概述
Rsyslog是比syslog功能更強(qiáng)大的日志記錄系統(tǒng),可以將日志輸出到文件,數(shù)據(jù)庫和其它程序.可以使用rsyslog替換系統(tǒng)自帶的syslog�����。
LogAnalyzer 是一個 syslog 和其他網(wǎng)絡(luò)事件數(shù)據(jù)的 Web 前端工具,提供簡單易用的日志瀏覽��、搜索和基本分析以及圖表顯示�����。
本文環(huán)境為CENTOS 6.5平臺部署Rsyslog+LogAnalyzer
環(huán)境要求
CENTOS 6.5 X64
安裝過程
安裝介質(zhì)
Rsyslog采用系統(tǒng)自帶yum源����。
http://loganalyzer./downloads/
下載LogAnalyzer
用root用戶登錄
調(diào)整時間
#hwclock –set –date=”2013/07/04 13:49″
#hwclock -hctosys
配置本地YUM源
#mkdir /mnt/cdrom
#mount /dev/cdrom /mnt/cdrom
#cd /etc/yum.repos.d/
#mkdir bak
#mv *.repo bak/
#vi media.repo
[media]
name=media
baseurl=file:///mnt/cdrom
enabled=1
gpgcheck=0
配置前先關(guān)閉iptables和SELINUX,避免安裝過程中報錯����。
# service iptables stop
# setenforce 0
# vi /etc/sysconfig/selinux
—————
SELINUX=disabled
# yum install mysql-server mysql-devel libcurl-devel net-snmp-devel php php-gd php-xml php-mysql httpd
# service mysqld start
# mysql -uroot
mysql> set password=password(‘rootroot’);
安裝rsyslog
# yum install rsyslog rsyslog-mysql -y
注:rsyslog-mysql為rsyslog將日志傳送到mysql數(shù)據(jù)庫的一個模塊��,這里必須安裝
若服務(wù)器未安裝RSYSLOG,需要修改/etc/sysconfig/rsyslog文件配置
SYSLOGD_OPTIONS=”-c 2 -r -x -m 180″
KLOGD_OPTIONS=”-x”
各參數(shù)作用:
-c 指定運(yùn)行兼容模式���。
-r 指定監(jiān)聽端口。 默認(rèn)514
-x 在接收客戶端消息時���,禁用DNS查找��。需和-r參數(shù)配合使用��。
-m 標(biāo)記時間戳���。單位是分鐘,為0時���,表示禁用該功能�。
# cd /usr/share/doc/rsyslog-mysql-5.8.10/
# mysql -uroot -prootroot < createDB.sql
注:創(chuàng)建Syslog庫并在該庫中創(chuàng)建了兩張空表
創(chuàng)建rsyslog用戶在mysql下的相關(guān)權(quán)限
# mysql -uroot -prootroot
mysql > grant all privileges on Syslog.* to rsyslog@localhost identified by ”123456″;
mysql > flush privileges;
配置服務(wù)端支持rsyslog-mysql模塊��,并開啟UDP服務(wù)端口獲取網(wǎng)內(nèi)其他LINUX系統(tǒng)日志
# vi /etc/rsyslog.conf
在#### MODULES ####下添加這兩行
$ModLoad ommysql.so
*.* :ommysql:localhost,Syslog,rsyslog,123456
注:localhost表示本地主機(jī)����,Syslog為數(shù)據(jù)庫名,rsyslog為數(shù)據(jù)庫的用戶����,123456為該用戶密碼
取消下面三行注釋
$ModLoad immark
$ModLoad imudp
$UDPServerRun 514
重啟服務(wù):
# service rsyslog restart
(rsyslog client)
# yum install rsyslog -y
配置rsyslog客戶端發(fā)送本地日志到服務(wù)端
# vi /etc/rsyslog.conf
末行添加如下內(nèi)容
*.* @192.168.7.201
注:192.168.7.201 為日志服務(wù)器端IP地址
重啟服務(wù):
# service rsyslog restart
防火墻開放服務(wù)端口
#service iptables start
/sbin/iptables -I INPUT -p tcp –dport 514 -j ACCEPT
/sbin/iptables -I INPUT -p udp –dport 514 -j ACCEPT
#/etc/init.d/iptables save
