• Debian 6.0 Squeeze

Mise en place des dépôts

Installez les prérequis d'installation:

command apt-get install lsb-release

Récupérez le nom de la distribution:

DEBIAN_VERSION="$(command lsb_release -cs)"

Détectez le miroir utilisé par l'installation actuelle:

MIRROR=$(command egrep "^deb.*${DEBIAN_VERSION}" '/etc/apt/sources.list' \
    | command egrep -v "updates|-src|cdrom" \
    | cut --delimiter=" " --fields=2)

Ajoutez les dépôts contrib à la configuration Apt:

command echo "# Debian contrib repository.
deb http://ftp.fr.debian.org/debian/ ${DEBIAN_VERSION} contrib
deb-src http://ftp.fr.debian.org/debian/ ${DEBIAN_VERSION} contrib

deb http://security.debian.org/ ${DEBIAN_VERSION}/updates contrib
deb-src http://security.debian.org/ ${DEBIAN_VERSION}/updates contrib

# ${DEBIAN_VERSION}-updates, previously known as 'volatile'
deb http://ftp.fr.debian.org/debian/ ${DEBIAN_VERSION}-updates contrib
deb-src http://ftp.fr.debian.org/debian/ ${DEBIAN_VERSION}-updates contrib" \
    > '/etc/apt/sources.list.d/contrib.list'

Ajoutez les dépôt non-free à la configuration Apt:

command echo "# Debian non-free repository.
deb http://ftp.fr.debian.org/debian/ ${DEBIAN_VERSION} non-free
deb-src http://ftp.fr.debian.org/debian/ ${DEBIAN_VERSION} non-free

deb http://security.debian.org/ ${DEBIAN_VERSION}/updates non-free
deb-src http://security.debian.org/ ${DEBIAN_VERSION}/updates non-free

# ${DEBIAN_VERSION}-updates, previously known as 'volatile'
deb http://ftp.fr.debian.org/debian/ ${DEBIAN_VERSION}-updates non-free
deb-src http://ftp.fr.debian.org/debian/ ${DEBIAN_VERSION}-updates non-free" \
    > '/etc/apt/sources.list.d/non-free.list'

Mettez à jour la liste des paquets disponibles:

command apt-get update

• Debian 6.0 Squeeze

Prérequis

Ce guide nécessite l'installation d'un serveur HTTP Apache 2. Reportez-vous à l'article Installer et configurer Apache 2 sur Debian.

Ce guide recommande la mise en place des règles de blocage de DFind décrites dans l'article Bloquer le scanner de vulnérabilités DFind.

Configuration

Durcir la configuration du serveur HTTP Apache 2

Appliquez quelque règles durcissant la sécurité du serveur:

command wget 'https://raw.github.com/biapy/howto.biapy.com/master/apache2/security-hardened.conf' \
    --quiet --no-check-certificate --output-document='/etc/apache2/conf.d/security-hardened'

Rechargez la configuration du serveur:

/etc/init.d/apache2 reload

Bloquer les attaques avec fail2ban

Installez fail2ban :

command apt-get install fail2ban

Activez les protections spécifiques à Apache :

if [ ! -e '/etc/fail2ban/jail.local' ]; then
  command touch '/etc/fail2ban/jail.local'
fi
if [ -z "$(command grep "[apache]" '/etc/fail2ban/jail.local')" ]; then
  echo "[apache]
enabled = true

[apache-noscript]
enabled = true

[apache-overflows]
enabled = true
" >> '/etc/fail2ban/jail.local'
fi

Rechargez la configuration :

/etc/init.d/fail2ban restart

Désactiver le dossier cgi-bin

Le dossier cgi-bin est de moins en moins utilisé et peut éventuellement présenter un risque. Désactivez-le :

command sed -i \
    -e 's|^.*ScriptAlias.*/cgi-bin/.*$|#\0|' \
    -e '/Directory.*cgi-bin/,/\/Directory/s/^.*/#\0/' \
  "/etc/apache2/sites-available/default"{,-ssl}

Rechargez la configuration :

/etc/init.d/apache2 force-reload

Remerciements

• Merci à Alsacréations pour Installation d'Apache et PHP.
• Merci à Smashing Magazine pour SVN Server Admin Issue: Fix It !
• Merci à la Ferme du Web pour .htaccess - Quelques astuces bien pratiques à connaître.

• Merci à Be-Root.com pour Protéger Apache de slowloris.

• Merci à System-Linux.eu pour Attaque Slowloris (DoS) l'essayer et l'empécher et Compilation, Installation et Configuration de ModSecurity.

• Debian 6.0 Squeeze

Prérequis

Ce guide nécessite une installation fonctionnelle de PHP5, par exemple, celle décrite par l'article Installer PHP-FPM sur Debian.

Configuration

Durcissez la sécurité du serveur:

if [ -d '/etc/php5/conf.d' ]; then
  echo '; Harden PHP5 security

; Disable PHP exposure
expose_php = Off

;Dangerous : disable system functions. This can break some administration softwares.
;disable_functions = symlink,shell_exec,exec,proc_close,proc_open,popen,system,dl,passthru,escapeshellarg,escapeshellcmd
' > '/etc/php5/conf.d/security-hardened.ini'
fi

Configurez l'UTF-8 comme codage de caractères par défaut pour l'extension mbstring (intégrée de base dans la version PHP5 fournie par Debian):

if [ -d '/etc/php5/conf.d' ]; then
  echo '; Set mbstring defaults to UTF-8
mbstring.language=UTF-8
mbstring.internal_encoding=UTF-8
mbstring.http_input=UTF-8
mbstring.http_output=UTF-8
mbstring.detect_order=auto' \
    > '/etc/php5/conf.d/mbstring.ini'
fi

Configurez la zone horaire de PHP:

echo "; PHP settings for strtotime
date.timezone = \"$(command cat /etc/timezone)\"" > /etc/php5/conf.d/timezone.ini

Rechargez la configuration:

test -x /etc/init.d/php5-fpm && /etc/init.d/php5-fpm restart
test -x /etc/init.d/apache2 && /etc/init.d/apache2 force-reload
test -x /etc/init.d/lighttpd && /etc/init.d/lighttpd force-reload
test -x /etc/init.d/nginx && /etc/init.d/nginx force-reload

Remerciements

• Merci à Alsacréations pour Installation d'Apache et PHP.

• Debian 6.0 Squeeze

Installation

Téléchargez le script mysql-defragger:

command wget 'https://raw.github.com/biapy/howto.biapy.com/master/mysql/mysql-defragger' \
 --quiet --no-check-certificate --output-document='/usr/bin/mysql-defragger'
command chmod +x '/usr/bin/mysql-defragger'

mysql-defragger permet d'effectuer des actions sélective d'optimisation des tables MySQL.

Maintenance ponctuelle

Tables InnoDB

A savoir : Il est impossible de calculer la fragmentation d'une table InnoDB. La fragmentation se détecte par la baisse de performance des requêtes et des accès disques plus nombreux.

La maintenance des tables InnoDB doit être effectuée prudemment. L'option --optimize de mysql-defragger va recréer les tables InnoDB. Ce processus entraîne une duplication de la table, puis la suppression de l'original. Cet action défragmente effectivement la table. Les inconvénients sont les suivants:

• La table est verrouillée pour toute la durée du processus.
• L'espace disque utilisé par les données de la table est doublé.

N'effectuez cette action que sur les bases n'utilisant pas des tables InnoDB de taille très importante, sous peine de surcharger le système, et rendre non fonctionnelles les applications utilisant cette table.

Il est toutefois intéressant d'effectuer une optimisation des tables InnoDB tous les 6 mois environ, lors d'une maintenance serveur programmée. Pour optimiser les tables InnoDB de votre serveur, utilisez cette commande (dangereuse !):

command mysql-defragger --innodb --optimize

D'une manière générale, il est préférable de se contenter d'une analyze des tables InnoDB:

command mysql-defragger --innodb --analyze

Tables MyISAM

Les tables MyISAM fragmentent facilement avec les suppression fréquentes (requêtes DELETE). Utilisez cette commande pour défragmenter les tables MyISAM:

command mysql-defragger --myisam --optimize

Maintenance régulière

J'utilise les réglages suivant pour la maintenance d'un serveur MySQL. Ce sont mes réglages actuels et ils ne sont peut être pas pertinents. Ils sont toutefois fonctionnels:

• Analyse hebdomadaire des tables MyISAM et InnoDB.
• Optimisation mensuelle des tables MyISAM uniquement.

J'effectue manuellement l'optimisation des tables InnoDB.

Renseignez le mot de passe root pour MySQL:

command read -s -p "Enter password: " MYSQL_PASSWORD

Créez le fichier .my.cnf de l'utilisateur root de MySQL dans votre compte:

if [ ! -e "${HOME}/.my.cnf" ]; then
  echo "[client]
user=root
password=${MYSQL_PASSWORD}" \
    > "${HOME}/.my.cnf"
  command chmod 400 "${HOME}/.my.cnf"
fi

Configurez cron pour lancer la maintenance régulière du serveur MySQL:

echo "# /etc/cron.d/mysql-defragger: crontab fragment for mysql-defragger
#  Weekly run analyze on all MySQL tables (mysqlcheck is faster and do the same).
# 04 2    * * 7    ${USER}    [ -x /usr/bin/mysql-defragger ] && /usr/bin/mysql-defragger --analyze -q -q
04 2    * * 7    ${USER}    [ -x /usr/bin/mysqlcheck ] && /usr/bin/mysqlcheck --all-databases --analyze --silent
#  Monthly optimize MyISAM tables.
04 3    * * 7    ${USER}    [ -x /usr/bin/mysql-defragger ] && /usr/bin/mysql-defragger --myisam --optimize -q -q" \
    > '/etc/cron.d/mysql-defragger'

Rechargez la configuration de cron:

/etc/init.d/cron reload

Références

Ces livres peuvent vous aider:

• High Performance MySQL
• MySQL High Availability: Tools for Robust Data Centers

Remerciements

• Merci à Phil Dufault pour le développement de MySQLFragFinder (A Defragmentation Script to Optimize Fragmented Tables in MySQL).

Ce guide a été testé sur :

• Debian 6.0 Squeeze

Ce guide a été testé avec ces versions d'OpenERP:

• 6.0.4

Pré-requis

Ce guide nécessite un serveur PostgreSQL disposant du script pgsql-tools disponible dans le guide Installer et configurer PostgreSQL sur Debian.

Ce guide nécessite un serveur HTTP disposant au choix d'un des scripts suivant :

• Le script a2tools disponible dans mon guide Installer Apache 2 sur Debian.

Paramètres

Renseignez le nom d'instance de votre serveur OpenERP (choisissez un nouveau nom pour chaque nouvelle installation) :

INSTANCE_NAME="main"

Renseignez le nom d'hôte de votre serveur PostgreSQL (si vous ne savez pas de quoi il s'agit, ne modifiez pas cette valeur) :

PGSQL_HOST="localhost"

Si votre serveur PostgreSQL n'est pas local, ce guide effectuera une connexion SSH pour y créer la base de données.

Installation du serveur

Installez les dépendances d'installation :

command apt-get install python-psycopg2 python-reportlab \
    python-reportlab-accel python-pychart python-pydot python-lxml \
    python-tz python-pyparsing graphviz python-imaging python-setuptools \
    python-yaml apg

Récupérez l'URL de la dernière version stable :

SOURCE_URL=$(command wget --quiet --output-document=- 'http://www.openerp.com/downloads' \
    | command grep --max-count=1 '/stable/source/openerp-server-.*.tar.gz' \
    | command sed -e 's/^.*href="\([^"]*\)".*href.*href.*$/\1/g')

Obtenez le numéro de version à partir de l'URL :

VERSION=$(command echo "${SOURCE_URL}" | command sed -e 's/.*openerp-server-\(.*\)\.tar\.gz/\1/g')

Téléchargez les sources de l'application :

command wget --output-document="/tmp/openerp-server-${VERSION}.tar.gz" "${SOURCE_URL}"

Décompressez les sources :

command tar --directory="/tmp" -xzf "/tmp/openerp-server-${VERSION}.tar.gz"

Placez-vous dans le dossier des sources :

command pushd "/tmp/openerp-server-${VERSION}/"

Compilez le serveur :

command python setup.py build

Installez le serveur :

command python setup.py install

Quittez le dossier des sources:

command popd

Supprimez les fichiers téléchargés:

command rm -r "/tmp/openerp-server-${VERSION}/"
command rm "/tmp/openerp-server-${VERSION}.tar.gz"

Créez l'utilisateur destiné à exécuter le serveur :

command mkdir --parent "/var/log/openerp"
command adduser --system --shell /bin/sh \
    --group --home "/var/log/openerp/server" \
    openerp-server

Créez le dossier destiné à contenir les fichiers de log et le dossier de la configuration:

command mkdir --parent "/etc/openerp/${INSTANCE_NAME}"
command mkdir --parent "/var/log/openerp/server"
command chown -R openerp-server:openerp-server "/var/log/openerp/server"

Configuration du serveur

Créez l'utilisateur privilégié :

if [ "${PGSQL_HOST}" = "localhost" ]; then
  PGSQL_PARAMS=$(command pgsql-tools create-privileged-user "openerp_${INSTANCE_NAME}")
else
  PGSQL_PARAMS=$(command ssh "root@${PGSQL_HOST}" "command pgsql-tools create-privileged-user 'openerp_${INSTANCE_NAME}' '$(command hostname --fqdn)'")
fi

Récupérez les paramètres de la nouvelle base de données :

PGSQL_USER="$(echo "${PGSQL_PARAMS}" | command grep -e "^PGSQL_USER" \
    | command cut --delimiter="=" --fields="2-")"
PGSQL_PASSWORD="$(echo "${PGSQL_PARAMS}" | command grep -e "^PGSQL_PASSWORD" \
    | command cut --delimiter="=" --fields="2-")"
echo "${PGSQL_PARAMS}"

Téléchargez le fichier init.d d'OpenERP :

command wget "https://raw.github.com/biapy/howto.biapy.com/master/openerp/openerp-server.init-d" \
    --quiet --no-check-certificate --output-document="/etc/init.d/openerp-server-${INSTANCE_NAME}"
command sed -i \
    -e "s|server.cfg|${INSTANCE_NAME}/server.cfg|g" \
  "/etc/init.d/openerp-server-${INSTANCE_NAME}"
command chmod +x "/etc/init.d/openerp-server-${INSTANCE_NAME}"

Téléchargez le modèle de configuration d'OpenERP :

command wget "https://raw.github.com/biapy/howto.biapy.com/master/openerp/server.cfg" \
    --quiet --no-check-certificate --output-document="/etc/openerp/${INSTANCE_NAME}/server.cfg"

Détectez le dernier port utilisé :

OPENERP_PORT="$(command grep "^[#\t ]*port" /etc/openerp/*/server.cfg \
     | command cut --delimiter="=" --fields="2-" \
     | command sort \
     | command tail -n 1)"
if [ -n "${OPENERP_PORT}" ]; then
  OPENERP_PORT=$((${OPENERP_PORT} + 3))
else
  OPENERP_PORT="8069"
fi

Insérez les paramètres de base de données dans le fichier de configuration :

command sed -i \
    -e "s|^[#\t ]*logfile =.*\$|logfile = /var/log/openerp/server/${INSTANCE_NAME}.log|" \
    -e "s|^[#\t ]*port =.*\$|port = ${OPENERP_PORT}|" \
    -e "s|^[#\t ]*db_user =.*\$|db_user = ${PGSQL_USER}|" \
    -e "s|^[#\t ]*db_password =.*\$|db_password = ${PGSQL_PASSWORD}|" \
    -e "s|^[#\t ]*db_host =.*\$|db_host = ${PGSQL_HOST}|" \
    -e "s|^[#\t ]* =.*\$|db_host = ${PGSQL_HOST}|" \
 "/etc/openerp/${INSTANCE_NAME}/server.cfg"

Créez un mot de passe "Master" pour le serveur:

MASTER_PASSWORD="$(command apg -q -a 0 -n 1 -m 16 -x 24 -M NCL)"

Ajoutez le mot de passe "Master" au fichier de configuration:

command echo "admin_passwd = ${MASTER_PASSWORD}" >> "/etc/openerp/${INSTANCE_NAME}/server.cfg"

Autorisez le serveur à modifier le fichier de configuration de façon à ce que le changement du mot de passe Master par l'interface Web soit fonctionnel:

command chown openerp-server "/etc/openerp/${INSTANCE_NAME}/server.cfg"

Faites en sorte que le serveur démarre automatiquement au démarrage :

command update-rc.d openerp-server-${INSTANCE_NAME} defaults

Démarrez le serveur OpenERP :

/etc/init.d/openerp-server-${INSTANCE_NAME} start

Affichez le mot de passe maître et notez le précieusement:

command echo "Le mot de passe maître est: '${MASTER_PASSWORD}'"

Installation du client Web

Installez les dépendances d'installation :

command apt-get install python-cherrypy3 python-mako python-pybabel \
    python-formencode python-simplejson python-pyparsing python \
    python-dev build-essential python-setuptools

Récupérez l'URL de la dernière version stable :

SOURCE_URL=$(command wget --quiet --output-document=- 'http://www.openerp.com/downloads' \
    | command grep --max-count=1 '/stable/source/openerp-web-.*.tar.gz' \
    | command sed -e 's/^.*href.*href.*href="\([^"]*\)".*$/\1/g')

Obtenez le numéro de version à partir de l'URL :

VERSION=$(command echo "${SOURCE_URL}" | command sed -e 's/.*openerp-web-\(.*\)\.tar\.gz/\1/g')

Téléchargez les sources de l'application :

command wget --output-document="/tmp/openerp-web-${VERSION}.tar.gz" "${SOURCE_URL}"

Décompressez les sources :

command tar --directory="/tmp" -xzf "/tmp/openerp-web-${VERSION}.tar.gz"

Placez-vous dans le dossier des sources :

command pushd "/tmp/openerp-web-${VERSION}/"

Compilez le client Web :

command python setup.py build

Installez le client Web :

command python setup.py install

Quittez le dossier des sources:

command popd

Supprimez les fichiers téléchargés:

command rm -r "/tmp/openerp-web-${VERSION}/"
command rm "/tmp/openerp-web-${VERSION}.tar.gz"

