Lire: Unterschied zwischen den Versionen

Aus Mikiwiki
Zur Navigation springen Zur Suche springen
Keine Bearbeitungszusammenfassung
Keine Bearbeitungszusammenfassung
 
(8 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt)
Zeile 1: Zeile 1:
Das Paket <b>Lire</b> dient der [[Logdateianalyse]] auf [[Rechnern]] und kann aufgrund seines modularen Aufbaus auch um eigene Module erweitert werden. Unter anderem erstellt Lire auch eine Statistik, die Rückschlüsse auf Angriffe zulässt und gibt Informationen über Zugriffe von Suchmaschinen-Robotern. Die Ergebnisse können in verschiedenen Formaten ausgegeben werden (u. a. HTML mit Grafiken, Text und PDF). Das Paket enthält folgende Programme:
Das Paket <b>Lire</b> ist in Perl geschrieben und dient der [[Protokolldateiauswertung]] von [[Netzwerkdiensten]]. Aufgrund seines modularen Aufbaus kann es auch um eigene Module erweitert werden. Unter anderem erstellt Lire auch eine Statistik, die Rückschlüsse auf Angriffe zulässt und gibt Informationen über Zugriffe von Suchmaschinen-Robotern. Die Ergebnisse können in verschiedenen Formaten ausgegeben werden (u. a. HTML mit Grafiken, Text und PDF). Das Paket enthält folgende Programme:


{| class=wiki
{| class=wiki
Zeile 7: Zeile 7:
| <b>lr_cron</b> || Ablauf der in einem "DLF store" konfigurierten regelmässigen Jobs.
| <b>lr_cron</b> || Ablauf der in einem "DLF store" konfigurierten regelmässigen Jobs.
|-
|-
| <b>lr_log2report</b> || Erzeugt aus einer Logdatei einen Bericht.
| <b>lr_log2report</b> || Erzeugt aus einer Protokolldatei einen Bericht.
* "lr_log2report --help dlf-converters" zeigt die verfügbaren DLF-Konverter.
* "lr_log2report --help dlf-converters" zeigt die verfügbaren DLF-Konverter.
* "lr_log2report --help output-formats" zeigt die verfügbaren Ausgabeformate (u. a. HTML, PDF, Text, XML).
* "lr_log2report --help output-formats" zeigt die verfügbaren Ausgabeformate (u. a. HTML, PDF, Text, XML).
Zeile 16: Zeile 16:
== Funktionsweise ==
== Funktionsweise ==


[[image:lire_architektur01.jpg|framed|right|Die Architektur von Lire]] Lire eignet sich zur Logdateianalyse im Betriebssystem sowie von Webservern, Mailservern oder Datenbanken, die sämtliche eigene Logdateien führen.
[[image:lire_architektur01.jpg|framed|right|Die Architektur von Lire]] Lire eignet sich zur Protokolldateiauswertung sehr vieler [[Netzwerkdienste]], die so untereinander auch vergleichbar werden.
 
Lire ermöglicht die Planung von Hardware-Upgrades und eignet sich zur Entdeckung von Unregelmässigkeiten beim Gebrauch von Netzwerkdiensten. Unter anderem werden die Protokolldateiformate folgender Netzwerkdienste unterstützt.
 
{| class=wiki
! Netzwerkdienst !! Unterstützte Programme
|-
| WWW || [[Apache HTTP Server]], Boa, Microsoft IIS
|-
| DNS || bind v8 und v9 querylogs)
|-
| Firewall || Cisco IOS; Linux ipchains, ipfilter und iptables; BSD IP Filter; WELF von Webtrends
|-
| E-Mail || Exim, [[Postfix]], qmail, [[sendmail]], Netscape Messaging Server, Argosoft
|-
| Drucken || [[CUPS]], [[Lprng]]
|-
| FTP || Proftpd, Wu-ftpd, Microsoft IIS
|-
| Proxy || [[Squid]], WELF Proxies, Microsoft ISA
|-
| Datenbanken || [[Mysql]]
|}
 
Lire unterstützt verschiedene Ausgabeformate (HTML, XHTML, XML, PDF, ASCII-Text) für die erzeugten Berichte (engl. reports), wobei einige dieser Formate auch eine grafische Darstellung der Daten unterstützen.


