centos 7.0 依赖Rsyslog+LogAnalyzer部署日志服务器

Loganalyzer简介:

LogAnalyzer 是一款syslog日志和其他网络事件数据的Web前端。它提供了对日志的简单浏览、搜索、基本分析和一些图表报告的功能。数据可以从数据库或一般的syslog文本文件中获取,所以LogAnalyzer不需要改变现有的记录架构。基于当前的日志数据,它可以处理syslog日志消息,Windows事件日志记录,支持故障排除,使用户能够快速查找日志数据中看出问题的解决方案。

LogAnalyzer 获取客户端日志会有两种保存模式,一种是直接读取客户端/var/log/目录下的日志并保存到服务端该目录下,一种是读取后保存到日志服务器数据库中,推荐使用后者。

LogAnalyzer 采用php开发,依赖LAMP安装环境。

安装环境:

系统: centos 7.0 最小化安装

软件:rsyslog 、loganalyzer 、 LAMP环境

依赖包:rsyslog-mysql 、

配置rsyslog 日志服务器端


  1. 安装、调配LAMP环境

    请参考前文 Centos 7.0 编译安装LAMP(Linxu+apache+mysql+php)之源码安装

  2. 配置日志服务器端

    a.检查并安装服务器端软件

    [roo[email protected] ~]# rpm -qa |grep rsyslog   #检查服务器端是否有安装rsyslog 服务 ,默认centos 7.0 均已安装

    rsyslog-7.4.7-16.el7.x86_64

    [[email protected] ~]# yum install -y  rsyslog rsyslog-mysql  #更新rsyslog 、安装rsyslog-msyql 模块,rsyslog-mysql 为rsyslog 将日志传送到MySQL 数据库的一个模块,必须安装。

    b.导入rsyslog-mysql 文件到mysql数据库

    [[email protected] src]# cd /usr/share/doc/rsyslog-7.4.7/    #进入rsyslog安装目录

    [[email protected] rsyslog-7.4.7]# mysql -u root -p < mysql-createDB.sql   #导入mysql-createDB.sql 文件

    Enter password:

    [[email protected] libmcrypt-2.5.8]mysql -u root -p       #登录mysql 数据库

    Enter password:

    mysql> use Syslog;                          #切换到Syslog数据库

    mysql> show tables;     #显示Syslog 数据库列表   ,例:下图证明mysql-createDB.sql 文件导入成功 ,显示2张空表

    +------------------------+

    | Tables_in_Syslog       |

    +------------------------+

    | SystemEvents           |

    | SystemEventsProperties |

    +------------------------+

    2 rows in set (0.01 sec)

    mysql> grant  all on Syslong.*  to [email protected]‘localhost‘  identified by ‘123abc.com‘;       #创建Syslog数据库rsyslog用户并授于管理权限

    mysql> flush privileges;

    c. 配置服务端支持rsyslog-mysql 模块,并开启tcp、udp服务端口获取网内其他LINUX系统日志

    [[email protected] src]# vi /etc/rsyslog.conf

    在 #### MODULES #### 下添加下面两行。

    $ModLoad ommysql

    *.* :ommysql:localhost,Syslog,rsyslog,*****

    #说明:localhost 表示本地主机,Syslog 为数据库名,rsyslog 为数据库的用户,*****为该用户密码。

    $ModLoad immark  # provides --MARK-- message capability   #开启支持日志标记,删除改行首字符#

    # Provides UDP syslog reception

    $ModLoad imudp                                                            #开启支持UDP协议

    $UDPServerRun 514                                                          #允许514端口接受udp协议转发日志

    # Provides TCP syslog reception

    $ModLoad imtcp                                                             #开启支持TCP协议

    $InputTCPServerRun 514                                                    #允许514端口接受tcp协议转发日志

    d. 重启rsyslog 服务

    [[email protected] ~]# systemctl restart rsyslog.service

linux服务器客户端、华为交换机日志配置

  1. 检查linux客户端是否安装rsyslog 组件

    [[email protected] ~]# rpm -qa |grep rsyslog   #检查客户端是否有安装rsyslog 服务 ,默认centos 7.0 均已安装

    rsyslog-7.4.7-16.el7.x86_64

  2.  配置rsyslog客户端发送本地日志到服务端

    [[email protected] ~]# Vi /etc/rsyslog.conf

    *.* @172.16.10.10:514              #添加改行内容,其中  @代表了udp 协议,@@ 代表了tcp协议  ,ip地址为日志服务器ip ,514 为接收日志端口号

    c重启rsyslog 服务

    [[email protected] ~]# systemctl restart rsyslog.service

    d. 编辑/etc/bashrc,将客户端执行的所有命令写入系统日志/var/log/messages中

    [[email protected] ~]#vi /etc/bashrc

    export PROMPT_COMMAND=‘{ msg=$(history 1 | { read x y; echo $y; });logger "[euid=$(whoami)]":$(who am i):[`pwd`]"$msg"; }‘               #在结尾处加上此内容,输出日志格式

    [[email protected] ~]source /etc/bashrc    #使配置生效

  3. 华为系列交换机、防火墙客户端日志配置

    [1-HX]info-center channel 2 name loghost1   #定义channel信道 2级别

    [1-HX]info-center loghost source Vlanif1     #定义转发日志出口为vlanif1

    [1-HX]info-center loghost 172.16.10.10 channel 2  #定义日志服务器ip地址

  4. 开启防火墙514端口,测试rsyslog_server可否正常接收rsyslog_client的日志

    [[email protected] ~]#vi /etc/sysconfig/iptables

    -A INPUT -p tcp -m state --state NEW -m tcp --dport 514 -j ACCEPT  #接收tcp协议 日志

    -A INPUT -p udp -m state --state NEW -m udp --dport 514 -j ACCEPT  #开通514端口,接收udp协议 日志

    [[email protected] ~]systemctl  restart iptables.service  #重启防火墙服务

    [[email protected] ~]tailf  /var/log/messages    #查看日志,证明日志服务器可正常接收客户端发来的日志信息

    Jul 12 12:47:41 zabbix root: [euid=root]:root pts/0 2017-07-12 12:21 (172.16.10.1):[/root]ls

    Jul 12 12:47:42 zabbix root: [euid=root]:root pts/0 2017-07-12 12:21 (172.16.10.1):[/root]ls

安装LogAnalyzer

  1. 上传loganalyzer-4.1.3.tar 到目录 /usr/local/src ,解压 。复制 

    [[email protected] src]# tar -zxf loganalyzer-4.1.3.tar.gz

    [[email protected] src]# mkdir /usr/local/apache/htdocs/loganalyzer   #创建loganalyzer 目录

    [[email protected] src]# cd loganalyzer-4.1.3

    [[email protected] loganalyzer-4.1.3]# cp -a ./src/* /usr/local/apache/htdocs/loganalyzer/ #复制src文件夹到loganalyzer 目录

  2.  在浏览器 登录http://localhost/loganalyzer  进行安装配置

    具体配置请参考官方文档:https://tecadmin.net/setup-loganalyzer-with-rsyslog-and-mysql/

    在step 2安装过程中 ,提示file‘./config.php‘  File does NOT exist! 解决方法:创建./config.php文件并调配权限

    [[email protected] loganalyzer-4.1.3]# cd /usr/local/apache/htdocs/loganalyzer/

    [[email protected] loganalyzer]# touch config.php

    [[email protected] loganalyzer]# chown root:root config.php

    [[email protected] loganalyzer]# chmod 777 config.php

    在step 3、step 7步骤需注意各name 名称 ,注意字母大小写:

    Database name : Syslog 

    Database user : rsyslog 

    Database password:  123abc.com

    Database tablename :SystemEvents

  3. 点击finish 完成配置 ,输入配置的管理员账户和密码 ,进入web 查看页面 。

至此 ,Rsyslog+LogAnalyzer日志服务器部署并安装完成 ,可进一步根据需要进行loganalyzer 的配置。

时间: 2024-10-18 02:45:24

centos 7.0 依赖Rsyslog+LogAnalyzer部署日志服务器的相关文章

lamp+loganalyzer+rsyslog server部署日志服务器

lamp+loganalyzer+rsyslogserver部署日志服务器 网络环境 日志服务器 (lamp+loganalyzer+rsyslog) IP : 172.16.6.63/16 主机名: log.com 系统发行本: CentOS release 6.6 (Final) loganalyzer 版本:loganalyzer-3.6.5.tar.gz lamp apche rpm: rpmhttpd-2.2.15-39.el6.centos.x86_64 php rpm: php-g

Rsyslog+MySQL+LogAnalyzer部署日志服务器

实验要求 搭建可视化日志搜集分析平台,用于集中搜集日志,并通过可视化日志分析工具呈现: Apps Server是要搜集日志的Nodes,可以有多台,这里我只用1台Node: Rsyslog Server是统一接收各Nodes提交过来的日志,监听在TCP/UDP 514节点: MySQL Server是用于存储提交的日志信息,做独立服务器,也可做Cluster: LogAnalyzer是一款基于LAMP的可视化日志分析工具,后端查询数据库,将结果整理输出: 拓扑如下: 实现机理 Linux上的Rs