Créez l'utilisateur destiné à exécuter le client :

command mkdir --parent "/var/log/openerp"
command adduser --system --shell /bin/sh \
    --group --home "/var/log/openerp/web" \
    --no-create-home openerp-web

Créez le dossier destiné à contenir les fichiers de log :

command mkdir --parent "/var/log/openerp/web"
command chown -R openerp-web:openerp-web "/var/log/openerp/web"

Autorisez la modification du dossier addons par le client Web:

INSTALL_PATH="$(command find "/usr/local/lib" -name "openerp_web-${VERSION}*.egg")"
command chown -R openerp-web:openerp-web "${INSTALL_PATH}/addons"

Configuration du client Web

Installez le fichier init.d du client Web :

command wget "https://raw.github.com/biapy/howto.biapy.com/master/openerp/openerp-web.init-d" \
    --quiet --no-check-certificate --output-document="/etc/init.d/openerp-web-${INSTANCE_NAME}"
command sed -i \
    -e "s|web.cfg|${INSTANCE_NAME}/web.cfg|g" \
  "/etc/init.d/openerp-web-${INSTANCE_NAME}"
command chmod +x "/etc/init.d/openerp-web-${INSTANCE_NAME}"

Installez le modèle de configuration du client Web:

command find /usr/local/lib/ -name "openerp-web.cfg" \
    | command sort | command tail -n 1 \
    | command xargs -IFILE cp FILE "/etc/openerp/${INSTANCE_NAME}/web.cfg"

Modifiez le port pour l'adapter à l'instance serveur que vous avez installer en suivant les instructions de la section précédente et activez les fichiers journaux :

command sed -i \
    -e 's|^server.environment = .*$|server.environment = "production"|g' \
    -e "s|^port = .*\$|port = $((${OPENERP_PORT} + 2))|g" \
    -e 's|server.socket_host = .*$|server.socket_host = "127.0.0.1"|g' \
    -e "s|.*tools.proxy.on = .*\$|tools.proxy.on = True|g" \
    -e "s|.*dblist.filter = .*\$|dblist.filter = 'EXACT'|g" \
    -e "s|.*log.access_file = .*\$|log.access_file = \"/var/log/openerp/web/${INSTANCE_NAME}-access.log\"|g" \
    -e "s|.*log.error_file = .*\$|log.error_file = \"/var/log/openerp/web/${INSTANCE_NAME}-error.log\"|g" \
  "/etc/openerp/${INSTANCE_NAME}/web.cfg"

Faites en sorte que le serveur démarre automatiquement au démarrage :

command update-rc.d openerp-web-${INSTANCE_NAME} defaults

Démarrez le serveur Web OpenERP :

/etc/init.d/openerp-web-${INSTANCE_NAME} start

Mise en place d'un OpenERP sur un domaine

Renseignez le nom de domaine ou sera disponible l'application :

DOMAIN="erp.domaine-exemple.fr"

Créez la configuration Apache 2 correspondante :

command a2tools --template reverse-proxy "${DOMAIN}" "http://localhost:8080/"

Sauvegardes

L'ensemble des données d'OpenERP est sont contenues dans la base de données. La procédure pour sauvegarder un serveur PostgreSQL est disponible dans l'article Installer PostgreSQL sur Debian.

Administration

Pour administrer le serveur OpenERP, cliquez sur le bouton "Bases de données" sur la page d'identification de l'interface Web.

Vous aurez alors la possibilité d'ajouter une nouvelle base pour une entreprise. Le mot de passe demandé est le mot de passe "Maître" configuré lors de l'installation du serveur.

Ajout d'une base de données

Par défault, le client Web OpenERP filtre les bases de données selon le sous-domaine utilisé pour accéder à l'interface Web.

Par exemple, si vous accédez à OpenERP via l'URL "https://gestion.biapy.fr/", la base de données doit obligatoirement se nommer "gestion" pour qu'elle apparaisse dans le formulaire d'identification de l'interface Web.

Remarque: ce comportement peut être modifié à l'aide de l'option "dblist.filter" du fichier de configuration de l'interface Web.

Les noms de base de données ne peuvent contenir de caractères spéciaux tels que "." ou "-". L'underscore "_" est toutefois autorisé.

Lors de la création d'une nouvelle base de données, ne cochez pas plus de 2 modules initiaux sous peine de rencontrer des erreurs de timeout. Vous pouvez ajouter des modules supplémentaires par la suite.

Utilisation

Lisez le livre OpenERP, pour une gestion d'entreprise efficace et intégrée pour plus d'informations sur l'utilisation d'OpenERP (télécharger la version PDF).

Remerciements

• Merci aux développeurs de OpenERP.
• Merci à GitHub pour l'hébergement des scripts init.d d'OpenERP.

• Debian 6.0 Squeeze

Pré-requis

Ce guide nécessite la présence d'un serveur Munin sur le réseau. Référez-vous au guide Installer un serveur Munin sur Debian.

Installation

Identifiez-vous sur l'hôte à surveiller avec Munin.

Renseignez l'adresse IP du serveur Munin:

MUNIN_IP="127.0.0.1"

Installez le nœud de supervision:

command apt-get install munin-node

Autorisez le serveur Munin à accéder au nœud:

if [ "${MUNIN_IP}" != "127.0.0.1" ]; then
  command echo "
# Allow access from ${MUNIN_IP}
allow ^$(command echo "${MUNIN_IP}" | command sed -e 's/\./\\./g')\$" \
    >> '/etc/munin/munin-node.conf'
fi

Augmentez le timeout du nœud pour limiter les erreurs lorsque la charge serveur est haute:

echo "# raise node timeout
timeout 120" \
    >> '/etc/munin/munin-node.conf'

Rechargez la configuration du nœud:

/etc/init.d/munin-node restart

Désactivez le plugin iostat s'il ne détecte aucune valeur (dans une machine virtuelle Xen par exemple):

if [ -e '/etc/munin/plugins/iostat' -a -z "$(command munin-run iostat)" ]; then
  command rm '/etc/munin/plugins/iostat'
  /etc/init.d/munin-node restart
fi

Détectez le nom de l'hôte:

FQDN_HOST="$(command hostname --fqdn)"

Détectez l'adresse IP de l'hôte local:

NET_DEV="eth0"
NET_IP=$(command ifconfig ${NET_DEV} \
    | command grep "inet " \
    | command sed -e 's/^.*inet [^:]*:\([^ ]*\) .*$/\1/')

Configurez Munin pour surveiller l'hôte et rechargez la configuration (le mot de passe demandé est celui du compte root du serveur Munin):

if [ "${MUNIN_IP}" != "127.0.0.1" ]; then
  ssh root@${MUNIN_IP} "echo \"[${FQDN_HOST}]
  address ${NET_IP}
  use_node_name yes
\" > '/etc/munin/munin-conf.d/${FQDN_HOST}.conf';
/etc/init.d/munin-node restart"
else
  echo "[${FQDN_HOST}]
  address 127.0.0.1
  use_node_name yes" > "/etc/munin/munin-conf.d/${FQDN_HOST}.conf"
/etc/init.d/munin-node restart
fi

Configuration des plugins

Configuration automatique

La commande suivante auto-détecte quels sont les plugins disponibles pour l'hôte, et indique comment les installer:

command munin-node-configure --shell --suggest

Attention, seul les plugins présents dans les paquets Debian sont installés. Des plugins supplémentaires sont disponibles sur Internet.

Supervision d'Apache 2

Si un serveur Apache 2 est présent sur l'hôte, configurez la supervision par Munin.

Installez les bibliothèques Perl nécessaire au plugin:

if [ -x '/etc/init.d/apache2' ]; then
  command apt-get install libwww-perl liblwp-useragent-determined-perl
fi

Activez les modules status et info du serveur, et recharger la configuration:

if [ -x '/etc/init.d/apache2' ]; then
  command a2enmod status
  /etc/init.d/apache2 force-reload
fi

Assurez-vous que l'accès au statuts du serveur HTTP est possible:

if [ -x '/etc/init.d/apache2' -a ! -e '/etc/apache2/sites-enabled/000-default' ]; then
  command ln -s '../sites-available/default' '/etc/apache2/sites-enabled/000-default'
  /etc/init.d/apache2 reload
fi

Activez les modules nécessaires:

if [ -x '/etc/init.d/apache2' ]; then
  command ln -s '/usr/share/munin/plugins/apache_accesses' '/etc/munin/plugins'
  command ln -s '/usr/share/munin/plugins/apache_processes' '/etc/munin/plugins'
  command ln -s '/usr/share/munin/plugins/apache_volume' '/etc/munin/plugins'
fi

Rechargez la configuration:

/etc/init.d/munin-node restart

Supervision de PHP APC

Si PHP APC est présent sur l'hôte, configurez la surveillance par Munin:

Installez le plugin:

if [ -e '/etc/php5/conf.d/apc.ini' ]; then
  command wget 'http://munin-php-apc.googlecode.com/svn/trunk/php_apc/php_apc_' \
      --quiet --output-document='/usr/share/munin/plugins/php_apc_'
  command chmod +x '/usr/share/munin/plugins/php_apc_'
  for MODE in usage hit_miss purge fragmentation files rates; do
    command ln -s "/usr/share/munin/plugins/php_apc_" "/etc/munin/plugins/php_apc_${MODE}"
  done
fi