Das Programm ist in Perl und Bash geschrieben und setzt besonders auf XML. Es arbeitet in mehreren Schritten:
Das Programm ist in Perl und Bash geschrieben und setzt besonders auf XML. Es arbeitet in mehreren Schritten:
* Die Logdateien werden in einem "Distilled Log Format / DLF" normalisiert. Lire 2.0.2 besitzt 38 Eingabeformate, ein neuer Dienst lässt sich einfach hinzufügen, indem ein entsprechender Konverter für das DLF-Format geschrieben wird.
* Die Protokolldateien werden in einem "Distilled Log Format / DLF" normalisiert. Lire 2.0.2 besitzt 38 Eingabeformate, ein neuer Dienst lässt sich einfach hinzufügen, indem ein entsprechender Konverter für das DLF-Format geschrieben wird.
* Die Logdateien werden mit generischen Werkzeugen für verschiedene Dienste analysiert.
* Die Protokolldateien werden mit generischen Werkzeugen für verschiedene Dienste analysiert.
* Das Ausgabeformat ist XML.
* Das Ausgabeformat ist XML.
* Die XML-Dateien lassen sich in das jeweils gewünschte Logdatei-Format überführen.
* Die XML-Dateien lassen sich in das jeweils gewünschte Protokolldateiformat überführen.


Zu den besonderen Stärken von Lire gehört sein modularer Aufbau, der es beispielsweise erlaubt, verschiedene Implementationen desselben Dienstes (z. B. Exim und Postfix) miteinander zu vergleichen.
Zu den besonderen Stärken von Lire gehört sein modularer Aufbau, der es beispielsweise erlaubt, verschiedene Implementationen desselben Dienstes (z. B. Exim und Postfix) miteinander zu vergleichen.


Lire wandelt eine Protokolldatei erst ins interne "Distilled Log Format / DLF" um - eine einfache, kommagetrennte ASCII-Datei. Jedes aufgezeichnete Ereignis wird durch eine Zeile mit einer festgelegten Anzahl Felder dargestellt. Jeder unterstützte Netzwerkdienst besitzt sein eigenes Protokolldateiformat und ebenso seinen 2dlf-Konverter. Ein Superservice ist eine Klasse von Anwendungen, die dasselbe DLF unterstützen und so dieselben Berichte erzeugen. Ein Lire-Bericht besteht aus verschiedenen Unterberichten, die als Tabelle oder in grafischer Form angezeigt werden können. Zusätzlich zu den mitgelieferten Unterberichten können in der "Lire Report Specification Markup Language" auch eigene definiert werden, das sieht beispielsweise wie folgt aus:


...
<lire:report-calc-spec>
  <lire:group sort="-mail_volume" limit="$domain_to_show">
    <lire:field name="to_domain"/>
    <lire:sum name="mail_volume" field="size"/>
  </lire:group>
</lire:report-calc-spec>
...


== Installation ==


=== Ubuntu 8.04 Hardy Heron ===


Damit auch Grafiken korrekt erzeugt werden, muss vor Lire zuerst das Paket "ploticus" installiert werden.


$ <b>sudo apt-get install ploticus</b>
$ <b>sudo apt-get install lire</b>


=== Ubuntu 10.04 Lucid Lynx ===


This paper gives an introduction to Lire, LogReport's tool for performing an integrated analysis of all your Internet and Intranet Services.
$ <b>sudo apt-get install lire</b>
 
Log files contain the traces of computer activity, and by intelligently analyzing these traces you can learn a lot about the behavior of a system and its users. However, log file analysis is tedious because programs generate a lot of data and tools to report on this data are unavailable or incomplete. In cases where such tools do exist, they are quite often specific to one product, which means that you can't compare your qmail and Exim mail servers. As a result, rotate is quite often the only application dealing with the logs.
1. Lire
 
The LogReport project tries to tackle the problems as outlined above by developing Lire. Lire is a software package to generate useful reports from raw log files of various network programs. Lire is Free Software released under the GNU GPL.
 
