rsyslog+Loganalyzer日志服务器--初探

Rsyslog 是一个 syslogd 的多线程增强版,在syslog的基础上扩展了很多其他功能,如数据库支持(MySQL, PostgreSQL、Oracle等)、日志内容筛选、定义日志格式模板等。除了默认的udp协议外,rsyslog还支持tcp协议来接收日志。
    本文只做简单配置与说明。更多与日志相关的服务的详细解释与配置,请参考http://w.gdu.me/wiki/Linux/rsyslog_logrotate.html
rsyslogd服务器及负载均衡;rsyslog和logrotate服务

环境准备:
操作系统:CentOS-6.5-x86_64
内核:# uname -r        2.6.32-431.el6.x86_64
关闭Selinux:1. 永久有效修改 /etc/selinux/config 文件中的 SELINUX="" 为 disabled ,然后重启。
            2. 即时生效setenforce 0
关闭防火墙:1、永久有效 chkconfig iptables off     2临时关闭 # /etc/rc.d/init.d/iptables stop
服务器_IP:172.16.19.12(node2)
客户端_IP:172.16.19.2(stu19)
LAMP环境直接使用yum安装。
时间同步:如果涉及部署多名服务器时,最好使用NTP服务器同步时间。

本地光盘作为yum源(CentOS-6.5-x86_64-bin-DVD1)

服务器端配置

rsyslog支持将日志存储于MySQL服务器中:

1)安装LAMP环境,配置好mysql数据库服务,创建Syslog库并授权远程用户syspass登陆,密码为syspass;

1 # yum -y install httpd mysql-server mysql php php-mysql php-gd gd
2 # service mysqld start
3 # /usr/bin/mysqladmin -u root password ‘root‘
4 # mysql -uroot -proot
5      ###由于本处使用了明文密码,出于安全,生产环境中建议此后修改用户的密码。
6 mysql> grant all on Syslog.* to ‘sysuser‘@‘localhost‘ identified by ‘syspass‘;
7 mysql> grant all on Syslog.* to ‘sysuser‘@‘127.0.0.1‘ identified by ‘syspass‘;
8 mysql> flush privileges;

2)安装rsyslog(本机默认已安装)与rsyslog-mysql包,rsyslog-mysql会生成ommysql.so库和CreateDB.sql初始库;rsyslog-mysql为rsyslog将日志传送到mysql数据库的一个模块,这里必须安装。

1 # yum -y install rsyslog-mysql rsyslog
2 # rpm -ql rsyslog-mysql
3 /lib64/rsyslog/ommysql.so
4 /usr/share/doc/rsyslog-mysql-5.8.10/createDB.sql

3)使用createDB.sql语句创建rsyslog依赖的数据库:

# mysql -uroot -proot < /usr/share/doc/rsyslog-mysql-5.8.10/createDB.sql

生成库:Syslog      
      生成表:SystemEvents    SystemEventsProperties

4)修改配置文件,配置rsyslog启用模块,服务监听端口为514,且修改RULES段的相关日志段使其存储于mysql数据库中

 1 在#### Modules #####启用模块:
 2 # Provides UDP syslog reception
 3 $ModLoad imudp
 4 $UDPServerRun 514                ### 允许514端口接收使用UDP协议转发过来的日志
 5
 6 # Provides TCP syslog reception
 7 $ModLoad imtcp
 8 $InputTCPServerRun 514            #### 允许514端口接收使用TCP协议转发过来的日志
 9
10 $ModLoad ommysql                #手动添加
11
12 在#### RULES ####段中定义记录日志信息于数据库中,根据所需定义,可以把全部的日志信息都存储在库中,本处只测试部分。
13 *.info;mail.none;authpriv.none;cron.none :ommysql:127.0.0.1,Syslog,sysuser,syspass
14    ###ommysql:数据库地址,数据库名,数据库用户名,数据库密码

5)    重启rsyslog服务,并查看514端口是否监听

# service rsyslog restart

# ss -anltp |grep 514

LISTEN     0      25      :::514       :::*      users:(("rsyslogd",19513,6))