Téléchargez le script PHP d'affichage des informations APC:

if [ -e '/etc/php5/conf.d/apc.ini' ]; then
  command wget 'http://munin-php-apc.googlecode.com/svn/trunk/php_apc/apc_info.php' \
    --output-document='/var/lib/munin/apc_info.php'
fi

Configurez la page de statut dans Apache 2:

if [ -e '/etc/php5/conf.d/apc.ini' -a -d '/etc/apache2/conf.d' ]; then
  echo "
Alias /apc-info /var/lib/munin/apc_info.php
<Location /apc-info>
    Order deny,allow
    Deny from all
    Allow from 127.0.0.1 ::1
</Location>" \
    > '/etc/apache2/conf.d/apc-info'
fi

Rechargez la configuration d'Apache 2:

if [ -e '/etc/apache2/conf.d/apc-info' ]; then
  /etc/init.d/apache2 reload
fi

Configurez le plugin:

echo "[php_apc_*]
user root
env.url http://localhost/apc-info?auto" \
    > '/etc/munin/plugin-conf.d/php_apc_'

Rechargez la configuration:

/etc/init.d/munin-node restart

Supervision de PHP FPM

Si le serveur utilise PHP FPM dont l'installation est décrite par Installer PHP-FPM sur Debian (notamment l'ajout de /php-fpm-status), configurez la supervision par Munin:

Installez les plugin:

if [ -e '/etc/init.d/php5-fpm' ]; then
  for MODE in average connections memory processes status; do
    command wget "https://raw.github.com/tjstein/php5-fpm-munin-plugins/master/phpfpm_${MODE}" \
        --no-check-certificate --quiet --output-document="/etc/munin/plugins/phpfpm_${MODE}"
    chmod +x "/etc/munin/plugins/phpfpm_${MODE}"
  done
fi

Configurez les plugins:

echo "[phpfpm_*]
user root
env.url http://localhost/php-fpm-status
env.phpbin php-fpm" \
    > '/etc/munin/plugin-conf.d/phpfpm_'

Rechargez la configuration:

/etc/init.d/munin-node restart

Supervision de Phusion Passenger

Si le serveur utilise le module Phusion Passenger d'Apache 2, configurez la supervision par Munin.

Installez les logiciels nécessaires:

if [ -x '/usr/bin/passenger-status' ]; then
  command apt-get install sudo
fi

Installez les plugin:

if [ -x '/usr/bin/passenger-status' ]; then
  command wget "https://raw.github.com/munin-monitoring/contrib/master/plugins/passenger/passenger_status" \
      --no-check-certificate --quiet --output-document="/etc/munin/plugins/passenger_status"
  chmod +x "/etc/munin/plugins/passenger_status"
fi

Configurez les plugins:

echo "[passenger_status]
user root" \
    > '/etc/munin/plugin-conf.d/passenger_status'

Rechargez la configuration:

/etc/init.d/munin-node restart

Supervision de fail2ban

Si fail2ban est présent sur l'hôte, configurez la supervision par Munin:

if [ -x '/etc/init.d/fail2ban' ]; then
  command cp '/usr/share/munin/plugins/fail2ban' '/etc/munin/plugins'
fi

Corrigez le script pour que les noms de valeur graphées par Munin ne contiennent pas de "-" (le "-" déclenche la non détection des valeurs fournies par le plugins):

if [ -e '/etc/munin/plugins/fail2ban' ]; then
  command sed -i -e 's|$jail|${jail//[^0-9A-Za-z]/_}|' '/etc/munin/plugins/fail2ban'
fi

Configurez le plugin fail2ban:

echo "[fail2ban]
user root" \
    > '/etc/munin/plugin-conf.d/fail2ban'

Rechargez la configuration de Munin:

/etc/init.d/munin-node restart

Supervision de MySQL

Si un serveur MySQL est présent sur l'hôte, configurez la supervision par Munin.

Installez les logiciels nécessaires:

if [ -x '/etc/init.d/mysql' ]; then
  command apt-get install libcache-cache-perl libipc-sharelite-perl
fi

Activez les plugins nécessaires:

if [ -x '/etc/init.d/mysql' ]; then
  for MODE in $(/usr/share/munin/plugins/mysql_ suggest); do
    command ln -s '/usr/share/munin/plugins/mysql_' "/etc/munin/plugins/mysql_${MODE}"
  done
fi

Si votre serveur MySQL n'utilise pas la réplication, supprimez le plugin concerné:

test -e 'etc/munin/plugins/mysql_replication' && rm '/etc/munin/plugins/mysql_replication'

Rechargez la configuration de Munin:

/etc/init.d/munin-node restart

Supervision de PostgreSQL

Si un serveur PostgreSQL est présent sur l'hôte, configurez la supervision par Munin:

Installez les logiciels nécessaires:

if [ -x '/etc/init.d/postgresql' ]; then
  command apt-get install libdbd-pg-perl
fi

Activez les plugins nécessaires:

if [ -x '/etc/init.d/postgresql' ]; then
  for PLUGIN in $(command find '/usr/share/munin/plugins' -type f -name 'postgres_*' | command grep -v '_$'); do
    command ln -s "${PLUGIN}" "/etc/munin/plugins/$(command basename ${PLUGIN})"
  done
  for PLUGIN in $(command find '/usr/share/munin/plugins' -type f -name 'postgres_*' | command grep '_$'); do
    command ln -s "${PLUGIN}" "/etc/munin/plugins/$(command basename ${PLUGIN}ALL)"
  done
fi

Configurez les plugins:

echo "[postgres_*]
user postgres" \
    > '/etc/munin/plugin-conf.d/postgres_'

Rechargez la configuration de Munin:

/etc/init.d/munin-node restart

Supervision de Memcached

Si Memcached est installé sur l'hôte, installez le plugin:

if [ -x '/etc/init.d/memcached' ]; then
  command wget 'https://raw.github.com/munin-monitoring/contrib/master/plugins/memcached/memcached_multi_' \
      --no-check-certificate --quiet --output-document='/usr/share/munin/plugins/memcached_multi_'
  command chmod +x '/usr/share/munin/plugins/memcached_multi_'
fi

Activez le plugin:

if [ -x '/etc/init.d/memcached' ]; then
  for MODE in bytes commands conns evictions items memory; do
    command ln -s '/usr/share/munin/plugins/memcached_multi_' "/etc/munin/plugins/memcached_multi_${MODE}"
  done
fi

Rechargez la configuration:

/etc/init.d/munin-node restart

Supervision de Bind 9

Si un serveur Bind 9 est présent sur l'hôte, configurez la supervision par Munin.

Assurez-vous que le fichier query.log est présent. Sa configuration est décrite dans la section Journaux du guide Configurer un serveur DNS Bind sur Debian.

Activez les plugins de Munin:

if [ -x '/etc/init.d/bind9' ]; then
  command ln -s '/usr/share/munin/plugins/bind9' '/etc/munin/plugins'
  command ln -s '/usr/share/munin/plugins/bind9_rndc' '/etc/munin/plugins'
fi

Configurez le plugin bind9:

echo "[bind9]
user root
env.logfile /var/log/named/query.log" \
    > '/etc/munin/plugin-conf.d/bind9'

Créez le fichier d'état du plugin:

command touch "/var/lib/munin/plugin-state/bind9.state"
command chown nobody:munin "/var/lib/munin/plugin-state/bind9.state"

Configurez le plugin bind9_rndc:

echo "[bind9_rndc]
user root
env.querystats /var/cache/bind/named.stats" \
    > '/etc/munin/plugin-conf.d/bind9_rndc'

Initialisez le fichier de statistiques:

command rndc stats

Rechargez la configuration:

/etc/init.d/munin-node restart

Supervision de Cyrus

Si un serveur IMAP Cyrus est présent sur l'hôte, configurez la supervision par Munin.

Installez le plugin:

command wget "https://trac.bawue.org/munin/browser/cyrus-imapd?format=txt" \
    --quiet --output-document="/etc/munin/plugins/cyrus-imapd"
command chmod +x "/etc/munin/plugins/cyrus-imapd"

Configurez le plugin:

echo "[cyrus-imapd]
user root" \
    > '/etc/munin/plugin-conf.d/cyrus-imapd'

Rechargez la configuration:

/etc/init.d/munin-node restart

Supervision d'Amavis

Si Amavis est présent sur l'hôte, installez les logiciels nécessaires:

if [ -x '/etc/init.d/amavis' ]; then
  command apt-get install logtail
fi

Activez le plugin:

if [ -x '/etc/init.d/amavis' ]; then
  command ln -s '/usr/share/munin/plugins/amavis' '/etc/munin/plugins'
fi

Configurez le plugin:

command sed -i -e 's/mail\.info/mail.log/' '/etc/munin/plugin-conf.d/munin-node'

Rechargez la configuration:

/etc/init.d/munin-node restart

Supervision de vsFTPd

Si vsFTPd est présent sur l'hôte, installez les logiciels nécessaires:

if [ -x '/etc/init.d/vsftpd' ]; then
  command apt-get install logtail
fi

Installez le plugin:

if [ -x '/etc/init.d/vsftpd' ]; then
  command wget 'https://raw.github.com/munin-monitoring/contrib/master/plugins/ftp/vsftpd-rel' \
      --no-check-certificate --quiet --output-document='/etc/munin/plugins/vsftpd-rel'
  command chmod +x '/etc/munin/plugins/vsftpd-rel'
fi