The package is actively being maintained by the LogReport team, which currently consists of five experienced software developers. The development can be followed live on our CVS on SourceForge. A new release gets shipped almost monthly.
 
Lire runs on four different Unixen, GNU/Linux included. Since it's written in Perl, porting to different platforms is easy. Lire is shipped as a tarball (autoconfiscated), as an RPM and as a Debian package. A FreeBSD port package is available too.
 
Figure 1. Lire's Architecture
 
Lire enables you to schedule hardware upgrades, detect anomalities in usage from services. It can be used as a tool in building a traffic-based accounting system for external customers. It gives insight in who's talking to who, which is valuable for marketing and business planners.
 
>Lire currently supports log files from
 
    * www (apache, IIS, Boa)
    * dns (bind v8 and v9 querylogs)
    * firewall (cisco IOS, Linux ipchains ipfilter and iptables, BSD IP Filter, WELF from Webtrends)
    * email (Exim, Postfix, qmail, sendmail, Netscape Messaging Server, ArGoSoft)
    * print (CUPS, LPRng)
    * ftp (ProFTPD, WU-FTPD, MS IIS)
    * proxy (squid, WELF proxies, MS ISA)
    * database (MySQL)
          o Lire also supports various output formats for the generated reports: HTML, XHTML, XML, PDF and plain ASCII. Some of these formats support graphical representation of the data.
 
            Lire represents the log file in a DLF file (for Distilled Log Format). This is a simple space-separated line-oriented ASCII file. Each logged event is represented by one fixed-fields line. A service coincides with one well-defined raw log file format. Each service has its 2dlf-convertor. A superservice is a class of applications which share the same DLF format, and which will give the same reports. A Lire report consists of several subreports, which can be displayed in graphical form, or as a table. A lot of subreports (144, as of march 2002) come with Lire predefined, but of course you can define your own reports. A report definition is written in the Lire Report Specification Markup Language; it looks like e.g.


            [...]
Das Aufbereiten einer Protokolldatei ist leider nicht möglich, sondern bricht mit folgendem Fehler ab:
            <lire:report-calc-spec>
              <lire:group sort="-mail_volume" limit="$domain_to_show">
                  <lire:field name="to_domain"/>
                  <lire:sum name="mail_volume" field="size"/>
              </lire:group>
            </lire:report-calc-spec>
            [...]


            We plan to ship Lire version 1.0 in June 2002. This release will enable the merging of reports stored in a report datawarehouse, in order to solve problems one frequently encounters in complex networked environments. Lire 1.0 will offer industry-strength log file analysis.
$ <b>lr_log2report combined /var/log/apache2/access.log</b>
Parsing log file using combined DLF Converter...
lr_log2report: ERROR store doesn't contain a 'lire_import_log' stream at
  /usr/share/perl5/Lire/DlfConverterProcess.pm line 170


            Figure 2. A subreport from the www superservice.
Siehe dazu auch: https://bugs.launchpad.net/ubuntu/+source/lire/+bug/668719
 
            LogReport offers an Online Responder service. You can send (compressed) logfiles in email messages to dedicated addresses, like <log@postfix.logreport.org> and get a report back as a response. Optionally, you can anonimize the log before submitting it, using a simple script which comes with Lire. Logs can be submitted via an HTTP file upload interface as well.
            2. The LogReport Project
 
            If you like Lire, you can help! We need log files to test our code, and to be able to add support for more services. Of course we also welcome code contributions. Contact us if you would like to share your code.
 
            Finally: Fund us: Funding from the NLnet Foundation which currently enables us to spend a lot of time on Lire will run out in the near future. Other ways to support Lire's continued development are possible too, of course. Contact us if you're interested.
 
