Co zrobić ze starego komputera? Można zrobić mały domowy serwer gier lub przerobić na NASa, albo zrobić z niego potężny router. A co zrobić ze starego serwera? Wiele rzeczy. Oczywiście zawsze można zrobić router, dodatkową pamięć sieciową, można też zrobić wielkie szambo do zbierania, a w tym przypadku również analizowania logów.
Dawno temu czyli około roku 2014 lub 2015, stał w pracy stareńki serwer z procesorem dwurdzeniowym, 512MB RAM i dwoma dyskami 120GB. Stał tak i się kurzył. Pewnego dnia jednak uzyskał status “szamba”, na które zrzucane miały być logi z przełączników, serwerów czy komputerów. Serwer jednak był wiekowy i nie przeżył zbyt długo. Na szczęście firmowy NAS ma możliwość zbierania logów i przejął funkcję firmowego “szamba”.
No ale zbieranie logów to jedno, a ich analiza, to zupełnie inna para kaloszy. Aby tego dokonać trzeba mieć wdrożone specjalne oprogramowanie. Na czym je jednak postawić? Na kolejnym starym i wycofanym z użytku serwerze. Tak się złożyło, że trochę ponad rok temu, uruchomiliśmy nowy serwer z okienkami na pokładzie. Stara u wysłużona maszyna firmy ADAX z płytą SuperMicro, procesorem czterordzeniowym i 4 GB RAMu, została wyłączona. W listopadzie trafili się jednak praktykanci, których zadaniem wyczyszczenie serwera, postawienie na nim świeżego systemu serwerowego i wypróbowanie kilku systemów do zbierania i analizy logów. Wspomniany serwer ma kilka zalet. Po pierwsze posiada cztery zatoki na dyski 3,5”, i ma wysokość 1U. To jednak jest też jego wada, ponieważ jest dość głośny i pierwszy plan, polegający na umieszczeniu go w pokoju informatyków, należało porzucić. Z zebranych dysków udało się skompletować dwie sztuki po 500GB każda i drugą parę o pojemności 1 TB. Do dopełnienia całości dołożony został dysk SSD o pojemności 120GB na system. Pozostałe dyski w RAID 1 zostały zamontowane jako kolektor logów i archiwum logów.
Teraz jednak trzeba przejść do części softwaerowej. Jako system operacyjny posłużył Ubuntu Server 20.04 LTS, a do logów wybór był pomiędzy Graylog, a ELK Stack. Dla obu tych produktów istnieją otwarte i oczywiście darmowe wersje. Nie będę jednak opisywał jak praktykantom poszło, ale w dużym skrócie, prawie im się udało uruchomić Grayloga. To znaczy uruchomić to go uruchomili, ale nie udało się zebrać ani jednego loga. Serwer przeszedł więc reinstalację systemu i świeżą instalację Grayloga na podstawie poradnika strony producenta. O dziwo wszystko uruchomiło się za pierwszym razem czyli poradnik jest bardzo dobry, a i admin (czyli ja) nie za tępy. Tak czy inaczej moim oczom ujawnił się ekran logowania.
A zaraz po zalogowaniu się, pierwszy ekran i pozostało pytanie co dalej?
Tutaj małe wyjaśnienie. Próbowałem sam instalować i używać ELKa, jednak ilość konfiguracji i możliwości “troszkę” mnie przytłoczyła. Dla tamtego narzędzia miałbym pomysł na zastosowanie do analizy danych, ale nie podejmę się tego zadania samodzielnie, tylko zaproszę kogoś z doświadczeniem. Wracając jednak do Grayloga. Producent ma na tyle dobrze przygotowaną dokumentację oraz poradniki, że w ciągu niecałej godziny miałem skonfigurowane podstawowe zbieranie logów na podstawie syslogów różnych grup urządzeń. Teraz pozostaje przebrnąć przez resztę dokumentacji aby móc nie tylko zbierać ,ale również analizować logi, a także wprowadzić automatyzm w zakresie reagowania na określone błędy czy komunikaty.
Na razie jest więc sukces. Stary serwer otrzymał nowe życie i pełni całkiem odpowiedzialną funkcję. Instytucja zyskuje profesjonalne narzędzie do logów, nie ponosząc przy tym kosztów licencyjnych. Mi też przyda się “doktoryzacja” z systemu, który będę mógł wdrożyć w kilku innych jednostkach. Boje się tylko co w tych logach odkryję.