一、簡介

LogAnalyzer 是一款syslog日志和其他網(wǎng)絡(luò)事件數(shù)據(jù)的Web前端。它提供了對(duì)日志的簡單瀏覽、搜索、基本分析和一些圖表報(bào)告的功能。數(shù)據(jù)可以從數(shù)據(jù)庫或一般的syslog文本文件中獲取，所以LogAnalyzer不需要改變現(xiàn)有的記錄架構(gòu)。基于當(dāng)前的日志數(shù)據(jù)，它可以處理syslog日志消息，Windows事件日志記錄，支持故障排除，使用戶能夠快速查找日志數(shù)據(jù)中看出問題的解決方案。

LogAnalyzer 獲取客戶端日志會(huì)有兩種保存模式，一種是直接讀取客戶端/var/log/目錄下的日志并保存到服務(wù)端該目錄下，一種是讀取后保存到日志服務(wù)器數(shù)據(jù)庫中，推薦使用后者。

LogAnalyzer 采用php開發(fā)，所以日志服務(wù)器需要php的運(yùn)行環(huán)境，本文采用LAMP。

二、系統(tǒng)環(huán)境

Rsyslog Server OS：CentOS 6.5

Rsyslog Server ip：192.168.1.107

Rsyslog 版本：rsyslog-5.8.10-8.el6.i686

LogAnalyzer 版本：LogAnalyzer 3.6.5 (v3-stable)

LAMP 版本：httpd-2.2.15-30.el6.centos.i686 + mysql-5.1.73-3.el6_5.i686 + php-5.3.3-27.el6_5.i686

防火墻已關(guān)閉/iptables: Firewall is not running.

SElinux=disabled

Rsyslog Client OS：RHEL 6.4

Rsyslog Client IP：192.168.1.108

三、安裝并設(shè)置LAMP環(huán)境

3.1 安裝LAMP環(huán)境

# yum -y install httpd mysql* php*

3.2 啟動(dòng)服務(wù)并加入開機(jī)啟動(dòng)

啟動(dòng)Apache

# /etc/init.d/httpd start

# chkconfig httpd on

啟動(dòng)數(shù)據(jù)庫

# /etc/init.d/mysqld start

# chkconfig mysqld on

3.3 設(shè)置MySQL root 密碼

# mysqladmin -uroot passWord 'abc123'

3.4 測(cè)試php運(yùn)行環(huán)境

# cd /var/www/html/

[root@TS html]# cat > index.php <<EOF > <?php > phpinfo(); > ?> > EOF

打開瀏覽器訪問：http://192.168.1.107/index.php

LAMP環(huán)境配置完畢。

四、檢查并安裝服務(wù)器端軟件

4.1 檢查是否安裝了rsyslog軟件

# rpm -qa|grep rsyslog //默認(rèn)系統(tǒng)都安裝了該軟件

4.2 安裝rsyslog 連接MySQL數(shù)據(jù)庫的模塊

# yum install rsyslog-mysql –y

rsyslog-mysql 為rsyslog 將日志傳送到MySQL 數(shù)據(jù)庫的一個(gè)模塊，這里必須安裝。

五、配置服務(wù)器端

5.1 導(dǎo)入rsyslog-mysql 數(shù)據(jù)庫文件

# cd /usr/share/doc/rsyslog-mysql-5.8.10/

# mysql -uroot -pabc123 < createDB.sql

查看做了哪些操作

# mysql -uroot –p

mysql> show databases;

mysql> show tables;

導(dǎo)入數(shù)據(jù)庫操作創(chuàng)建了Syslog 庫并在該庫中創(chuàng)建了兩張空表SystemEvents 和SystemEventsPRoperties。

5.2 創(chuàng)建rsyslog 用戶在mysql下的相關(guān)權(quán)限

# mysql -uroot –p

mysql> grant all on Syslog.* to rsyslog@localhost identified by '123456';

mysql> flush privileges;

mysql> exit

5.3 配置服務(wù)端支持rsyslog-mysql 模塊，并開啟UDP服務(wù)端口獲取網(wǎng)內(nèi)其他LINUX系統(tǒng)日志

# vi /etc/rsyslog.conf

$ModLoad ommysql *.* :ommysql:localhost,Syslog,rsyslog,123456

在 #### MODULES #### 下添加上面兩行。

說明：localhost 表示本地主機(jī)，Syslog 為數(shù)據(jù)庫名，rsyslog 為數(shù)據(jù)庫的用戶，123456為該用戶密碼。