 
 
 
 
 
 
 
 
== Installation ==
 
=== Ubuntu 8.04 Hardy Heron ===
 
Damit auch Grafiken korrekt erzeugt werden, muss vor Lire zuerst das Paket "ploticus" installiert werden.
 
$ <b>sudo apt-get install ploticus</b>
$ <b>sudo apt-get install lire</b>


== Konfiguration ==
== Konfiguration ==
Zeile 104: Zeile 88:
* Im Menü "Lire > Preferences..." finden sich die allgemeinen Einstellungen.
* Im Menü "Lire > Preferences..." finden sich die allgemeinen Einstellungen.
* Im Menü "Store > New..." können zur regelmässigen Erzeugung von Berichten sogenannte "DLF stores" angelegt und dazu "import jobs" bzw. "report jobs" hinzugefügt werden.
* Im Menü "Store > New..." können zur regelmässigen Erzeugung von Berichten sogenannte "DLF stores" angelegt und dazu "import jobs" bzw. "report jobs" hinzugefügt werden.
** Ein "import job" parst und wandelt bestimmte Logdateien zur weiteren Verarbeitung in die "store database".
** Ein "import job" parst und wandelt bestimmte Protokolldateien zur weiteren Verarbeitung in die "store database".
** Ein "report job" verarbeitet die gesammelten Daten, um Berichte herzustellen und zu formatieren.
** Ein "report job" verarbeitet die gesammelten Daten, um Berichte herzustellen und zu formatieren.


Zeile 113: Zeile 97:
Anwendungsbeispiele finden sich in der Datei "/usr/share/doc/lire/README".
Anwendungsbeispiele finden sich in der Datei "/usr/share/doc/lire/README".


Aufruf von Lire, um im Ausgabeformat ("-o") "html" die im Format "common" vorliegende Logdatei "/var/log/apache2/access.log" auszugeben und die Ergebnisse in das im aktuellen Verzeichnis liegende Unterverzeichniss "report" zu schreiben. Das Verzeichnis "report" enthält danach unter anderem die Datei "index.html", die über den Webbrowser angesehen werden kann.
Aufruf von Lire, um im Ausgabeformat ("-o") "html" die im Format "common" vorliegende Protokolldatei "/var/log/apache2/access.log" auszugeben und die Ergebnisse in das im aktuellen Verzeichnis liegende Unterverzeichnis "report" zu schreiben. Das Verzeichnis "report" enthält danach unter anderem die Datei "index.html", die über den Webbrowser angesehen werden kann.


  $ <b>lr_log2report -o html common /var/log/apache2/access.log report</b>
  $ <b>lr_log2report -o html common /var/log/apache2/access.log report</b>
Zeile 122: Zeile 106:
  Generating XML report...
  Generating XML report...
  Formatting report as html in report...
  Formatting report as html in report...
Ausgabe einer Liste aller von Lire interpretierbaren Formate.
$ <b>lr_log2report --help dlf-converters</b>


== Weblinks ==
== Weblinks ==


{{Weblinks1|{{url|NL|Logreport Foundation|eng|http://www.logreport.org/|Logreport|Offizielle Homepage}}
{{Weblinks}}
{{url|NL|Logreport Foundation|eng|http://www.logreport.org/|Logreport|Offizielle Homepage}}
{{url|DE|Linuxfocus International|eng|http://www.linuxfocus.org/English/September2001/article213.shtml|Analyzing your internet applications' log files}}
{{url|DE|Linuxfocus International|eng|http://www.linuxfocus.org/English/September2001/article213.shtml|Analyzing your internet applications' log files}}
{{url|DE|Linuxfocus International|eng|http://www.linuxfocus.org/Deutsch/November2001/article218.shtml|Analyse der Logdateien Ihrer Internet-Anwendungen II : Konfiguration der Berichte}}
{{url|DE|Linuxfocus International|eng|http://www.linuxfocus.org/Deutsch/November2001/article218.shtml|Analyse der Logdateien Ihrer Internet-Anwendungen II : Konfiguration der Berichte}}
}}
{{Fuss}}




{{cat|Logdateianalyse}}
{{cat|Protokolldateiauswertung}}
{{cat|Rechner}}
{{cat|Rechner}}
{{cat|Webserver}}
{{cat|Webserver}}

Aktuelle Version vom 6. August 2011, 17:07 Uhr

Das Paket Lire ist in Perl geschrieben und dient der Protokolldateiauswertung von Netzwerkdiensten. Aufgrund seines modularen Aufbaus kann es auch um eigene Module erweitert werden. Unter anderem erstellt Lire auch eine Statistik, die Rückschlüsse auf Angriffe zulässt und gibt Informationen über Zugriffe von Suchmaschinen-Robotern. Die Ergebnisse können in verschiedenen Formaten ausgegeben werden (u. a. HTML mit Grafiken, Text und PDF). Das Paket enthält folgende Programme:

lire Konfiguration von Lire und Aktivierung der automatischen Berichtserzeugung.
lr_cron Ablauf der in einem "DLF store" konfigurierten regelmässigen Jobs.
lr_log2report Erzeugt aus einer Protokolldatei einen Bericht.
  • "lr_log2report --help dlf-converters" zeigt die verfügbaren DLF-Konverter.
  • "lr_log2report --help output-formats" zeigt die verfügbaren Ausgabeformate (u. a. HTML, PDF, Text, XML).
lr_run Ausführen eines Lire-Programms und Behandlung der Logausgaben.

Funktionsweise

Die Architektur von Lire

Lire eignet sich zur Protokolldateiauswertung sehr vieler Netzwerkdienste, die so untereinander auch vergleichbar werden.

Lire ermöglicht die Planung von Hardware-Upgrades und eignet sich zur Entdeckung von Unregelmässigkeiten beim Gebrauch von Netzwerkdiensten. Unter anderem werden die Protokolldateiformate folgender Netzwerkdienste unterstützt.

Netzwerkdienst Unterstützte Programme
WWW Apache HTTP Server, Boa, Microsoft IIS
DNS bind v8 und v9 querylogs)
Firewall Cisco IOS; Linux ipchains, ipfilter und iptables; BSD IP Filter; WELF von Webtrends
E-Mail Exim, Postfix, qmail, sendmail, Netscape Messaging Server, Argosoft
Drucken CUPS, Lprng
FTP Proftpd, Wu-ftpd, Microsoft IIS
Proxy Squid, WELF Proxies, Microsoft ISA
Datenbanken Mysql

Lire unterstützt verschiedene Ausgabeformate (HTML, XHTML, XML, PDF, ASCII-Text) für die erzeugten Berichte (engl. reports), wobei einige dieser Formate auch eine grafische Darstellung der Daten unterstützen.

Das Programm ist in Perl und Bash geschrieben und setzt besonders auf XML. Es arbeitet in mehreren Schritten:

  • Die Protokolldateien werden in einem "Distilled Log Format / DLF" normalisiert. Lire 2.0.2 besitzt 38 Eingabeformate, ein neuer Dienst lässt sich einfach hinzufügen, indem ein entsprechender Konverter für das DLF-Format geschrieben wird.
  • Die Protokolldateien werden mit generischen Werkzeugen für verschiedene Dienste analysiert.
  • Das Ausgabeformat ist XML.
  • Die XML-Dateien lassen sich in das jeweils gewünschte Protokolldateiformat überführen.

Zu den besonderen Stärken von Lire gehört sein modularer Aufbau, der es beispielsweise erlaubt, verschiedene Implementationen desselben Dienstes (z. B. Exim und Postfix) miteinander zu vergleichen.

