Rsyslog+LogAnalyzer+MySQL在CentOS 6.5上搭建Log Service器

一、簡介

LogAnalyzer 是一款syslog日誌和其他網路事件數目據的Web前端。它提供了對日誌的簡單瀏覽、搜尋、基本分析和一些圖表報告的功能。資料可以從資料庫或一般的 syslog文字檔中擷取，所以LogAnalyzer不需要改變現有的記錄架構。基於當前的日誌資料，它可以處理syslog日誌訊息，Windows事件記錄記錄，支援故障排除，使使用者能夠快速尋找日誌資料中看出問題的解決方案。

LogAnalyzer 擷取用戶端日誌會有兩種儲存模式，一種是直接讀取用戶端/var/log/目錄下的日誌並儲存到服務端該目錄下，一種是讀取後儲存到Log Service器資料庫中，推薦使用後者。

LogAnalyzer 採用php開發，所以Log Service器需要php的運行環境，本文採用LAMP。

二、系統內容

Rsyslog Server OS：CentOS 6.5

Rsyslog Server IP：192.168.1.107

Rsyslog 版本：rsyslog-5.8.10-8.el6.i686

LogAnalyzer 版本：LogAnalyzer 3.6.5 (v3-stable)

LAMP 版本：httpd-2.2.15-30.el6.centos.i686 + mysql-5.1.73-3.el6_5.i686 + php-5.3.3-27.el6_5.i686

防火牆已關閉/iptables: Firewall is not running.

SELINUX=disabled

Rsyslog Client OS：RHEL 6.4

Rsyslog Client IP：192.168.1.108

三、安裝並設定LAMP環境

3.1 安裝LAMP環境

# yum -y install httpd mysql* php*

3.2 啟動服務並加入開機啟動

啟動Apache

# /etc/init.d/httpd start

# chkconfig httpd on

啟動資料庫

# /etc/init.d/mysqld start

# chkconfig mysqld on

3.3 設定MySQL root 密碼

# mysqladmin -uroot password 'abc123'

3.4 測試php運行環境

# cd /var/www/html/

[root@TS html]# cat > index.php <

>

> phpinfo();

> ?>

> EOF

 

 

開啟瀏覽器訪問：http://192.168.1.107/index.php

 

 

LAMP環境配置完畢。

四、檢查並安裝伺服器端軟體

4.1 檢查是否安裝了rsyslog軟體

# rpm -qa|grep rsyslog //預設系統都安裝了該軟體

4.2 安裝rsyslog 串連MySQL資料庫的模組

# yum install rsyslog-mysql –y

rsyslog-mysql 為rsyslog 將記錄傳送到MySQL 資料庫的一個模組，這裡必須安裝。

五、設定管理員端

5.1 匯入rsyslog-mysql 資料庫檔案

# cd /usr/share/doc/rsyslog-mysql-5.8.10/

# mysql -uroot -pabc123 < createDB.sql

 

 

查看做了哪些操作

# mysql -uroot –p

mysql> show databases;

mysql> show tables;

 

 

匯入資料庫操作建立了Syslog 庫並在該庫中建立了兩張空表SystemEvents 和SystemEventsProperties。

5.2 建立rsyslog 使用者在mysql下的相關許可權

# mysql -uroot –p

mysql> grant all on Syslog.* to rsyslog@localhost identified by '123456';

mysql> flush privileges;

mysql> exit

 

 

5.3 佈建服務端支援rsyslog-mysql 模組，並開啟UDP服務連接埠擷取網內其他LINUX系統日誌

# vi /etc/rsyslog.conf

$ModLoad ommysql

*.* :ommysql:localhost,Syslog,rsyslog,123456

在 #### MODULES #### 下添加上面兩行。

說明：localhost 表示本地主機，Syslog 為資料庫名，rsyslog 為資料庫的使用者，123456為該使用者密碼。

5.4 開啟相關日誌模組

# vi /etc/rsyslog.conf

$ModLoad immark #immark是模組名，支援日誌標記

$ModLoad imudp #imupd是模組名，支援udp協議

$UDPServerRun 514 #允許514連接埠接收使用UDP和TCP協議轉寄過來的日誌

 

 

5.5 重啟rsyslog 服務

# /etc/init.d/rsyslog restart

六、配置用戶端

6.1 檢查rsyslog 是否安裝

# rpm -qa|grep rsyslog

6.2 配置rsyslog 用戶端發送本地日誌到服務端

# vi /etc/rsyslog.conf

*.* @192.168.1.107

行尾新增上面這行內容，即用戶端將本地日誌發送到伺服器。

6.3 重啟rsyslog 服務

# /etc/init.d/rsyslog restart

6.4 編輯/etc/bashrc，將用戶端執行的所有命令寫入系統日誌/var/log/messages中。

# vi /etc/bashrc

在檔案尾部增加一行

export PROMPT_COMMAND='{ msg=$(history 1 | { read x y; echo $y; });logger "[euid=$(whoami)]":$(who am i):[`pwd`]"$msg"; }'

設定其生效

# source /etc/bashrc

用戶端配置完畢。

七、測試Rsyslog Server是否可以正常接受Client端日誌

Client 端測試：

 

 

Server 端偵測：

 

 

說明接收正常，包括你重啟機器的一些Log都可以查看到。

八、安裝LogAnalyzer

# wget http://download.adiscon.com/loganalyzer/loganalyzer-3.6.5.tar.gz

# tar zxf loganalyzer-3.6.5.tar.gz

# cd loganalyzer-3.6.5

# mkdir -p /var/www/html/loganalyzer

# rsync -a src/* /var/www/html/loganalyzer/

 

 

九、在瀏覽器安裝嚮導中安裝LogAnalyzer

9.1 開啟瀏覽器訪問：http://192.168.1.107/loganalyzer/

 

 

提示沒有設定檔，點擊 here 利用嚮導產生。

9.2 第一步，測試系統內容

 

 

點擊 “Next”，進入第二步。

 

 

提示錯誤：缺少config.php 檔案，並且許可權要設定為666，可以使用contrib目錄下的configure.sh 指令碼產生。

查看configure.sh 檔案內容

 

 

需要在/var/www/html/loganalyzer/ 下建立config.php 檔案，並設定其許可權為666。

# touch /var/www/html/loganalyzer/config.php

# chmod 666 /var/www/html/loganalyzer/config.php

 

 

做完上面的操作之後，執行 ReCheck 操作，config.php 檔案可寫，點擊 Next 進入下一步。

 

 

9.3 第三步，基礎配置

 

 

在User Database Options 中，填入上面設定的參數，然後點擊 Next.

9.4 第四步，建立表

 

 

點擊 Next 開始建立表。

9.5 第五步，檢查SQL結果

 

 

9.6 第六步，建立系統管理使用者

 

 

9.7 第七步，建立第一個系統日誌source.

 

 

9.8 第八步，完成

 

 

十、測試

LogAnalyzer 首頁

 

 

點擊任何一條記錄，查看詳情。

 

 

查看Statistics

 

 

登入測試

 

 

在Admin Center 裡可以進行一些系統設定。

 

 

Rsyslog + LogAnalyzer Log Service器部署完畢。