概述

Rsyslog是比syslog功能更強(qiáng)大的日志記錄系統(tǒng),可以將日志輸出到文件,數(shù)據(jù)庫(kù)和其它程序.可以使用rsyslog替換系統(tǒng)自帶的syslog,。

LogAnalyzer 是一個(gè) syslog 和其他網(wǎng)絡(luò)事件數(shù)據(jù)的 Web 前端工具,提供簡(jiǎn)單易用的日志瀏覽、搜索和基本分析以及圖表顯示,。

本文環(huán)境為CENTOS 6.5平臺(tái)部署Rsyslog+LogAnalyzer

環(huán)境要求

CENTOS 6.5 X64

安裝過程

安裝介質(zhì)

Rsyslog采用系統(tǒng)自帶yum源,。

http://loganalyzer./downloads/

下載LogAnalyzer

RSYSLOG服務(wù)器配置

用root用戶登錄

調(diào)整時(shí)間

#hwclock –set –date=”2013/07/04 13:49″

#hwclock -hctosys

 配置本地YUM源

#mkdir /mnt/cdrom

#mount /dev/cdrom /mnt/cdrom

#cd /etc/yum.repos.d/

#mkdir bak

#mv *.repo bak/

#vi media.repo

[media]

name=media

baseurl=file:///mnt/cdrom

enabled=1

gpgcheck=0

配置前先關(guān)閉iptables和SELINUX，避免安裝過程中報(bào)錯(cuò)。

# service iptables stop

# setenforce 0

# vi /etc/sysconfig/selinux

—————

SELINUX=disabled

安裝MYSQL PHP APACHE

# yum install mysql-server mysql-devel libcurl-devel net-snmp-devel php php-gd php-xml php-mysql httpd

# service mysqld start

# mysql -uroot

mysql> set password=password(‘rootroot’);

安裝rsyslog

# yum install rsyslog rsyslog-mysql -y

注：rsyslog-mysql為rsyslog將日志傳送到mysql數(shù)據(jù)庫(kù)的一個(gè)模塊,，這里必須安裝
若服務(wù)器未安裝RSYSLOG,需要修改/etc/sysconfig/rsyslog文件配置

SYSLOGD_OPTIONS=”-c 2 -r -x -m 180″

KLOGD_OPTIONS=”-x”

各參數(shù)作用：

-c 指定運(yùn)行兼容模式,。

-r 指定監(jiān)聽端口。 默認(rèn)514

-x 在接收客戶端消息時(shí),，禁用DNS查找,。需和-r參數(shù)配合使用。

-m 標(biāo)記時(shí)間戳,。單位是分鐘,，為0時(shí)，表示禁用該功能,。

# cd /usr/share/doc/rsyslog-mysql-5.8.10/

# mysql -uroot -prootroot < createDB.sql

注：創(chuàng)建Syslog庫(kù)并在該庫(kù)中創(chuàng)建了兩張空表

創(chuàng)建rsyslog用戶在mysql下的相關(guān)權(quán)限

# mysql -uroot -prootroot

mysql > grant all privileges on Syslog.* to rsyslog@localhost identified by ”123456″;

mysql > flush privileges;

配置服務(wù)端支持rsyslog-mysql模塊,，并開啟UDP服務(wù)端口獲取網(wǎng)內(nèi)其他LINUX系統(tǒng)日志

# vi /etc/rsyslog.conf

在#### MODULES ####下添加這兩行

$ModLoad ommysql.so

*.* :ommysql:localhost,Syslog,rsyslog,123456

注:localhost表示本地主機(jī)，Syslog為數(shù)據(jù)庫(kù)名,，rsyslog為數(shù)據(jù)庫(kù)的用戶,，123456為該用戶密碼

取消下面三行注釋

$ModLoad immark

$ModLoad imudp

$UDPServerRun 514

重啟服務(wù)：

# service rsyslog restart

(rsyslog client)

