概述

Rsyslog是比syslog功能更強大的日志記錄系統(tǒng),可以將日志輸出到文件,數(shù)據(jù)庫和其它程序.可以使用rsyslog替換系統(tǒng)自帶的syslog。

LogAnalyzer 是一個 syslog 和其他網(wǎng)絡(luò)事件數(shù)據(jù)的 Web 前端工具,提供簡單易用的日志瀏覽、搜索和基本分析以及圖表顯示。

本文環(huán)境為CENTOS 6.5平臺部署Rsyslog+LogAnalyzer

環(huán)境要求

CENTOS 6.5 X64

安裝過程

安裝介質(zhì)

Rsyslog采用系統(tǒng)自帶yum源。

http://loganalyzer.adiscon.com/downloads/

下載LogAnalyzer

RSYSLOG服務(wù)器配置

用root用戶登錄

調(diào)整時間

#hwclock –set –date=”2013/07/04 13:49″

#hwclock -hctosys

 配置本地YUM源

#mkdir /mnt/cdrom

#mount /dev/cdrom /mnt/cdrom

#cd /etc/yum.repos.d/

#mkdir bak

#mv *.repo bak/

#vi media.repo

[media]

name=media

baseurl=file:///mnt/cdrom

enabled=1

gpgcheck=0

配置前先關(guān)閉iptables和SELINUX，避免安裝過程中報錯。

# service iptables stop

# setenforce 0

# vi /etc/sysconfig/selinux

—————

SELINUX=disabled

安裝MYSQL PHP APACHE

# yum install mysql-server mysql-devel libcurl-devel net-snmp-devel php php-gd php-xml php-mysql httpd

# service mysqld start

# mysql -uroot

mysql> set password=password(‘rootroot’);

安裝rsyslog

# yum install rsyslog rsyslog-mysql -y

注：rsyslog-mysql為rsyslog將日志傳送到mysql數(shù)據(jù)庫的一個模塊，這里必須安裝
若服務(wù)器未安裝RSYSLOG,需要修改/etc/sysconfig/rsyslog文件配置

SYSLOGD_OPTIONS=”-c 2 -r -x -m 180″

KLOGD_OPTIONS=”-x”

各參數(shù)作用：

-c 指定運行兼容模式。

-r 指定監(jiān)聽端口。 默認514

-x 在接收客戶端消息時，禁用DNS查找。需和-r參數(shù)配合使用。

-m 標記時間戳。單位是分鐘，為0時，表示禁用該功能。

# cd /usr/share/doc/rsyslog-mysql-5.8.10/

# mysql -uroot -prootroot < createDB.sql

注：創(chuàng)建Syslog庫并在該庫中創(chuàng)建了兩張空表

創(chuàng)建rsyslog用戶在mysql下的相關(guān)權(quán)限

# mysql -uroot -prootroot

mysql > grant all privileges on Syslog.* to rsyslog@localhost identified by ”123456″;

mysql > flush privileges;

配置服務(wù)端支持rsyslog-mysql模塊，并開啟UDP服務(wù)端口獲取網(wǎng)內(nèi)其他LINUX系統(tǒng)日志

# vi /etc/rsyslog.conf

在#### MODULES ####下添加這兩行

$ModLoad ommysql.so

*.* :ommysql:localhost,Syslog,rsyslog,123456

注:localhost表示本地主機，Syslog為數(shù)據(jù)庫名，rsyslog為數(shù)據(jù)庫的用戶，123456為該用戶密碼

取消下面三行注釋

$ModLoad immark

$ModLoad imudp

$UDPServerRun 514

重啟服務(wù)：

# service rsyslog restart

(rsyslog client)