Configurez le plugin:

echo "[vsftpd-rel]
user root" \
    > '/etc/munin/plugin-conf.d/vsftpd-rel'

Rechargez la configuration:

/etc/init.d/munin-node restart

Supervision du cache Varnish

Si un serveur de cache Varnish est présent sur l'hôte, configurez la supervision:

Activez les plugins nécessaires:

if [ -x '/etc/init.d/varnish' ]; then
  for MODE in $(/usr/share/munin/plugins/varnish_ suggest); do
    test -e "/etc/munin/plugins/varnish_${MODE}" || command ln -s '/usr/share/munin/plugins/varnish_' "/etc/munin/plugins/varnish_${MODE}"
  done
fi

Rechargez la configuration:

/etc/init.d/munin-node restart

Supervision de rTorrent

Si rTorrent est présent sur l'hôte, installez les logiciels nécessaires:

if [ -x '/etc/init.d/vsftpd' ]; then
  command apt-get install logtail
fi

Installez les plugins:

if [ -x '/etc/init.d/rtorrent' ]; then
  for MODE in mem peers spdd vol; do
    command wget "https://raw.github.com/munin-monitoring/contrib/master/plugins/rtorrent/rtom_${MODE}" \
      --output-document="/etc/munin/plugins/rtom_${MODE}"
    command chmod +x "/etc/munin/plugins/rtom_${MODE}"
  done
fi

Rechargez la configuration:

/etc/init.d/munin-node restart

Supervision de OpenVPN

Si OpenVPN est présent sur l'hôte, installez le plugin:

if [ -x '/etc/init.d/openvpn' ]; then
  command wget 'https://raw.github.com/biapy/munin-openvpn/master/openvpn_usercount' \
      --no-check-certificate --quiet --output-document='/usr/share/munin/plugins/openvpn_usercount'
  command chmod +x '/usr/share/munin/plugins/openvpn_usercount'
  command wget 'https://raw.github.com/biapy/munin-openvpn/master/openvpn_usertransfer' \
      --no-check-certificate --quiet --output-document='/usr/share/munin/plugins/openvpn_usertransfer'
  command chmod +x '/usr/share/munin/plugins/openvpn_usertransfer'
fi

Activez le plugin pour vos réseaux VPN, et configurez le (script valide pour les installations réalisées avec le guide Installer et configurer OpenVPN sur Debian):

command find '/var/log/openvpn' -mindepth 1 -type d | while read LINE; do
  for MODE in usertransfer usercount; do
    NETWORK_NAME="$(command basename "${LINE}")"
    command ln -s "/usr/share/munin/plugins/openvpn_${MODE}" "/etc/munin/plugins/openvpn_${MODE}_${NETWORK_NAME}"
    echo "[openvpn_${MODE}_${NETWORK_NAME}]
user root
env.statusfile /var/log/openvpn/${NETWORK_NAME}/openvpn-status.log" \
    > "/etc/munin/plugin-conf.d/openvpn_${MODE}_${NETWORK_NAME}"
  done
done

Rechargez la configuration:

/etc/init.d/munin-node restart

Supervision de Nagios

Si Nagios est installé sur l'hôte, installez le plugin:

if [ -x '/etc/init.d/nagios' ]; then
  command wget 'https://raw.github.com/munin-monitoring/contrib/master/plugins/nagios/nagios_multi_' \
      --no-check-certificate --quiet --output-document='/usr/share/munin/plugins/nagios_multi_'
  command chmod +x '/usr/share/munin/plugins/nagios_multi_'
fi

Activez le plugin:

if [ -x '/etc/init.d/nagios' ]; then
  for MODE in checks hosts services; do
    command ln -s '/usr/share/munin/plugins/nagios_multi_' "/etc/munin/plugins/nagios_multi_${MODE}"
  done
fi

Configurez le plugin:

command echo "[nagios_multi_*]
user root
env.binary $(command which nagiostats)" \
    > '/etc/munin/plugin-conf.d/nagios_multi_'

Rechargez la configuration:

/etc/init.d/munin-node restart

Supervision de Xen

Pour superviser un hyperviseur Xen, installez le plugin:

if [ -x '/usr/sbin/xentop' ]; then
  command wget 'https://raw.github.com/munin-monitoring/contrib/master/plugins/xen/xen-multi' \
      --no-check-certificate --quiet --output-document='/usr/share/munin/plugins/xen-multi'
  command chmod +x '/usr/share/munin/plugins/xen-multi'
fi

Activez le plugin:

if [ -x '/usr/sbin/xentop' ]; then
  command ln -s '/usr/share/munin/plugins/xen-multi' "/etc/munin/plugins/xen-multi"
fi

Configurez le plugin:

command echo "[xen-multi]
user root" \
    > '/etc/munin/plugin-conf.d/xen-multi'

Rechargez la configuration:

/etc/init.d/munin-node restart

Supervision de Plone

La supervision d'un serveur Plone nécessite la modification du buildout. La procédure est décrite dans l'article Monitoring avec Munin, dans la documentation pour intégrateurs de Plone.

Supervision d'autres services et outils

De nombreux plugins Munin sont disponibles dans le dépôt GitHub de Munin.

Résolution des problèmes

Journaux

Affichez les éventuelles erreurs générés par le nœud munin avec:

command tail -n 50 -f '/var/log/munin/munin-node.log'

Tester un plugin

L'outil munin-run permet de tester les résultats d'un plugin. Par exemple, pour le plugin "memory":

Affichez la configuration:

command munin-run memory config

Affichez les valeurs:

command munin-run memory

Exécuter en mode débogage:

command munin-run --debug --pidebug memory

Remerciements

• Merci aux développeurs de Munin.
• Merci à GitHub pour l'hébergement des fichiers utilisés par ce guide.
• Merci à Andreas Thienemann pour le plugin Munin cyrus-imapd.
• Merci à Debian/Ubuntu Tips & Tricks pour Munin/Bind9 Plugin.
• Merci à Kevin Deldycke pour PHP APC on Debian Squeeze with Munin monitoring.
• Merci aux développeurs de munin-php-apc.
• Merci à T. J. Stein pour les plugins PHP-FPM pour Munin.

• Debian 6.0 Squeeze

Prérequis

Ce guide nécessite un serveur Syslog-NG disposant d'une configuration modulaire, telle que décrite par Créer une configuration modulaire pour Syslog-NG.

Ce guide recommande la création d'un certificat SSL / TLS auto-signé pour chiffrer les connections au serveur Syslog-NG

Paramètres

Renseignez le nom de domaine du certificat SSL à utiliser:

DOMAIN="$(command hostname --fqdn)"

Obtenez les noms de fichier des clefs du certificats:

KEY_FILE="/etc/ssl/private/${DOMAIN}.key"
CERT_FILE="/etc/ssl/certificates/${DOMAIN}.crt"

Installation

Configuration du serveur Syslog-NG

Détectez l'adresse IP du serveur:

NET_DEV="eth0"
NET_IP=$(command ifconfig "${NET_DEV}" \
    | command grep "inet " \
    | command sed -e 's/^.*inet [^:]*:\([^ ]*\) .*$/\1/')
echo "${NET_IP}"

Configurez l'écoute sur le port TCP 540, chiffré si possible:

if [ -f "${KEY_FILE}" -a -f "${CERT_FILE}" ]; then
echo "# Allow for clients to send theirs logs over TCP.
source s_net { tcp(ip(${NET_IP}) port(540) max_connections(50)
  tls( key_file("${KEY_FILE}")
       cert_file("${CERT_FILE}")
       peer_verify(optional-untrusted))); };" \
 > '/etc/syslog-ng/syslog-ng.conf.d/102-sources_net.conf'
else
  echo "# Allow for clients to send theirs logs over TCP.
source s_net { tcp(ip(${NET_IP}) port(540) max_connections(50)); };" \
    > '/etc/syslog-ng/syslog-ng.conf.d/102-sources_net.conf'
fi

Remarque: Si vous avez plus de 50 hôtes clients, augmentez la valeur de l'option max_connections.