Lire wandelt eine Protokolldatei erst ins interne "Distilled Log Format / DLF" um - eine einfache, kommagetrennte ASCII-Datei. Jedes aufgezeichnete Ereignis wird durch eine Zeile mit einer festgelegten Anzahl Felder dargestellt. Jeder unterstützte Netzwerkdienst besitzt sein eigenes Protokolldateiformat und ebenso seinen 2dlf-Konverter. Ein Superservice ist eine Klasse von Anwendungen, die dasselbe DLF unterstützen und so dieselben Berichte erzeugen. Ein Lire-Bericht besteht aus verschiedenen Unterberichten, die als Tabelle oder in grafischer Form angezeigt werden können. Zusätzlich zu den mitgelieferten Unterberichten können in der "Lire Report Specification Markup Language" auch eigene definiert werden, das sieht beispielsweise wie folgt aus:

...
<lire:report-calc-spec>
  <lire:group sort="-mail_volume" limit="$domain_to_show">
    <lire:field name="to_domain"/>
    <lire:sum name="mail_volume" field="size"/>
  </lire:group>
</lire:report-calc-spec>
...

Installation

Ubuntu 8.04 Hardy Heron

Damit auch Grafiken korrekt erzeugt werden, muss vor Lire zuerst das Paket "ploticus" installiert werden.

$ sudo apt-get install ploticus
$ sudo apt-get install lire

Ubuntu 10.04 Lucid Lynx

$ sudo apt-get install lire

Das Aufbereiten einer Protokolldatei ist leider nicht möglich, sondern bricht mit folgendem Fehler ab:

$ lr_log2report combined /var/log/apache2/access.log
Parsing log file using combined DLF Converter...
lr_log2report: ERROR store doesn't contain a 'lire_import_log' stream at
  /usr/share/perl5/Lire/DlfConverterProcess.pm line 170

Siehe dazu auch: https://bugs.launchpad.net/ubuntu/+source/lire/+bug/668719

Konfiguration

Die Konfiguration von Lire findet über das Programm "lire" statt. Durch Drücken der Taste "F10" oder "CTRL+X" erscheint die zugehörige Menüleiste, mit der Tabulator-Taste kann zwischen den verschiedenen Fenstern navigiert werden.

  • Im Menü "Lire > Preferences..." finden sich die allgemeinen Einstellungen.
  • Im Menü "Store > New..." können zur regelmässigen Erzeugung von Berichten sogenannte "DLF stores" angelegt und dazu "import jobs" bzw. "report jobs" hinzugefügt werden.
    • Ein "import job" parst und wandelt bestimmte Protokolldateien zur weiteren Verarbeitung in die "store database".
    • Ein "report job" verarbeitet die gesammelten Daten, um Berichte herzustellen und zu formatieren.

Die mittels "lire" gemachten Konfigurationseinstellungen werden in der Datei "~/.lire/config.xml" gespeichert. Systemweite Einstellungen werden im Verzeichnis "/etc/lire" gespeichert.

Verwendung

Anwendungsbeispiele finden sich in der Datei "/usr/share/doc/lire/README".

Aufruf von Lire, um im Ausgabeformat ("-o") "html" die im Format "common" vorliegende Protokolldatei "/var/log/apache2/access.log" auszugeben und die Ergebnisse in das im aktuellen Verzeichnis liegende Unterverzeichnis "report" zu schreiben. Das Verzeichnis "report" enthält danach unter anderem die Datei "index.html", die über den Webbrowser angesehen werden kann.

$ lr_log2report -o html common /var/log/apache2/access.log report
Parsing log file using common DLF Converter...
Extracted 359 DLF records on 359 lines.
Encountered 359 errors and ignored 0 lines.
Running analysers...
Generating XML report...
Formatting report as html in report...

Ausgabe einer Liste aller von Lire interpretierbaren Formate.

$ lr_log2report --help dlf-converters

Weblinks

Herausgeber Sprache Webseitentitel Anmerkungen
Logreport Foundation eng Logreportwbm Offizielle Homepage
Linuxfocus International eng Analyzing your internet applications' log fileswbm
Linuxfocus International eng Analyse der Logdateien Ihrer Internet-Anwendungen II : Konfiguration der Berichtewbm