# yum install rsyslog -y

配置rsyslog客戶端發(fā)送本地日志到服務(wù)端

# vi /etc/rsyslog.conf

末行添加如下內(nèi)容

*.* @192.168.7.201

注:192.168.7.201 為日志服務(wù)器端IP地址

重啟服務(wù)：

# service rsyslog restart

防火墻開放服務(wù)端口

#service iptables start

/sbin/iptables -I INPUT -p tcp –dport 514 -j ACCEPT

/sbin/iptables -I INPUT -p udp –dport 514 -j ACCEPT

#/etc/init.d/iptables save

#/etc/init.d/iptables status

LOGANALYZER配置

用root用戶登錄

配置前先關(guān)閉iptables和SELINUX，避免安裝過程中報錯。

# serviceiptables stop

# setenforce 0

# vi /etc/sysconfig/selinux

—————

SELINUX=disabled

啟動mysqld httpd

安裝loganalyzer

上傳安裝文件至/tmp下

#tar zxvf loganalyzer-3.6.3.tar.gz

復制loganalyzer源代碼到apache的loganalyzer目錄

#cd /tmp/loganalyzer-3.6.3

#mkdir -p /var/www/html/loganalyzer/

#cp -r src/* /var/www/html/loganalyzer/

#cp -r contrib/* /var/www/html/loganalyzer/

#cd /var/www/html/loganalyzer/

#touch config.php

#chmod 666 config.php

修改php環(huán)境

為配合LogAnalyzer對php環(huán)境的要求，請修改/etc/php.ini中的內(nèi)容為：

memory_limit = 512M
max_execution_time = 120

創(chuàng)建日志目錄

# mkdir -p  /var/log/httpd/loganalyzer

配置虛擬機，apache安全配置
這部分，請根據(jù)apache實際情況操作。以默認系統(tǒng)為例，虛擬主機配置文件都放在/etc/httpd/conf/httpd.conf，加入下面內(nèi)容。

# loganalyzer

<VirtualHost *:80>

   ServerName logserver

   ServerAdminzhjixi1234@163.com

   DocumentRoot /var/www/html/loganalyzer

   <Directory />

       Options FollowSymLinks

       AllowOverride All

   </Directory>

   <Directory /var/www/html/loganalyzer >

       # pcw No directory listings

       # Options Indexes FollowSymLinks MultiViews

       Options -Indexes FollowSymLinks MultiViews

       AllowOverride All

       Order allow,deny

       allow from all

   </Directory>

   ErrorLog /var/log/httpd/loganalyzer/error.log

   # Possible values include: debug, info, notice, warn, error, crit,

   # alert, emerg.

   LogLevel warn

   CustomLog /var/log/httpd/loganalyzer/access.log combined

   ServerSignature On

</VirtualHost>

重啟服務(wù)

#service httpd restart

WEB配置

在瀏覽器輸入網(wǎng)址，進入安裝向?qū)?/p>

訪問http://serverip:80

1.提示沒有配置文件，點擊here利用向?qū)?br>

文件權(quán)限config.php不正確，chmod 666 /var/www/html/loganalyzer/config.php

注：點擊NEXT時若報錯，后臺執(zhí)行如下命令后繼續(xù)

# ln -s /var/lib/mysql/mysql.sock /tmp/mysql.sock

開始寫入數(shù)據(jù)庫，NEXT

提示寫入成功，NEXT

設(shè)置管理員賬戶，配置完畢NEXT

設(shè)置監(jiān)控日志保存到mysql數(shù)據(jù)庫中，按照如圖配置后NEXT

完成配置,FINISH

進入主界面：

查看loganalyzer是否獲取系統(tǒng)日志

防火墻開放服務(wù)端口

#service iptables start

/sbin/iptables -I INPUT -p tcp –dport 80 -j ACCEPT

安全配置

#cd /var/www/html/loganalyzer

#chmod 644 config.php

總結(jié)：

感覺RSYSLOG+LOGANALYZER搭建相對于SYSLOG-NG+LOGANALYZER搭建簡單很多，LogAnalyzer的BUG還沒試出來。。
SYSLOGNG相對于RSYSLOG功能強大很多，但那些功能是收費的。
LOGZILLA功能也很強大，但那些也是收費的。
綜上所述，打算采用RSYSLOG+LOGANALYZER作為日志集中服務(wù)器，遺憾的是，這個版本的loganalyzer的用戶權(quán)限控制不是很好。