Configurez l'enregistrement des messages en provenance de la source s_net dans un sous-dossier de "/var/log/by-host":

for FILE in "103-destinations-by_host.conf" "105-logs-s_net.conf" "106-logs-s_net-by_host.conf" "107-logs-s_src-by_host.conf"; do
  command wget "https://raw.github.com/biapy/howto.biapy.com/master/syslog-ng/syslog-ng.conf.d/${FILE}" \
      --quiet --no-check-certificate --output-document="/etc/syslog-ng/syslog-ng.conf.d/${FILE}"
done

Configurez la rotation des journaux présents dans "/var/log/by-host":

command wget "https://raw.github.com/biapy/howto.biapy.com/master/syslog-ng/syslog-ng-by_host.logrotate-d" \
      --quiet --no-check-certificate --output-document="/etc/logrotate.d/000-syslog-ng-by_host"

Si nécessaire, préparez la clef publique du certificat SSL utilisé pour gérer l'identification des clients:

if [ -f "${CERT_FILE}" ]; then
  command mkdir --parent '/etc/syslog-ng/cert.d'
  command cp "${CERT_FILE}" "/etc/syslog-ng/cert.d/$(command basename "${CERT_FILE}")"
  command ln -s "$(command basename "${CERT_FILE}")" \
      "/etc/syslog-ng/cert.d/$(command openssl x509 -noout -hash -in "${CERT_FILE}").0"
fi

Configurez l'enregistrement des messages dans le backend MySQL si nécessaire:

if [ -e '/etc/syslog-ng/syslog-ng.conf.d/mysql-backend.conf' ]; then
  echo "# Log net messages to MySQL:
log { source(s_net); destination(d_mysql); };" > '/etc/syslog-ng/syslog-ng.conf.d/mysql-backend-s_net.conf'
fi

Rechargez la configuration:

/etc/init.d/syslog-ng restart

Ajout d'un hôte client

Renseignez l'adresse IP du serveur Syslog-NG:

SYSLOG_IP="xx.xx.xx.xx"

Si nécessaire, obtenez le certificat SSL du serveur:

command scp -pr root@${SYSLOG_IP}:"/etc/syslog-ng/cert.d" "/etc/syslog-ng"

Générez la configuration:

TLS_CONFIG=""
if [ -d '/etc/syslog-ng/cert.d' ]; then
  TLS_CONFIG='tls(ca_dir("/etc/syslog-ng/cert.d"))'
fi
CONFIG="# Destination: ${SYSLOG_IP}
destination d_net { tcp(\"${SYSLOG_IP}\" port(540) ${TLS_CONFIG} log_fifo_size(1000)); };
# Send s_src to d_net.
log { source(s_src); destination(d_net); };"

Configurez l'envoi des informations au serveur Syslog-NG:

if [ -d '/etc/syslog-ng/syslog-ng.conf.d' ]; then
  echo "${CONFIG}" > '/etc/syslog-ng/syslog-ng.conf.d/d_net.conf'
else
  echo "${CONFIG}" >> '/etc/syslog-ng/syslog-ng.conf'
fi

Rechargez la configuration:

/etc/init.d/syslog-ng restart; command tail -f '/var/log/syslog'

Remerciements

• Merci aux développeurs de Syslog-NG.
• Merci à Papertrail pour Configuring remote syslog from Unix/Linux and BSD/OS X.
• Merci à l'Institute for Clinical and Translational Science pour Add TLS Functionality to your syslog-ng setup.

• Debian 6.0 Squeeze

Pré-requis

Ce guide nécessite un serveur MySQL disposant du script mysql-tools disponible dans le guide Installer et configurer MySQL sur Debian.

Ce guide nécessite un serveur HTTP avec support du PHP disposant au choix d'un des scripts suivant :

• Le script a2tools disponible dans le guide Installer Apache 2 sur Debian.

Ce guide recommande l'enregistrement des journaux Syslog dans une base MySQL.

Paramètres

Renseignez le nom de domaine ou sera disponible l'application :

DOMAIN="logs.domaine-exemple.fr"

Renseignez le nom d'hôte de votre serveur MySQL (si vous ne savez pas de quoi il s'agit, ne modifiez pas cette valeur) :

MYSQL_HOST="localhost"

Si votre serveur MySQL n'est pas local, ce guide effectuera une connexion SSH pour y créer la base de données.

Installation

Déterminez le chemin d'installation:

INSTALL_PATH="/opt/loganalyzer/${DOMAIN}"

Assurez-vous que le dossier parent existe:

PARENT_PATH="$(command dirname "${INSTALL_PATH}")"
if [ ! -e "${PARENT_PATH}" ]; then
  command mkdir --parent "${PARENT_PATH}"
fi

Préparation de l'environnement

Installez les logiciels nécessaires au bon fonctionnement de l'application :

command apt-get install php5-mysql php5-gd php5-cli apg mysql-client

Autorisez le serveur HTTP à accéder aux journaux:

command adduser www-data adm

Rechargez la configuration de PHP selon la méthode d'installation utilisée:

test -x /etc/init.d/php5-fpm && /etc/init.d/php5-fpm restart
test -x /etc/init.d/apache2 && /etc/init.d/apache2 force-reload
test -x /etc/init.d/lighttpd && /etc/init.d/lighttpd force-reload
test -x /etc/init.d/nginx && /etc/init.d/nginx force-reload

Création de la base de données

Créez la base de données :

if [ "${MYSQL_HOST}" = "localhost" ]; then
  MYSQL_PARAMS=$(command mysql-tools --db-prefix="loganalyzer" --create "${DOMAIN}")
else
  command echo "Saisissez le mot de passe de l'utilisateur root MySQL :"
  command read -s PASSWORD
  MYSQL_PARAMS=$(command ssh "root@${MYSQL_HOST}" "command mysql-tools \
       --db-prefix='loganalyzer' --host='$(command cat '/etc/mailname')' \
       --password='${PASSWORD}' --create '${DOMAIN}'")
fi

Récupérez les paramètres de la nouvelle base de données:

MYSQL_DB="$(echo "${MYSQL_PARAMS}" | command grep -e "^MYSQL_DB" \
    | cut --delimiter="=" --fields="2-")"
MYSQL_USER="$(echo "${MYSQL_PARAMS}" | command grep -e "^MYSQL_USER" \
    | cut --delimiter="=" --fields="2-")"
MYSQL_PASSWORD="$(echo "${MYSQL_PARAMS}" | command grep -e "^MYSQL_PASSWORD" \
    | cut --delimiter="=" --fields="2-")"
echo "${MYSQL_PARAMS}"

Générez des préfixes de table afin d'augmenter la sécurité contre les attaques par injection SQL:

TABLE_PREFIX="$(command apg -q -a  0 -n 1 -M NCL)"

Mise en place de l'application

Récupérez l'URL de la dernière version de l'application :

VERSION=$(command wget --quiet --output-document=- \
        "http://loganalyzer.adiscon.com/downloads" \
    | grep --max-count=1 --extended-regexp \
        "(downloads/loganalyzer-|download.adiscon.com).*stable" \
    | command sed -e 's/.*loganalyzer-v*\(.*\)-v.*/\1/' \
    | command tr '-' '.')
SOURCE_URL="http://download.adiscon.com/loganalyzer/loganalyzer-${VERSION}.tar.gz"

Téléchargez la dernière version de l'application :

command wget "${SOURCE_URL}" --output-document="/tmp/loganalyzer-${VERSION}.tar.gz"

Décompressez l'archive téléchargée :

command tar --directory '/tmp' -xzf "/tmp/loganalyzer-${VERSION}.tar.gz"

Déplacez le dossier créé vers son emplacement final :

command mv "/tmp/loganalyzer-${VERSION}" "${INSTALL_PATH}"

Supprimez l'archive téléchargée:

command rm "/tmp/loganalyzer-${VERSION}.tar.gz"

Créez le fichier de configuration et supprimez le script d'installation standard:

command rm "${INSTALL_PATH}/src/install.php"
command cp "${INSTALL_PATH}/src/include/config.sample.php" "${INSTALL_PATH}/src/config.php"

Configurez la connexion à la base de données:

command sed -i \
    -e "s|\('UserDBEnabled'.*=\).*|\1 true;|" \
    -e "s|\('UserDBServer'.*=\).*|\1 '${MYSQL_HOST}';|" \
    -e "s|\('UserDBName'.*=\).*|\1 '${MYSQL_DB}';|" \
    -e "s|\('UserDBPref'.*=\).*|\1 '${TABLE_PREFIX}_';|" \
    -e "s|\('UserDBUser'.*=\).*|\1 '${MYSQL_USER}';|" \
    -e "s|\('UserDBPass'.*=\).*|\1 '${MYSQL_PASSWORD}';|" \
    -e "s|\('UserDBLoginRequired'.*=\).*|\1 true;|" \
    -e "s|\('HeaderDefaultEncoding'.*=\).*|\1 ENC_UTF8;|" \
    "${INSTALL_PATH}/src/config.php"

Initialisez la base de données:

command cat "${INSTALL_PATH}/src/include/db_template.txt" \
    | command sed -e "s/logcon_/${TABLE_PREFIX}_/g" \
    | command mysql --user="${MYSQL_USER}" --password="${MYSQL_PASSWORD}" \
    --host="${MYSQL_HOST}" "${MYSQL_DB}"

Renseignez la version de la base de données:

DB_VERSION=$(command grep "database_internalversion" "${INSTALL_PATH}/src/include/functions_db.php" \
    | command sed -e 's/^.*=[^"]*"\([^"]*\)".*$/\1/')
command echo "INSERT INTO ${TABLE_PREFIX}_config (propname, propvalue, is_global)
          VALUES ('database_installedversion', '${DB_VERSION}', 1)" \
    | command mysql --user="${MYSQL_USER}" --password="${MYSQL_PASSWORD}" \
    --host="${MYSQL_HOST}" "${MYSQL_DB}"

Générez le mot de passe de l'utilisateur d'administration et mettez à jour la base de données:

ADMIN_PASSWORD="$(command apg -q -a  0 -n 1 -M NCL)"
echo "INSERT INTO ${TABLE_PREFIX}_users(username, password, is_admin, is_readonly)
          VALUES ('admin', '$(command php -r "echo md5('${ADMIN_PASSWORD}');")', 1, 0)" \
    | command mysql --user="${MYSQL_USER}" --password="${MYSQL_PASSWORD}" \
    --host="${MYSQL_HOST}" "${MYSQL_DB}"

Configurez la première source de données:

echo "INSERT INTO ${TABLE_PREFIX}_sources(Name, SourceType, ViewID, LogLineType, DiskFile, DBRecordsPerQuery)
          VALUES ('$(command cat '/etc/mailname')', 1, 'SYSLOG', 'syslog', '/var/log/syslog', 100)" \
    | command mysql --user="${MYSQL_USER}" --password="${MYSQL_PASSWORD}" \
    --host="${MYSQL_HOST}" "${MYSQL_DB}"

Configurez le serveur HTTP pour servir le site Internet:

command a2tools "${DOMAIN}" "${INSTALL_PATH}/src"

Affichez les paramètres de connexion à l'outil et notez les précieusement:

echo "URL : http://${DOMAIN}/
User : admin
Password: ${ADMIN_PASSWORD}"

Si vous utilisez Syslog-NG, les colonnes "facility" et "severity" resteront vide car LogAnalyzer attends des valeurs numériques pour ces données, et Syslog-NG utilise des chaînes de caractères.