# yum install rsyslog -y

配置rsyslog客戶端發(fā)送本地日志到服務(wù)端

# vi /etc/rsyslog.conf

末行添加如下內(nèi)容

*.* @192.168.7.201

注:192.168.7.201 為日志服務(wù)器端IP地址

重啟服務(wù)：

# service rsyslog restart

防火墻開放服務(wù)端口

#service iptables start

/sbin/iptables -I INPUT -p tcp –dport 514 -j ACCEPT

/sbin/iptables -I INPUT -p udp –dport 514 -j ACCEPT

#/etc/init.d/iptables save

#/etc/init.d/iptables status

LOGANALYZER配置

用root用戶登錄

配置前先關(guān)閉iptables和SELINUX，避免安裝過程中報(bào)錯(cuò),。

# serviceiptables stop

# setenforce 0

# vi /etc/sysconfig/selinux

—————

SELINUX=disabled

啟動(dòng)mysqld httpd

安裝loganalyzer

上傳安裝文件至/tmp下

#tar zxvf loganalyzer-3.6.3.tar.gz

復(fù)制loganalyzer源代碼到apache的loganalyzer目錄

#cd /tmp/loganalyzer-3.6.3

#mkdir -p /var/www/html/loganalyzer/

#cp -r src/* /var/www/html/loganalyzer/

#cp -r contrib/* /var/www/html/loganalyzer/

#cd /var/www/html/loganalyzer/

#touch config.php

#chmod 666 config.php

修改php環(huán)境

為配合LogAnalyzer對(duì)php環(huán)境的要求,，請(qǐng)修改/etc/php.ini中的內(nèi)容為：

memory_limit = 512M
max_execution_time = 120

創(chuàng)建日志目錄

# mkdir -p  /var/log/httpd/loganalyzer

配置虛擬機(jī)，apache安全配置
這部分,，請(qǐng)根據(jù)apache實(shí)際情況操作,。以默認(rèn)系統(tǒng)為例，虛擬主機(jī)配置文件都放在/etc/httpd/conf/httpd.conf,，加入下面內(nèi)容,。

# loganalyzer

<VirtualHost *:80>

   ServerName logserver

   [email protected]

   DocumentRoot /var/www/html/loganalyzer

   <Directory />

       Options FollowSymLinks

       AllowOverride All

   </Directory>

   <Directory /var/www/html/loganalyzer >

       # pcw No directory listings

       # Options Indexes FollowSymLinks MultiViews

       Options -Indexes FollowSymLinks MultiViews

       AllowOverride All

       Order allow,deny

       allow from all

   </Directory>

   ErrorLog /var/log/httpd/loganalyzer/error.log

   # Possible values include: debug, info, notice, warn, error, crit,

   # alert, emerg.

   LogLevel warn

   CustomLog /var/log/httpd/loganalyzer/access.log combined

   ServerSignature On

</VirtualHost>

重啟服務(wù)

#service httpd restart

WEB配置

在瀏覽器輸入網(wǎng)址，進(jìn)入安裝向?qū)?/p>

訪問http://serverip:80

1.提示沒有配置文件,，點(diǎn)擊here利用向?qū)?br>

文件權(quán)限config.php不正確,，chmod 666 /var/www/html/loganalyzer/config.php

注：點(diǎn)擊NEXT時(shí)若報(bào)錯(cuò)，后臺(tái)執(zhí)行如下命令后繼續(xù)

# ln -s /var/lib/mysql/mysql.sock /tmp/mysql.sock

開始寫入數(shù)據(jù)庫(kù),，NEXT

提示寫入成功,，NEXT

設(shè)置管理員賬戶，配置完畢NEXT

設(shè)置監(jiān)控日志保存到mysql數(shù)據(jù)庫(kù)中,，按照如圖配置后NEXT

完成配置,FINISH

進(jìn)入登陸界面：

進(jìn)入主界面：

查看loganalyzer是否獲取系統(tǒng)日志

防火墻開放服務(wù)端口

#service iptables start

/sbin/iptables -I INPUT -p tcp –dport 80 -j ACCEPT

安全配置

#cd /var/www/html/loganalyzer

#chmod 644 config.php

總結(jié)：

感覺RSYSLOG+LOGANALYZER搭建相對(duì)于SYSLOG-NG+LOGANALYZER搭建簡(jiǎn)單很多,，LogAnalyzer的BUG還沒試出來。,。
SYSLOGNG相對(duì)于RSYSLOG功能強(qiáng)大很多,，但那些功能是收費(fèi)的。
LOGZILLA功能也很強(qiáng)大,，但那些也是收費(fèi)的,。
綜上所述,，打算采用RSYSLOG+LOGANALYZER作為日志集中服務(wù)器，遺憾的是,，這個(gè)版本的loganalyzer的用戶權(quán)限控制不是很好,。