
#/etc/init.d/syslog restart
通過以上三個步驟，系統就安裝完畢，下面開始在Web下調試。能夠先選擇本地日誌，方法是先新建一個Profile,在日誌來源處選擇本地磁盤，如圖3-20所示。若是選擇網絡磁盤就要標示出主機名和具體路徑，如圖2所示

圖2 加載本地日誌文件
選擇日誌來源，既能夠選擇本地日誌，也可經過FTP、SFTP和HTTP方式獲取日誌。

圖3 選擇遠程日誌文件
上圖經過Http方式獲取日誌。下面以本地磁盤的日誌文件爲例，介紹Sawmill的使用方法。
下面假設分析本地Apache訪問日誌。過程很簡單，如圖4所示。這時系統會讓你選擇日誌格式，一般選取第二項，如圖5所示。

圖4 分析Apache訪問日誌

圖5 檢查日誌格式
接下來輸入apache的路徑,若是輸入錯誤找不到文件的錯誤提示會輸出到/var/log/messages中。最後定義配置文件，取個有意義的名字便可。
通過以上導入設置，系統會計算分析並自動生成詳細的結果，如圖6所示。經過系統提供的豐富圖表就能很是直觀的看出網站訪問過程的細節了，再也不是像第一章中介紹的那樣只有一堆單調的字符了。

圖6 分析Apache日誌結果

4.監測網絡Attack

防火牆***日誌分析範例:
Ping×××時一種很原始的×××方式，它主要利用了ICMP（控制消息錯誤報文協議），×××原理實際上就是經過Ping大量的數據包使得計算機的CPU使用率居高不下而崩潰，面對這種×××，SAWMILL會馬上將其記錄到日誌庫中。如圖7所示。

圖7 Attack日誌分析
綜上所述，Sawmill是一款功能強大的、記錄詳細的日誌分析軟件，它是基於原始日誌數據（Raw data）內容創建索引，保存索引的同時也保存原始日誌內容。