Remerciements

• Merci aux développeurs de Adiscon LogAnalyzer.

• Debian 6.0 Squeeze

Pré-requis

Ce guide nécessite un serveur MySQL disposant du script mysql-tools disponible dans le guide Installer et configurer MySQL sur Debian.

Ce guide nécessite un serveur Syslog-NG disposant d'une configuration modulaire, telle que décrite par Créer une configuration modulaire pour Syslog-NG.

Paramètres

Renseignez le nom d'hôte du serveur configuré :

DOMAIN="$(cat '/etc/mailname')"

Renseignez le nom d'hôte de votre serveur MySQL (si vous ne savez pas de quoi il s'agit, ne modifiez pas cette valeur) :

MYSQL_HOST="localhost"

Si votre serveur MySQL n'est pas local, ce guide effectuera une connexion SSH pour y créer la base de données.

Installation

Préparation de l'environnement

Installez les logiciels nécessaires:

command apt-get install mysql-client libdbd-mysql

Création de la base de données

Créez la base de données :

if [ "${MYSQL_HOST}" = "localhost" ]; then
  MYSQL_PARAMS=$(command mysql-tools --db-prefix="syslog" --create "${DOMAIN}")
else
  command echo "Saisissez le mot de passe de l'utilisateur root MySQL :"
  command read -s PASSWORD
  MYSQL_PARAMS=$(command ssh "root@${MYSQL_HOST}" "command mysql-tools \
       --db-prefix='syslog' --host='$(command cat '/etc/mailname')' \
       --password='${PASSWORD}' --create '${DOMAIN}'")
fi

Récupérez les paramètres de la nouvelle base de données:

MYSQL_DB="$(echo "${MYSQL_PARAMS}" | command grep -e "^MYSQL_DB" \
    | cut --delimiter="=" --fields="2-")"
MYSQL_USER="$(echo "${MYSQL_PARAMS}" | command grep -e "^MYSQL_USER" \
    | cut --delimiter="=" --fields="2-")"
MYSQL_PASSWORD="$(echo "${MYSQL_PARAMS}" | command grep -e "^MYSQL_PASSWORD" \
    | cut --delimiter="=" --fields="2-")"
echo "${MYSQL_PARAMS}"

Créez la table destinée à contenir les journaux:

command echo "CREATE TABLE IF NOT EXISTS logs (
	id bigint unsigned NOT NULL AUTO_INCREMENT,
	host varchar(128) default NULL,
	facility varchar(10) default NULL,
	priority varchar(10) default NULL,
	level varchar(10) default NULL,
	tag varchar(10) default NULL,
	datetime datetime default NULL,
	program varchar(15) default NULL,
	msg text,
	seq bigint unsigned NOT NULL default '0',
	counter int(11) NOT NULL default '1',
	fo datetime default NULL,
	lo datetime default NULL,
	PRIMARY KEY  (id),
	KEY datetime (datetime),
	KEY sequence (seq),
	KEY priority (priority),
	KEY facility (facility),
	KEY program (program),
	KEY host (host)
) ENGINE=MyISAM;" \
  | command mysql --user="${MYSQL_USER}" --password="${MYSQL_PASSWORD}" \
            --host="${MYSQL_HOST}" "${MYSQL_DB}"

Configuration de Syslog-NG

Configurez Syslog-NG pour stocker les messages dans la base de données:

echo "# Log to MySQL table.

options {
        stats_freq(3600);
        keep_hostname(yes);
        flush_lines(16);
        log_fifo_size(16384);
};

destination d_mysql {
        sql(type(mysql)
        host(\"${MYSQL_HOST}\") username(\"${MYSQL_USER}\") password(\"${MYSQL_PASSWORD}\")
        database(\"${MYSQL_DB}\")
        table(\"logs\")
        columns(\"host\", \"facility\", \"priority\", \"level\", \"tag\", \"datetime\", \"program\", \"msg\")
        values(\"\$HOST_FROM\", \"\$FACILITY\", \"\$PRIORITY\", \"\$LEVEL\", \"\$TAG\", \"\$YEAR-\$MONTH-\$DAY \$HOUR:\$MIN:\$SEC\", \"\$PROGRAM\", \"\$MSG\")
        indexes(\"host\", \"facility\", \"priority\", \"datetime\", \"program\"));
};

log { source(s_src); destination(d_mysql); };" \
    > '/etc/syslog-ng/syslog-ng.conf.d/mysql-backend.conf'

Redémarrez le démon:

/etc/init.d/syslog-ng restart

Création d'un utilisateur MySQL pour la consultation

Créez l'utilisateur spécialisé pour la lecture des données enregistrées par Syslog-NG :

if [ "${MYSQL_HOST}" = "localhost" ]; then
  MYSQL_PARAMS=$(command mysql-tools --db-prefix="syslog" --user-prefix="s_r" \
      --grant="SELECT" --adduser="${DOMAIN}" "${DOMAIN}")
else
  command echo "Saisissez le mot de passe de l'utilisateur root MySQL :"
  command read -s PASSWORD
  MYSQL_PARAMS=$(command ssh "root@${MYSQL_HOST}" "command mysql-tools \
      --db-prefix='syslog' --user-prefix='s_r' --host='$(command cat '/etc/mailname')' \
      --password='${PASSWORD}' --grant='SELECT' --adduser='${DOMAIN}' '${DOMAIN}'")
fi

Récupérez les paramètres du nouvel utilisateur:

echo "${MYSQL_PARAMS}"

Remerciements

• Merci à la communauté Gentoo pour Syslog-ng directly to MySQL.

• Debian 6.0 Squeeze

Prérequis

Ce guide nécessite une installation fonctionnelle de Syslog-NG. Sur un Debian GNU/Linux pur, c'est l'outil de gestion des journaux par défaut.

Installation

Créez le dossier destiné à contenir la configuration modulaire et placez-y la configuration Syslog-NG par défaut:

command mkdir --parent '/etc/syslog-ng/syslog-ng.conf.d'
for FILE in "000-version.conf" "001-options.conf" "002-sources.conf" "003-destinations.conf" "004-filters.conf" "005-logs.conf"; do
  command wget "https://raw.github.com/biapy/howto.biapy.com/master/syslog-ng/syslog-ng.conf.d/${FILE}" \
      --quiet --no-check-certificate --output-document="/etc/syslog-ng/syslog-ng.conf.d/${FILE}"
done

Sauvegardez le fichier de configuration d'origine:

command dpkg-divert --divert '/etc/syslog-ng/syslog-ng.conf.dpkg-orig' \
    --rename '/etc/syslog-ng/syslog-ng.conf'

Sauvegardez le script init.d d'origine:

command dpkg-divert --divert '/etc/init.d/syslog-ng.dpkg-orig' \
    --rename '/etc/init.d/syslog-ng'
command cp -a '/etc/init.d/syslog-ng.dpkg-orig' '/etc/init.d/syslog-ng'

Installez le script init.d pour générant le fichier '/etc/syslog-ng/syslog-ng.conf' quand nécessaire:

command wget "https://raw.github.com/biapy/howto.biapy.com/master/syslog-ng/syslog-ng.init-d" \
    --quiet --no-check-certificate --output-document='/etc/init.d/syslog-ng'
command chmod +x '/etc/init.d/syslog-ng'

Rechargez la configuration de Syslog-NG:

/etc/init.d/syslog-ng reload

La configuration de Syslog-NG peut maintenant être ajustée en plaçant des fichiers avec l'extension ".conf" dans le dossier "/etc/syslog-ng/syslog-ng.conf.d".

Remerciements

• Merci à GitHub pour l'hébergement du script init.d modifié pour Syslog-NG.

• Debian 6.0 Squeeze

Prérequis

Ce guide nécessite un serveur Memcached, dont l'installation est décrite par Installer Memcached sur Debian.

Ce guide nécessite un serveur MySQL disposant du script mysql-tools disponible dans le guide Installer et configurer MySQL sur Debian.

Paramètres

Renseignez le nom d'hôte du serveur configuré (utilisé pour nommer la base de donnée et la table):

DOMAIN="$(cat '/etc/mailname')"

Renseignez le nom d'hôte de votre serveur MySQL (si vous ne savez pas de quoi il s'agit, ne modifiez pas cette valeur):

MYSQL_HOST="localhost"

Si votre serveur MySQL n'est pas local, ce guide effectuera une connexion SSH pour y créer la base de données.

