Rsyslog+LogAnalyzer+MySQL部署日志服务器

当前位置: Home » Linux » Rsyslog+LogAnalyzer+MySQL部署日志服务器

一、简介

LogAnalyzer 是一款syslog日志和其他网络事件数据的Web前端。它提供了对日志的简单浏览、搜索、基本分析和一些图表报告的功能。数据可以从数据库或一般的syslog文本文件中获取,所以LogAnalyzer不需要改变现有的记录架构。基于当前的日志数据,它可以处理syslog日志消息,Windows事件日志记录,支持故障排除,使用户能够快速查找日志数据中看出问题的解决方案。

LogAnalyzer 获取客户端日志会有两种保存模式,一种是直接读取客户端/var/log/目录下的日志并保存到服务端该目录下,一种是读取后保存到日志服务器数据库中,推荐使用后者。

LogAnalyzer 采用php开发,所以日志服务器需要php的运行环境,本文采用LAMP。编译安装LAMP

二、安装配置rsyslog

2.1、检查是否安装了rsyslog软件

# rpm -qa | grep rsyslog    #默认系统都安装了该软件

2.2、安装rsyslog连接MySQL数据库的模块

# yum -y install rsyslog-mysql

2.3、导入rsyslog-mysql 数据库文件

rsyslog的mysql数据库默认文件是

/usr/share/doc/rsyslog-mysql-5.8.10/createDB.sql

将文件导入mysql
# mysql -u root -p < /usr/share/doc/rsyslog-mysql-5.8.10/createDB.sql

导入数据库操作创建了Syslog 库并在该库中创建了两张空表SystemEvents 和SystemEventsProperties

1.png

2.4、创建用户,授权对Syslog数据库的全部访问权限

# GRANT ALL ON Syslog.* TO 'syslog'@'localhost' IDENTIFIED BY 'syslogpass';
# FLUSH PRIVILEGES;

2.5、配置服务端支持rsyslog-mysql模块,并开启UDP服务端口

vim /etc/rsyslog.conf
在#### MODULES ####下添加这两行
$ModLoad ommysql.so
*.* :ommysql:localhost,Syslog,syslog,syslogpass

注:localhost表示本地主机,Syslog为数据库名,syslog为数据库的用户,syslogpass为该用户密码

开启相关日志模块
$ModLoad immark        #immark是模块名,支持日志标记
$ModLoad imudp         #imupd是模块名,支持udp协议
$UDPServerRun 514      #允许514端口接收使用UDP和TCP协议转发过来的日志

2.6、重启rsyslog服务

# systemctl restart rsyslog.service

三、Loganalyzer安装与配置

下载Loganalyzer:Loganalyzer官网下载

3.1、解压文件并复制源代码到apache的loganalyzer目录

# tar xf loganalyzer-4.1.6.tar.gz
# cd loganalyzer-4.1.6
# mkdir -p /usr/local/apache/htdocs/loganalyzer/
# cp -a src/* /usr/local/apache/htdocs/loganalyzer/
# cp -a contrib/* /usr/local/apache/htdocs/loganalyzer/
# cd /usr/local/apache/htdocs/loganalyzer/
# chmod +x configure.sh secure.sh
# ./configure.sh
# ./secure.sh
# chmod 666 config.php
# chown -R apache.apache ./*

重启httpd服务
# systemctl restart httpd

3.2、浏览器安装向导中安装LogAnalyzer

1)浏览器访问http://SERVER_IP/loganalyzer/

提示没有配置文件,点击 here 利用向导生成。

2.png

2)测试系统环境

3.png

3)点击"Next",进入下一步

4.png

4)基础配置

5.png

5)创建表

6.png

6)检查SQL结果

7.png

7)创建管理用户

8.png

8)创建第一个系统日志source

9.png

9)完成10.png

完成安装就可登录并查看日志信息了

四、Linux客户端配置

4.1、配置rsyslog客户端发送本地日志到服务端

# vim /etc/rsyslog.conf
在末行添加一行:
*.* @192.168.7.6

注:192.168.7.6 为日志服务器端IP地址

4.2、重启rsyslog服务

# systemctl restart rsyslog

这时在服务端刷新就可以看到相关日志信息了

声明:Jason|版权所有,违者必究|如未注明,均为原创|本网站采用BY-NC-SA协议进行授权

转载:转载请注明原文链接 - Rsyslog+LogAnalyzer+MySQL部署日志服务器

Carpe Diem and Do what I like