利用rsyslog+mysql+loganalyzer部署日志服务器

rsyslog简介: 在CentOS上rsyslog服务专门负责记录系统日志信息(更早的版本系统使用的是syslog,rsyslog是syslog的下一代版本),rsyslog有三部分组成:syslogd,klogd,logrotate syslogd主要记录系统与网络等服务的日志信息: klogd主要记录内核产生的各项信息: logrotate主要用来对日志文件进行切割循环记录: mysql简介: MySQL是一个关系型数据库管理系统,在 WEB 应用方面MySQL是最好的 RDBMS (Re

CentOS7下利用rsyslog+loganalyzer配置日志服务器及Linux和windows客户端配置

一.简介: 随着机房内的服务器和网络设备增加,日志管理和查询就成了让系统管理员头疼的事. 系统管理员遇到的常见问题如下: 1.日常维护过程中不可能登录到每一台服务器和设备上去查看日志: 2.网络设备上的存储空间有限,不可能存储日期太长的日志,而系统出现问题又有可能是很久以前发生的某些操作造成的: 3.在某些非法入侵的情况下,入侵者一般都会清除本地日志,清除入侵痕迹: 4.zabbix等监控系统无法代替日志管理,无法监控如系统登录.计划任务执行等项目. 基于上述原因,在当前的网络环境中搭建一台用于

CentOS6.8下使用rsyslog+ldap部署日志服务器来实现日志收集

在我们的运维工作中,常常会对系统上的日志进行收集,手动管理少量的几台服务器的日志收集没有太大难度,但是企业当中批量的管理成千上万台服务器的时候,这时候想一台台的收集日志未免太浪费时间了,这时候我们需要一个批量管理日志的系统来解决这一难题,今天我给大家带来的使用 1.syslog介绍 日志服务在Centos5上位syslog,随着系统版本的升级之后,日志服务改为rsyslog,rsyslog是syslog的升级版,提供了许多高级的特性.syslog由klogd和syslogd组成,klogd记录的

rsyslog+loganalyzer搭建日志服务器

日志简介: 日志:即历史事件,按时间序列将发生的事件予以记录:日志记录了事件发生的时间,时间内容,事件的关键性程度:运维人员可通过检查这些记录的信息,发现错误发生的原因,或寻找受到攻击时,攻击者留下的痕迹. syslog是CentOS6之前的默认日志系统: syslogd:系统进程的相关日志 kloged:内核事件相关日志 rsyslog是CentOS6的默认日志系统: 支持多线程 支持tcp,ssl,tls,relp等协议 支持MySQL,PGSQL,Oracle等多种关系型数据中 强大的过滤

rsyslog+LogAnalyzer+MySQL日志服务器

ryslog 是一个快速处理收集系统日志的程序,提供了高性能.安全功能和模块化设计.rsyslog 是syslog的升级版,它将多种来源输入输出转换结果到目的地,据官网介绍,现在可以处理100万条信息 LogAnalyzer 是一款syslog日志和其他网络事件数据的Web前端.它提供了对日志的简单浏览.搜索.基本分析和一些图表报告的功能.数据可以从数据库或一般的syslog文本文件中获取,所以LogAnalyzer不需要改变现有的记录架构.基于当前的日志数据,它可以处理syslog日志消息,W

LAMP+LogAnalyzer部署日志服务器

LAMP是目前建站时比较通用的方式,例如:Linux+Apache+Mysql+PHP Loganalyzer是一款syslog日志和其他网络事件数据的Web前端.它提供了对日志的简单浏览.搜索.基本分析和一些图表报告的功能.数据可以从数据库或一般的syslog文本文件中获取,所以LogAnalyzer不需要改变现有的记录架构.基于当前的日志数据,它可以处理syslog日志消息,Windows事件日志记录,支持故障排除,使用户能够快速查找日志数据中看出问题的解决方案. LogAnalyzer 采

CentOS 6.5下利用Rsyslog+LogAnalyzer+MySQL部署日志服务器

一.简介 LogAnalyzer 是一款syslog日志和其他网络事件数据的Web前端.它提供了对日志的简单浏览.搜索.基本分析和一些图表报告的功能.数据可以从数据库或一般的syslog文本文件中获取,所以LogAnalyzer不需要改变现有的记录架构.基于当前的日志数据,它可以处理syslog日志消息,Windows事件日志记录,支持故障排除,使用户能够快速查找日志数据中看出问题的解决方案. LogAnalyzer 获取客户端日志会有两种保存模式,一种是直接读取客户端/var/log/目录下的