LISTEN     0      25       *:514        *:*      users:(("rsyslogd",19513,2))

本机测试:

首先使用yum安装vsftpd包,然后在使用命令tail -f /var/log/messages 查看日志文件已经没有显示相关的日志信息了。

在mysql数据库中查询到相关日志信息

# mysql -uroot -proot

mysql> use Syslog

mysql> select * from  SystemEvents;

在表中可以看到node2安装vsftpd包的日志信息。

客户端相关:

配置:

客户端主机名为:stu19

1、安装rsyslog包,默认安装,# yum install rsyslog -y

# rpm -q rsyslog

rsyslog-7.4.7-6.el7.x86_64

2、修改配置文件rsyslog.conf,添加如下内容

# vim /etc/rsyslog.conf

*.* @@172.16.19.12:514          # 允许日志都送到rsyslog的服务端, @@表示通过tcp协议发送;@表示通过udp进行转发

3、重启rsyslog服务。

# /etc/rc.d/init.d/rsyslog restart

测试:

1、在客户端使用命令安装lrzsz ;

2、tail -f /var/log/messages已经查不到日志信息了

3 、在服务器的数据库表中

通过webGUI展示日志信息    安装 loganalyzer

首先下载好loganalyzer-3.6.5.tar.gz 以及中文语言包

 1 # tar xf loganalyzer-3.6.5.tar.gz -C /var/www/html/
 2 # cd  /var/www/html/
 3 # mv loganalyzer-3.6.5 loganalyzer
 4 目录中有个INSTALL文件,根据里面的提示进行安装。
 5 # mv loganalyzer/src/* ./loganalyzer
 6 # cp loganalyzer/contrib/* ./loganalyzer/
 7 # cd /var/www/html/loganalyzer/
 8 # chmod +x configure.sh secure.sh
 9 # ./configure.sh
10 # ./secure.sh
11 # chmod 666 config.php
12 下载个汉化文件
13 # mkdir /var/www/html/loganalyzer/lang/zh
14 # 下载汉化文件 admin.php info.txt main.php ,把三个文件入在上面新建的zh目录中
15 # chown -R apache.apache ./*
16 # service httpd restart

在浏览器中输入http://172.16.19.12/loganalyzer,出现如下图,单击here处进行安装

如果没有报错信息,就直接点击“next”直到Step3

按需进行基本的配置,此处的自动解析IP地址设置为No

从Step3直接跳转到Step7,根据此前的数据库信息填写几处关键信息(红色方框内),其他的默认

直至此处,点击Finish,安装配置已经完成;

loganalyze的页面

网页的右上角处修改语言为Chinese

测试:

在服务器端使用yum 安装lrzsz,在页面中的第一条就显示相关日志了。

rsyslog+Loganalyzer日志服务器--初探,布布扣,bubuko.com

时间: 2024-10-13 01:08:55

rsyslog+Loganalyzer日志服务器--初探的相关文章

rsyslog+loganalyzer日志服务器

日志服务器是指专门存放系统日志或者程序日志的服务器.在Linux系统中,服务器会产生大量的日志,根据一般的日志的分类,可以把日志分为以下三种: 错误日志--由syslogd(8)执行,各种系统守护进程.用户程序和内核通过syslog(3)向文件/var/log/messages报告值得注意的事件.另外有许多UNIX程序创建日志. 连接时间日志--由多个程序执行,把纪录写入到/var/log/wtmp和/var/run/utmp,login等程序更新wtmp和utmp文件,使系统管理员能够跟踪谁在