Installation

Préparation de l'environnement

Installez les logiciels et modules PHP nécessaires à l'installation et au bon fonctionnement de l'application:

command apt-get install php5-mysql php5-memcached apg

Générez des préfixes de table et de champ aléatoires afin d'augmenter la sécurité contre les attaques par injection SQL:

TABLE_PREFIX="$(command apg -q -a  0 -n 1 -M NCL)"
FIELD_PREFIX="$(command apg -q -a  0 -n 1 -M NCL)"

Création de la base de données

Créez la base de données :

if [ "${MYSQL_HOST}" = "localhost" ]; then
  MYSQL_PARAMS=$(command mysql-tools --db-prefix="php-session" --create "${DOMAIN}")
else
  command echo "Saisissez le mot de passe de l'utilisateur root MySQL :"
  command read PASSWORD
  MYSQL_PARAMS=$(command ssh "root@${MYSQL_HOST}" "command mysql-tools \
       --db-prefix='php-session' --host='$(command cat /etc/mailname)' \
       --password='${PASSWORD}' --create '${DOMAIN}'")
fi

Récupérez les paramètres de la nouvelle base de données:

MYSQL_DB="$(echo "${MYSQL_PARAMS}" | command grep -e "^MYSQL_DB" \
    | cut --delimiter="=" --fields="2-")"
MYSQL_USER="$(echo "${MYSQL_PARAMS}" | command grep -e "^MYSQL_USER" \
    | cut --delimiter="=" --fields="2-")"
MYSQL_PASSWORD="$(echo "${MYSQL_PARAMS}" | command grep -e "^MYSQL_PASSWORD" \
    | cut --delimiter="=" --fields="2-")"
echo "${MYSQL_PARAMS}"

Créez la table destinée à contenir les sessions:

command wget 'https://raw.github.com/biapy/howto.biapy.com/master/php5/mysql-memcached-sessionhandler/memcached_mysql_sessionhandler.sql' \
    --quiet --no-check-certificate --output-document=- \
  | command mysql --user="${MYSQL_USER}" --password="${MYSQL_PASSWORD}" \
    --host="${MYSQL_HOST}" "${MYSQL_DB}"

Configuration de PHP

Créez le dossier destiné à contenir le code de gestion des sessions:

command mkdir --parent '/etc/php5/session-management'

Créez le fichier de configuration de la gestion des sessions:

echo "<?php
/**
 * Memcached + MySQL session storage for ${DOMAIN}.
 *
 * MySQL connection configuration file
 */
abstract class Memcached_MySQL_SessionHandler_Config
{
  const MYSQL_HOST = '${MYSQL_HOST}';
  const MYSQL_DB = '${MYSQL_DB}';
  const MYSQL_USER = '${MYSQL_USER}';
  const MYSQL_PASSWORD = '${MYSQL_PASSWORD}';

  const TABLE_PREFIX = '${TABLE_PREFIX}';
  const FIELD_PREFIX = '${FIELD_PREFIX}';

  const MEMCACHED_ID = '${TABLE_PREFIX}';
  // Memcached servers list.
  // To add multiple Memcached servers use:
  // const MEMCACHED_SERVERS='xx.xx.xx.ip:port:weight,xx.xx.xx.ip:port:weight,...'
  const MEMCACHED_SERVERS = '127.0.0.1:11211';
}" \
  > '/etc/php5/session-management/memcached_mysql_sessionhandler_config.class.php'

Téléchargez le code de gestion des sessions:

command wget 'https://raw.github.com/biapy/howto.biapy.com/master/php5/mysql-memcached-sessionhandler/memcached_mysql_sessionhandler.class.php' \
    --quiet --no-check-certificate --output-document='/etc/php5/session-management/memcached_mysql_sessionhandler.class.php'

Activez la gestion des sessions avec MySQL et Memcached pour l'ensemble des sites présents sur le serveur:

command echo "; Storing session in Memcached + MySQL server.
session.save_handler = user
auto_prepend_file=/etc/php5/session-management/memcached_mysql_sessionhandler.class.php" \
 > '/etc/php5/conf.d/sessions-store-memcached-mysql.ini'

Rechargez la configuration de PHP selon la méthode d'installation utilisée:

test -x /etc/init.d/php5-fpm && /etc/init.d/php5-fpm restart
test -x /etc/init.d/apache2 && /etc/init.d/apache2 force-reload
test -x /etc/init.d/lighttpd && /etc/init.d/lighttpd force-reload
test -x /etc/init.d/nginx && /etc/init.d/nginx force-reload

Remerciements

• Merci à Keboola pour PHP Sessions with Memcached and a Database (Sessions in the Cloud Done Right).
• Merci à GitHub pour l'hébergement des sources de ce guide : Handle PHP sessions with Memcached and MySQL.

• Debian 6.0 Squeeze

Prérequis

Ce guide nécessite un serveur Memcached, dont l'installation est décrite par Installer Memcached sur Debian.

Avantages et Inconvénients

Inconvénients

L'utilisation de Memcached pour stocker les sessions impose les limitations suivantes:

• Les sessions stockées ne peuvent dépasser une taille de 1 Mo.
• Les sessions ne sont pas persistantes, et un redémarrage du démon Memcached les supprime.
• Il est impossible de contrôler la durée des sessions.
• Le nombre de sessions gérées est limitées par la taille du cache Memcached.

N'utilisez pas Memcached pour gérer les sessions PHP si celles-ci doivent contenir des informations critiques (dans le cas d'un site E-commerce par exemple).

Avantages

Utiliser Memcached pour stocker les sessions apporte les avantages suivants:

• L'accès aux données de session est Très rapide, car elle sont stockées en mémoire.
• Il n'y a pas à gérer un mécanisme de suppression des sessions périmées, Memcached s'en charge.
• Dans les limites de la mémoire assignée à Memcached, le système peut gérer facilement plusieurs dizaines de milliers de connexions simultanées.

Paramètres

Renseignez l'adresse IP du serveur Memcached:

MEMCACHED_IP="127.0.0.1"

Renseignez le port du serveur Memcached:

MEMCACHED_PORT="11211"

Installation

Installez le module PHP5 pour Memcache:

command apt-get install php5-memcached

Remarque: De nombreux guides disponibles sur Internet utilisent php5-memcache plutôt que php5-memcached. php5-memcached est recommandé, car plus récent et disposant de plus de fonctionnalités.

Configurez PHP5 pour stocker les sessions dans le serveur Memcached:

command echo "; Storing session in memcached server.
session.save_handler = memcached
session.save_path=\"${MEMCACHED_IP}:${MEMCACHED_PORT}\"" \
 > '/etc/php5/conf.d/sessions-store-memcached.ini'

Rechargez la configuration de PHP selon la méthode d'installation utilisée:

test -x /etc/init.d/php5-fpm && /etc/init.d/php5-fpm restart
test -x /etc/init.d/apache2 && /etc/init.d/apache2 force-reload
test -x /etc/init.d/lighttpd && /etc/init.d/lighttpd force-reload
test -x /etc/init.d/nginx && /etc/init.d/nginx force-reload

Remerciements

• Merci à Hio.fr pour PHP session avec memcached.
• Merci à Artur Ejsmont pour PHP session in Mysql VS Memcached.

• Debian 6.0 Squeeze

Installation

Installez le serveur:

command apt-get install memcached

Le serveur est maintenant fonctionnel.

Augmenter la taille du cache

Si le serveur de cache est très utilisé, augmentez la taille du cache. Renseignez la nouvelle taille du cache (en Mo):

MEMCACHE_SIZE="128"

Appliquez la configuration:

command sed -i -e "s/^-m .*/-m ${MEMCACHE_SIZE}/" \
    '/etc/memcached.conf'

Redémarrez le serveur:

/etc/init.d/memcached restart

Autoriser l'accès depuis le réseau (dangereux)

Cette procédure est dangereuse et peut entraîner des failles de sécurité. Ne l'utilisez que si vous savez ce que vous faites !

Pour pouvoir utiliser le serveur Memcached depuis d'autres hôtes présent sur le réseau, commandez l'option "-l":

command sed -i -e "s/^-l /#-l /" \
    '/etc/memcached.conf'

Redémarrez le serveur:

/etc/init.d/memcached restart

Remarque: pour désactiver ce réglage, utilisez:

command sed -i -e "s/^#-l .*/-l 127.0.0.1/" \
    '/etc/memcached.conf'
/etc/init.d/memcached restart

Statistiques

L'outil memcached-tool permet d'obtenir des statistiques de fonctionnement du serveur.

Affichez l'état courant du cache mémoire:

/usr/share/memcached/scripts/memcached-tool 127.0.0.1:11211 display

Affichez les statistiques de fonctionnement du serveur:

/usr/share/memcached/scripts/memcached-tool 127.0.0.1:11211 stats

Affichez le contenu du cache:

/usr/share/memcached/scripts/memcached-tool 127.0.0.1:11211 dump

Le serveur de supervision Munin permet d'obtenir des graphiques d'utilisation des ressources du serveur Memcached au fil du temps.

Remerciements

• Merci aux développeurs de Memcached.