5.4 開啟相關(guān)日志模塊

# vi /etc/rsyslog.conf

$ModLoad immark #immark是模塊名，支持日志標(biāo)記

$ModLoad imudp #imupd是模塊名，支持udp協(xié)議

$UDPServerRun 514 #允許514端口接收使用UDP和TCP協(xié)議轉(zhuǎn)發(fā)過來的日志

5.5 重啟rsyslog 服務(wù)

# /etc/init.d/rsyslog restart

六、配置客戶端

6.1 檢查rsyslog 是否安裝

# rpm -qa|grep rsyslog

6.2 配置rsyslog 客戶端發(fā)送本地日志到服務(wù)端

# vi /etc/rsyslog.conf

*.* @192.168.1.107

行尾新增上面這行內(nèi)容，即客戶端將本地日志發(fā)送到服務(wù)器。

6.3 重啟rsyslog 服務(wù)

# /etc/init.d/rsyslog restart

6.4 編輯/etc/bashrc，將客戶端執(zhí)行的所有命令寫入系統(tǒng)日志/var/log/messages中。

# vi /etc/bashrc

在文件尾部增加一行

export PROMPT_COMMAND='{ msg=$(history 1 | { read x y; echo $y; });logger "[euid=$(whoami)]":$(who am i):[`pwd`]"$msg"; }'

設(shè)置其生效

# source /etc/bashrc

客戶端配置完畢。

七、測(cè)試Rsyslog Server是否可以正常接受Client端日志

Client 端測(cè)試：

Server 端偵測(cè)：

說明接收正常，包括你重啟機(jī)器的一些Log都可以查看到。

八、安裝LogAnalyzer

# wget http://download.adiscon.com/loganalyzer/loganalyzer-3.6.5.tar.gz

# tar zxf loganalyzer-3.6.5.tar.gz

# cd loganalyzer-3.6.5

# mkdir -p /var/www/html/loganalyzer

# rsync -a src/* /var/www/html/loganalyzer/

九、在瀏覽器安裝向?qū)е邪惭bLogAnalyzer

9.1 打開瀏覽器訪問：http://192.168.1.107/loganalyzer/

提示沒有配置文件，點(diǎn)擊 here 利用向?qū)伞?/p>

9.2 第一步，測(cè)試系統(tǒng)環(huán)境

點(diǎn)擊 “Next”，進(jìn)入第二步。

提示錯(cuò)誤：缺少config.php 文件，并且權(quán)限要設(shè)置為666，可以使用contrib目錄下的configure.sh 腳本生成。

查看configure.sh 文件內(nèi)容

需要在/var/www/html/loganalyzer/ 下創(chuàng)建config.php 文件，并設(shè)置其權(quán)限為666。

# touch /var/www/html/loganalyzer/config.php

# chmod 666 /var/www/html/loganalyzer/config.php

做完上面的操作之后，執(zhí)行 ReCheck 操作，config.php 文件可寫，點(diǎn)擊 Next 進(jìn)入下一步。

9.3 第三步，基礎(chǔ)配置

在User Database Options 中，填入上面設(shè)置的參數(shù)，然后點(diǎn)擊 Next.

9.4 第四步，創(chuàng)建表

點(diǎn)擊 Next 開始創(chuàng)建表。

9.5 第五步，檢查SQL結(jié)果

9.6 第六步，創(chuàng)建管理用戶

9.7 第七步，創(chuàng)建第一個(gè)系統(tǒng)日志source.

9.8 第八步，完成

十、測(cè)試

LogAnalyzer 首頁

點(diǎn)擊任何一條記錄，查看詳情。

查看Statistics

登錄測(cè)試

在Admin Center 里可以進(jìn)行一些系統(tǒng)設(shè)置。

Rsyslog + LogAnalyzer 日志服務(wù)器部署完畢。

David Camp

• 技術(shù)交流，請(qǐng)加QQ群：

　　　　系統(tǒng)運(yùn)維技術(shù)分享Ⅲ：416491168

• 作者QQ：562866602
• 我的微信號(hào)：mchina_tang
• 給我寫信：mchina_tang@qq.com
• 我的地址：江蘇·蘇州

我們永遠(yuǎn)相信，分享是一種美德 |We Believe, Great People Share Knowledge...