Linux下日志系统的设计

简介：通过日志系统的设计，将多台主机上的日志统一发送到一台服                                器，日志服务器自动将日志记录到mysql数据库，远程通过web方式调用数据库查看日志（使用loganalyzer解决方案,基于php）。

在linux系统下，使用apache做web客户端，mysql数据库，php为web及后台数据的调用，统称为lamp。

日志的种类：/var/log/secure 身份验证有关信息的日志

/var/log/maillog 邮件相关的日志

/var/log/message 一般重要的日志

其中安装完程序日志会在特定的文件夹里面

例如：安装完httpd软件包，将会产生2种日志文件分别是/var/log/httpd/access_log   /var/log/httpd/error_log

access_log目录存放正确的日志，error_log目录存放错误的日志

日志的优先级别：log4j日志的优先级别从低到高 DEBUG<INFO<WARN<ERROR<FATAL

需要安装的软件包：rsyslog-5.8.10-8.el6.i686

mysql-5.1.71-1.el6.i686

php-mysql-5.3.3-26.el6.i686

rsyslog-mysql-5.8.10-8.el6.i686

php-5.3.3-26.el6.i686   php-gd-5.3.3-26.el6.i686

实验拓扑：

实验环境：

版本：CentOS release 6.5

内核：2.6.32-431.el6.i686

启动apache：service httpd start 开启apache

Chkconfig httpd on 设置为开机自启动

启动mysql，设置mysql的安全性

Service mysqld start 开启mysql（第一次启动有数据库的初始化过程，比较慢）

查看mysql，

输入mysql进入mysql端

mysql> show databases；

| Database

| information_schema |

| mysql

| test

初始化database有3个默认的库

给mysql设置密码增加安全性，

mysqladmin -u root -p password ‘123‘

Enter password  没有以前的口令，直接回车。

访问的时候需要mysql -u root -p 回车

输入口令

环境具备完成后需要loganalyzer-3.6.5.tar.gz软件

期望http://server ip/loganalyzer如此访问数据库

需要把loganalyzer目录放到/var/www/下面

先将loganalyzer-3.6.5.tar.gz解压

[[email protected] ~]tar -zxvf loganalyzer-3.6.5

[[email protected] ~]# cd loganalyzer-3.6.5

[[email protected] loganalyzer-3.6.5]# vim INSTALL 可以查看说明文件，按照说明文件执行安装

[email protected] loganalyzer-3.6.5]# cd src

[[email protected] src]# cp -rf . /var/www/html/loganalyzer/ 将loganalyzer-3.6.5目录下的所有文件目录拷贝到loganalyzer

[[email protected] src]cd ..

[[email protected] loganalyzer-3.6.5]# cd contrib/

[[email protected] contrib]# ll

total 8

-rw-rw-r--. 1 root root 49 Oct  9  2013 configure.sh

-rw-rw-r--. 1 root root 31 Oct  9  2013 secure.sh

[[email protected] contrib]# cp * /var/www/html/loganalyzer/将脚本文件拷贝到loganalyzer

[[email protected] contrib]# cd /var/www/html/loganalyzer/

[[email protected] loganalyzer]# chmod +x *.sh  将2个脚本文件赋予执行权限

查看2个脚本文件的内容

Vim  configure.sh内容为

#!/bin/sh

touch config.php

chmod 666 config.php

Vim  secure.sh 内容为

#!/bin/sh

chmod 644 config.php

所有应该执行 config.php

[[email protected] loganalyzer]# ./configure.sh

[[email protected] loganalyzer]# chown -R daemon:daemon  .

改变当前目录下文件的所有者和所属组

[[email protected]g ~]# mysql -u root -p < /usr/share/doc/rsyslog-mysql-5.8.10/createDB.sql

将日志信息追加到数据库中

[[email protected] ~]# mysql -u root -p

Enter password:

进入数据库查看是否成功

mysql> show databases;

| Database           |

| information_schema |

| Syslog             |

| mysql              |

| test

4 rows in set (0.00 sec)

成功导入Syslog

mysql> use Syslog；

mysql> show tables;

Tables_in_Syslog       |

| SystemEvents           |

| SystemEventsProperties |

有2张表

mysql> grant all privileges on Syslog.* to [email protected] identified by ‘123456‘

对Syslog数据库的所有表授予所有的权利针对rsyslog通过本机访问的账号

mysql>flush privileges; 刷新权限

[[email protected] ~]# vim /etc/rsyslog.conf  编辑rsyslog.conf

在MODULES添加如下红色的模块：

$ModLoad imuxsock # provides support for local system logging (e.g. via logger command)

$ModLoad imklog   # provides kernel logging support (previously done by rklogd)

$ModLoad ommysql  # provides --MARK-- message capability

*.*      :ommysql:localhost,Syslog,rsyslog,235290

# Provides UDP syslog reception

$ModLoad imudp    接受udp日志

$UDPServerRun 514

# Provides TCP syslog reception

$ModLoad imtcp    接受tcp日志

$InputTCPServerRun 514

其中*.*      :ommysql:localhost,Syslog,rsyslog,123456

*.*所有的所有级别日志输入到ommysql；在本机上；数据库的名字；数据库的管理员；密码

[email protected] ~]# service rsyslog restart 重启下rsyslog服务

在测试之前关闭防火墙

[[email protected] ~]# service iptables stop

[[email protected] ~]# chkconfig iptables off  设置为开机关闭

[[email protected] ~]# setenforce 0 将安全策略设置为警告级别

[[email protected] ~]# getenforce  即输入此命令为Permissive

Permissive

重启下apache和mysql

[[email protected] ~]# service httpd restart

[[email protected] ~]# service mysqld restart

打开浏览器访问 http://192.168.2.99/loganalyzer

Ip地址为自己主机的ip

出现以下页面

点击here

Next

Next

在下面的enable user databases 选项点击yes，出现

将database name改为 Syslog（注意大小写）

Database user 改为rsyslog

Database password 123456 （刚才设置的密码）

然后点击next

Next

Next

设置个用户账号，以后登录该站点使用，进行后台管理。

将socurce type设置为 mysql native

将database name 设置为Syslog（注意大小写）

Database name 设置为上面查看数据库出现的表SystemEvents（注意大小写）

Database user 设置为rsyslog

密码是之前设置的密码

然后点击next

Finish

成功，如果还想再添加一台服务器，数据库的设置方法不变。

需要在vim /etc/rsyslog.conf的配置文件中修改：

# Don‘t log private authentication messages!

*.*                                                     @192.168.2.99

*.info;mail.none;authpriv.none;cron.none                /var/log/messages

# The authpriv file has restricted access.

authpriv.*                                              /var/log/secure

# Log all the mail messages in one place.

mail.*                                                  -/var/log/maillog

添加红色的部分，意思是将所有的日志都发送到地址为192.168.2.99（刚才的主机ip）。