来自 新葡亰运维 2019-11-06 09:27 的文章
当前位置: 澳门新葡亰app > 新葡亰运维 > 正文

Rsyslog是比syslog功能更强大的日志记录系统,但是

本教程逐步介绍了如何将RSYSLOG服务器安装到Debian 6Squeeze)操作系统上,还逐步介绍了如何从多个客户端服务器将syslog数据发送到该服务器系统上。我们还将演示如何安装一台Apache Web服务器和MySQL数据库服务器以便收集syslog数据,并且演示如何安装LogAnalyzer日志分析器),以便使用互联网浏览器,轻松地浏览收集而来的数据。

概述

为此,我使用了一个预先准备好的OpenVZ虚拟化模板,但是该模板应该也适用于大多数基于Debian的操作系统上。

Rsyslog是比syslog功能更强大的日志记录系统,可以将日志输出到文件,数据库和其它程序.可以使用rsyslog替换系统自带的syslog。

我并不保准这个模板同样适用于你的环境!

LogAnalyzer 是一个 syslog 和其他网络事件数据的 Web 前端工具,提供简单易用的日志浏览、搜索和基本分析以及图表显示。

安装RSYSLOG服务器

本文环境为CentOS 6.5平台部署Rsyslog+LogAnalyzer

这第一个部分描述的是如何搭建从客户端收集syslog数据的RSYSLOG服务器。在该例子中,我们的服务器名为rsyslog.domain.com,其固定IP地址为192.168.0.15。

相关阅读:

首先,我们安装一些依赖项。

RHEL5.4部署中央日志服务器之rsyslog+Log Analyzer http://www.linuxidc.com/Linux/2012-01/51853.htm

apt-get update
apt-get upgrade
apt-get install rsyslog rsyslog-mysql unzip zip binutils cpp fetchmail flex gcc libarchive-zip-perl libc6-dev libcompress-zlib-perl libpcre3 libpopt-dev lynx m4 make ncftp nmap openssl perl perl-modules zlib1g-dev autoconf automake1.9 libtool bison autotools-dev g++ mysql-server mysql-client libmysqlclient15-dev apache2 apache2-doc apache2-mpm-prefork apache2-utils libexpat1 ssl-cert libdb4.6-dev libapache2-mod-php5 php5 php5-common php5-curl php5-dev php5-gd php5-idn php-pear php5-imagick php5-imap php5-json php5-mcrypt php5-memcache php5-mhash php5-ming php5-mysql php5-ps php5-pspell php5-recode php5-snmp php5-sqlite php5-tidy php5-xmlrpc php5-xsl

CentOS 6.3下利用Rsyslog+LogAnalyzer+MySQL部署日志服务器 http://www.linuxidc.com/Linux/2013-07/86956.htm

安装过程中要求你输入MySQL服务器的密码时,创建一个密码!

RHEL5.4部署中央日志服务器之rsyslog+loganalyzer http://www.linuxidc.com/Linux/2010-12/30801.htm

我的OpenVZ模板已准备好了一切,所以下面这个命令对你来说可能没有必要……

使用rsyslog mysql 和logAnalyzer 的日志服务器 http://www.linuxidc.com/Linux/2012-09/70717.htm

apt-get install linux-kernel-headers

CentOS 6.3下利用Rsyslog+LogAnalyzer+MySQL部署日志服务器 http://www.linuxidc.com/Linux/2013-07/86956.htm

确保相应服务已创建并运行起来……

环境要求

/etc/init.d/rsyslog restart
/etc/init.d/mysql restart
/etc/init.d/apache2 restart

CENTOS 6.5 X64

确保服务器在侦听合适的TCP IP端口端口80和端口3306)。这时,RSYSLOG还没有侦听任何端口。

安装过程

rsyslog:~# netstat -tapn
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name
tcp        0      0 127.0.0.1:3306          0.0.0.0:*               LISTEN      415/mysqld        
tcp        0      0 0.0.0.0:80              0.0.0.0:*               LISTEN      581/apache2