#/etc/init.d/iptables status
LOGANALYZER配置
用root用戶登錄
配置前先關(guān)閉iptables和SELINUX,避免安裝過程中報錯����。
# serviceiptables stop
# setenforce 0
# vi /etc/sysconfig/selinux
—————
SELINUX=disabled
啟動mysqld httpd
安裝loganalyzer
上傳安裝文件至/tmp下
#tar zxvf loganalyzer-3.6.3.tar.gz
復(fù)制loganalyzer源代碼到apache的loganalyzer目錄
#cd /tmp/loganalyzer-3.6.3
#mkdir -p /var/www/html/loganalyzer/
#cp -r src/* /var/www/html/loganalyzer/
#cp -r contrib/* /var/www/html/loganalyzer/
#cd /var/www/html/loganalyzer/
#touch config.php
#chmod 666 config.php
修改php環(huán)境
為配合LogAnalyzer對php環(huán)境的要求,請修改/etc/php.ini中的內(nèi)容為:
memory_limit = 512M
max_execution_time = 120
創(chuàng)建日志目錄
# mkdir -p /var/log/httpd/loganalyzer
配置虛擬機(jī)��,apache安全配置
這部分��,請根據(jù)apache實(shí)際情況操作����。以默認(rèn)系統(tǒng)為例,虛擬主機(jī)配置文件都放在/etc/httpd/conf/httpd.conf�����,加入下面內(nèi)容���。
# loganalyzer
<VirtualHost *:80>
ServerName logserver
ServerAdminzhjixi1234@163.com
DocumentRoot /var/www/html/loganalyzer
<Directory />
Options FollowSymLinks
AllowOverride All
</Directory>
<Directory /var/www/html/loganalyzer >
# pcw No directory listings
# Options Indexes FollowSymLinks MultiViews
Options -Indexes FollowSymLinks MultiViews
AllowOverride All
Order allow,deny
allow from all
</Directory>
ErrorLog /var/log/httpd/loganalyzer/error.log
# Possible values include: debug, info, notice, warn, error, crit,
# alert, emerg.
LogLevel warn
CustomLog /var/log/httpd/loganalyzer/access.log combined
ServerSignature On
</VirtualHost>
重啟服務(wù)
#service httpd restart
WEB配置
在瀏覽器輸入網(wǎng)址����,進(jìn)入安裝向?qū)?/p>
訪問http://serverip:80
1.提示沒有配置文件,點(diǎn)擊here利用向?qū)?br>
文件權(quán)限config.php不正確�����,chmod 666 /var/www/html/loganalyzer/config.php
注:點(diǎn)擊NEXT時若報錯����,后臺執(zhí)行如下命令后繼續(xù)
# ln -s /var/lib/mysql/mysql.sock /tmp/mysql.sock
開始寫入數(shù)據(jù)庫,NEXT
提示寫入成功�,NEXT
設(shè)置管理員賬戶,配置完畢NEXT
設(shè)置監(jiān)控日志保存到mysql數(shù)據(jù)庫中����,按照如圖配置后NEXT
完成配置,FINISH
進(jìn)入登陸界面:
進(jìn)入主界面:
查看loganalyzer是否獲取系統(tǒng)日志
防火墻開放服務(wù)端口
#service iptables start
/sbin/iptables -I INPUT -p tcp –dport 80 -j ACCEPT
安全配置
#cd /var/www/html/loganalyzer
#chmod 644 config.php
總結(jié):
感覺RSYSLOG+LOGANALYZER搭建相對于SYSLOG-NG+LOGANALYZER搭建簡單很多,LogAnalyzer的BUG還沒試出來�����。��。
SYSLOGNG相對于RSYSLOG功能強(qiáng)大很多�����,但那些功能是收費(fèi)的。
LOGZILLA功能也很強(qiáng)大�����,但那些也是收費(fèi)的����。
綜上所述�,打算采用RSYSLOG+LOGANALYZER作為日志集中服務(wù)器,遺憾的是��,這個版本的loganalyzer的用戶權(quán)限控制不是很好�。