部署rsyslog+loganalyzer日志服务器

一.简要说明  日志记录了对服务器系统的一切操作,因此,对服务器日志的管理,是我们每个运维人员每天的必要工作,也是评估服务器安全状况的有效手段之一,可是如何管理众多服务器的日志?如果要是一台一台看的话,怕是不止盯的眼花缭乱,累也的累坏了. 所以,我们要搭建一台日志服务器,要把所有服务器的日志通通存到这台远程日志服务器上来,这样,不仅可以集中管理.评估各服务器的安全状况,还可以减少各服务器的磁盘占用率. 即使所有服务器的日志都保存在一台服务器上的mysql(也可存到本地磁盘)了,如何管理.分析这些

rsyslog+loganalyzer日志服务器部署记录

日志功能对于操作系统是相当重要的,在日常运维工作中,无论是系统还是应用等出了任何问题,我们首先想到的便是分析日志,查找问题原因.自从CentOS 6系统开始,CentOS便开始使用rsyslog做为日志收集服务了,相对于之前的syslog它能够支持多线程,数据库存储,支持更多了传输协议等等优点.之前介绍了Linux下rsyslog日志收集服务环境部署记录,下面再结合LogAnalyzer进行部署说明. LogAnalyzer 则是一款基于 PHP 开发的 syslog 日志和其他网络事件数据的

rhel 5.11 搭建 rsyslog + loganalyzer 日志服务器

rsyslog + loganalyzer 一. 客户端 1 关闭syslog服务 chkconfig syslog off service syslog stop 2 安装rsyslog yum install rsyslog5* 3 配置 echo "*.*        @10.0.70.203" >> /etc/rsyslog.conf echo "*.*       :ommysql:10.0.70.203,Syslog,syslog,syslog&qu

rsyslog+loganalyzer日志服务器,无法添加报表模板解决

loganalyzer搭建成功后,各方面功能都算正常但是发现不能创建报表模板,提示报错 mysql错误:'字段列表'中的未知列'Source1' mysql错误号:1054 解决方案: 原文地址:https://www.cnblogs.com/lanqing/p/11044381.html

Linux 之rsyslog+LogAnalyzer 日志收集系统

一.LogAnalyzer介绍 LogAnalyzer工具提供了一个易于使用,功能强大的前端,用于搜索,查看和分析网络活动数据,包括系统日志,事件日志和其他许多日志源.由于它只是将数据展示到我们用户的面前,所以数据本身需要由另一个程序收集,比如syslogd,rsyslog(现在是发行版的默认的syslogd),WinSyslog或MonitorWare代理.LogAnalyzer同样适用于Linux和Windows.它主要是用PHP编写的自由软件,基于GPL的开源应用程序.数据可以从数据库,也

centos rsyslog集中日志服务器

1.安装rsyslog及rsyslog-mysqlyum -y install rsyslog-mysql2.导入数据库并创建数据库账号密码find /usr |grep createDB.sqlmysql -u root -p < /usr/share/doc/rsyslog-mysql-5.8.10/createDB.sqlshow databases;grant all privileges on Syslog.* to [email protected]'localhost' ident

CentOS 6.7下利用Rsyslog+LogAnalyzer+MySQL部署日志服务器

一.简介 LogAnalyzer 是一款syslog日志和其他网络事件数据的Web前端.它提供了对日志的简单浏览.搜索.基本分析和一些图表报告的功能.数据可以从数据库或一般的syslog文本文件中获取,所以LogAnalyzer不需要改变现有的记录架构.基于当前的日志数据,它可以处理syslog日志消息,Windows事件日志记录,支持故障排除,使用户能够快速查找日志数据中看出问题的解决方案. LogAnalyzer 获取客户端日志会有两种保存模式,一种是直接读取客户端/var/log/目录下的

CentOS 6.5下利用Rsyslog+LogAnalyzer+MySQL部署日志服务器

一.简介 LogAnalyzer 是一款syslog日志和其他网络事件数据的Web前端.它提供了对日志的简单浏览.搜索.基本分析和一些图表报告的功能.数据可以从数据库或一般的syslog文本文件中获取,所以LogAnalyzer不需要改变现有的记录架构.基于当前的日志数据,它可以处理syslog日志消息,Windows事件日志记录,支持故障排除,使用户能够快速查找日志数据中看出问题的解决方案. LogAnalyzer 获取客户端日志会有两种保存模式,一种是直接读取客户端/var/log/目录下的