安装介质

然后,我们可以构建rsyslog数据库:

Rsyslog采用系统自带yum源。

mysqladmin -u root -p create rsyslog

接下来,我们启动MySQL命令外壳程序,创建rsyslog用户:

下载LogAnalyzer

mysql -u root -p
GRANT SELECT, INSERT, UPDATE, DELETE ON rsyslog.* TO 'rsyslog'@'localhost' IDENTIFIED BY 'ENTER-YOUR-NEW-RSYSLOG-PASSWORD-HERE';
FLUSH PRIVILEGES;
quit

RSYSLOG服务器配置

接下来,我们配置rsyslog服务器,以便侦听TCP端口514:

用root用户登录

vi /etc/rsyslog.conf

调整时间

添加这几行……要记得将密码更改成你在创建MySQL服务器的rsyslog用户时输入的那个密码。)

#hwclock --set --date="2013/07/04 13:49"

$ModLoad MySQL
*.*       >127.0.0.1,rsyslog,rsyslog,ENTER-YOUR-NEW-RSYSLOG-PASSWORD-HERE

#hwclock -hctosys

……并去掉处理TCP syslog接收的几行代码前面的注释。

 配置本地YUM源

# rsyslog v3的/etc/rsyslog.conf配置文件
#
# 想了解更多信息,请参阅/usr/share/doc/rsyslog-doc/html/rsyslog_conf.html
$ModLoad MySQL
*.* >127.0.0.1,rsyslog,rsyslog,ENTER-YOUR-NEW-RSYSLOG-PASSWORD-HERE
#################
#### 模块 ####
#################
$ModLoad imuxsock # 提供对本地系统日志的支持
$ModLoad imklog # 提供内核日志支持以前由rklogd来提供)
#$ModLoad immark # 提供--MARK--息功能
# 提供UDP syslog接收
#$ModLoad imudp
#$UDPServerRun 514
# 提供TCP syslog接收
$ModLoad imtcp
$InputTCPServerRun 514
###########################
#### 全局指令 ####
###########################

#mkdir /mnt/cdrom

并重启rsyslog服务。

#mount /dev/cdrom /mnt/cdrom

/etc/init.d/rsyslog restart

#cd /etc/yum.repos.d/

确保服务器在侦听合适的TCP IP端口。端口80、端口514和端口3306。)

#mkdir bak

rsyslog:~# netstat -tapn
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name
tcp        0      0 0.0.0.0:514             0.0.0.0:*               LISTEN      618/rsyslogd   
tcp        0      0 127.0.0.1:3306          0.0.0.0:*               LISTEN      415/mysqld        
tcp        0      0 0.0.0.0:80              0.0.0.0:*               LISTEN      581/apache2

#mv *.repo bak/

接着我们下载LogAnalyzer,并配置Apache web服务器,以便显示日志。

#vi media.repo

cd /tmp
wget
tar xvzf loganalyzer-3.4.1.tar.gz
mv loganalyzer-3.4.1/ /var/www/
cd /var/www

 

接着我们为Apache web服务器配置www文件夹用户权限。

[media]

chown www-data:www-data * . -Rf

name=media

然后,我们对LogAnalyzer文件夹作了一些“改进”工作。

baseurl=file:///mnt/cdrom

mv loganalyzer-3.4.1/ loganalyzer
cd contrib/
cp * ./../src/
cd ./../src/
sh ./configure.sh

enabled=1

我们已准备使用我们的互联网服务器来输入LogAnalyzer的最后设置项。往你的互联网浏览器里面输入rsyslog服务器的固定IP地址,本文中是

gpgcheck=0

运行简单的设置脚本很简单,只要点击next -> next。)

配置前先关闭iptables和SELINUX,避免安装过程中报错。

现在,你应该有了正常运行的rsyslog服务器,而且LogAnalyzer已创建并运行起来。

# service iptables stop

接下来,我们配置RSYSLOG客户端,以便将其syslog数据发送到rsyslog服务器:

# setenforce 0

6Squeeze)操作系统上,还逐步介绍了如何从多个客户端服务器将syslog数据发送到该服务器系...

# vi /etc/sysconfig/selinux


SELINUX=disabled

安装MYSQL PHP APACHE

# yum install mysql-server mysql-devel libcurl-devel net-snmp-devel php php-gd php-xml php-mysql httpd
 
# service mysqld start

# mysql -uroot

mysql> set password=password('rootroot');

安装rsyslog

# yum install rsyslog rsyslog-mysql -y 

注:rsyslog-mysql为rsyslog将日志传送到mysql数据库的一个模块,这里必须安装
 若服务器未安装RSYSLOG,需要修改/etc/sysconfig/rsyslog文件配置

SYSLOGD_OPTIONS="-c 2 -r -x -m 180"

KLOGD_OPTIONS="-x"
各参数作用:
-c 指定运行兼容模式。

-r 指定监听端口。 默认514

-x 在接收客户端消息时,禁用DNS查找。需和-r参数配合使用。

-m 标记时间戳。单位是分钟,为0时,表示禁用该功能。

 

# cd /usr/share/doc/rsyslog-mysql-5.8.10/ 

# mysql -uroot -prootroot < createDB.sql

注:创建Syslog库并在该库中创建了两张空表 

创建rsyslog用户在mysql下的相关权限 

# mysql -uroot -prootroot 

mysql > grant all privileges on Syslog.* to rsyslog@localhost identified by "123456";
 
mysql > flush privileges;

配置服务端支持rsyslog-mysql模块,并开启UDP服务端口获取网内其他LINUX系统日志 

# vi /etc/rsyslog.conf

在#### MODULES ####下添加这两行

$ModLoad ommysql.so

*.* :ommysql:localhost,Syslog,rsyslog,123456

注:localhost表示本地主机,Syslog为数据库名,rsyslog为数据库的用户,123456为该用户密码

取消下面三行注释

$ModLoad immark

$ModLoad imudp

$UDPServerRun 514

重启服务:

# service rsyslog restart

 

(rsyslog client)

# yum install rsyslog -y

配置rsyslog客户端发送本地日志到服务端

# vi /etc/rsyslog.conf

末行添加如下内容

*.* @192.168.7.201

注:192.168.7.201 为日志服务器端IP地址

重启服务:

# service rsyslog restart

 

防火墙开放服务端口

#service iptables start

/sbin/iptables -I INPUT -p tcp --dport 514 -j ACCEPT

/sbin/iptables -I INPUT -p udp --dport 514 -j ACCEPT

 

#/etc/init.d/iptables save

#/etc/init.d/iptables status

 

 

LOGANALYZER配置

用root用户登录

配置前先关闭iptables和SELINUX,避免安装过程中报错。

# serviceiptables stop

# setenforce 0

# vi /etc/sysconfig/selinux


SELINUX=disabled

启动mysqld httpd

安装loganalyzer

上传安装文件至/tmp下

#tar zxvf loganalyzer-3.6.3.tar.gz

复制loganalyzer源代码到apache的loganalyzer目录

#cd /tmp/loganalyzer-3.6.3

#mkdir -p /var/www/html/loganalyzer/

#cp -r src/* /var/www/html/loganalyzer/

#cp -r contrib/* /var/www/html/loganalyzer/

#cd /var/www/html/loganalyzer/

#touch config.php

#chmod 666 config.php

修改php环境

为配合LogAnalyzer对php环境的要求,请修改/etc/php.ini中的内容为:

memory_limit = 512M 
 max_execution_time = 120

创建日志目录

# mkdir -p  /var/log/httpd/loganalyzer

更多详情见请继续阅读下一页的精彩内容: http://www.linuxidc.com/Linux/2014-06/102867p2.htm

Rsyslog 的详细介绍:请点这里
Rsyslog 的下载地址:请点这里

图片 1

本文由澳门新葡亰app发布于新葡亰运维,转载请注明出处:Rsyslog是比syslog功能更强大的日志记录系统,但是

关键词: