一、簡介
LogAnalyzer 是一款syslog日志和其他網絡事件數據的Web前端。它提供了對日志的簡樸欣賞、搜索、基天職析和一些圖表陳訴的成果。數據可以從數據庫或一般的syslog文本文件中獲取,所以LogAnalyzer不需要改變現有的記錄架構。基于當前的日志數據,東莞電信服務器 河南電信服務器,它可以處理懲罰syslog日志動靜,Windows事件日志記錄,支持妨礙解除,利用戶可以或許快速查找日志數據中看出問題的辦理方案。
LogAnalyzer 獲取客戶端日志會有兩種生存模式,一種是直接讀取客戶端/var/log/目次下的日志并生存隨處事端該目次下,一種是讀取后生存到日志處事器數據庫中,推薦利用后者。
LogAnalyzer 回收php開拓,所以日志處事器需要php的運行情況,本文回收LAMP。
二、系統情況
Rsyslog Server OS:CentOS 6.5
Rsyslog Server IP:192.168.1.107
Rsyslog 版本:rsyslog-5.8.10-8.el6.i686
LogAnalyzer 版本:LogAnalyzer 3.6.5 (v3-stable)
LAMP 版本:httpd-2.2.15-30.el6.centos.i686 + mysql-5.1.73-3.el6_5.i686 + php-5.3.3-27.el6_5.i686
防火墻已封鎖/iptables: Firewall is not running.
SELINUX=disabled
Rsyslog Client OS:RHEL 6.4
Rsyslog Client IP:192.168.1.108
三、安裝并配置LAMP情況
3.1 安裝LAMP情況
# yum -y install httpd mysql* php*
3.2 啟動處事并插手開機啟動
啟動Apache
# /etc/init.d/httpd start
# chkconfig httpd on
啟動數據庫
# /etc/init.d/mysqld start
# chkconfig mysqld on
3.3 配置MySQL root 暗碼
# mysqladmin -uroot password 'abc123'
3.4 測試php運行情況
# cd /var/www/html/
[[email protected] html]# cat > index.php <<EOF
> <?php
> phpinfo();
> ?>
> EOF
打開欣賞器會見:http://192.168.1.107/index.php
LAMP情況設置完畢。
四、查抄并安裝處事器端軟件
4.1 查抄是否安裝了rsyslog軟件
# rpm -qa|grep rsyslog //默認系統都安裝了該軟件
4.2 安裝rsyslog 毗連MySQL數據庫的模塊
# yum install rsyslog-mysql –y
rsyslog-mysql 為rsyslog 將日志傳送到MySQL 數據庫的一個模塊,這里必需安裝。
五、設置處事器端
5.1 導入rsyslog-mysql 數據庫文件
# cd /usr/share/doc/rsyslog-mysql-5.8.10/
# mysql -uroot -pabc123 < createDB.sql
查察做了哪些操縱
# mysql -uroot –p
mysql> show databases;
mysql> show tables;
導入數據庫操縱建設了Syslog 庫并在該庫中建設了兩張空表SystemEvents 和SystemEventsProperties。
5.2 建設rsyslog 用戶在mysql下的相關權限
# mysql -uroot –p
mysql> grant all on Syslog.* to [email protected] identified by '123456';
mysql> flush privileges;
mysql> exit
5.3 設置處事端支持rsyslog-mysql 模塊,并開啟UDP處事端口獲取網內其他LINUX系統日志
# vi /etc/rsyslog.conf
$ModLoad ommysql
*.* :ommysql:localhost,Syslog,rsyslog,123456
在 #### MODULES #### 下添加上面兩行。
說明:localhost 暗示當田主機,Syslog 為數據庫名,rsyslog 為數據庫的用戶,123456為該用戶暗碼。
5.4 開啟相關日志模塊
# vi /etc/rsyslog.conf
$ModLoad immark #immark是模塊名,支持日志標志
$ModLoad imudp #imupd是模塊名,支持udp協議
$UDPServerRun 514 #答允514端口吸收利用UDP和TCP協議轉發過來的日志
5.5 重啟rsyslog 處事
# /etc/init.d/rsyslog restart
六、設置客戶端
6.1 查抄rsyslog 是否安裝
# rpm -qa|grep rsyslog
6.2 設置rsyslog 客戶端發送當地日志隨處事端
# vi /etc/rsyslog.conf
*.* @192.168.1.107
行尾新增上面這行內容,即客戶端將當地日志發送隨處事器。
6.3 重啟rsyslog 處事
# /etc/init.d/rsyslog restart
6.4 編輯/etc/bashrc,將客戶端執行的所有呼吁寫入系統日志/var/log/messages中。
# vi /etc/bashrc
在文件尾部增加一行
export PROMPT_COMMAND='{ msg=$(history 1 | { read x y; echo $y; });logger "[euid=$(whoami)]":$(who am i):[`pwd`]"$msg"; }'
配置其生效
# source /etc/bashrc
客戶端設置完畢。
七、測試Rsyslog Server是否可以正常接管Client端日志
Client 端測試:
Server 端偵測:
說明吸收正常,包羅你重啟呆板的一些Log都可以查察到。
八、安裝LogAnalyzer
# wget http://download.adiscon.com/loganalyzer/loganalyzer-3.6.5.tar.gz
# tar zxf loganalyzer-3.6.5.tar.gz
# cd loganalyzer-3.6.5
# mkdir -p /var/www/html/loganalyzer
# rsync -a src/* /var/www/html/loganalyzer/
九、在欣賞器安裝領導中安裝LogAnalyzer
9.1 打開欣賞器會見:http://192.168.1.107/loganalyzer/
提示沒有設置文件,點擊 here 操作領導生成。
9.2 第一步,測試系統情況
點擊 “Next”,進入第二步。
提示錯誤:缺少config.php 文件,而且權限要配置為666,可以利用contrib目次下的configure.sh 劇本生成。
查察configure.sh 文件內容
需要在/var/www/html/loganalyzer/ 下建設config.php 文件,并配置其權限為666。
# touch /var/www/html/loganalyzer/config.php
# chmod 666 /var/www/html/loganalyzer/config.php
做完上面的操縱之后,執行 ReCheck 操縱,config.php 文件可寫,點擊 Next 進入下一步。
9.3 第三步,基本設置
在User Database Options 中,填入上面配置的參數,然后點擊 Next.
9.4 第四步,建設表
點擊 Next 開始建設表。
9.5 第五步,查抄SQL功效
9.6 第六步,建設打點用戶
9.7 第七步,建設第一個系統日志source.
9.8 第八步,完成
十、測試
LogAnalyzer 首頁
點擊任何一筆記錄,查察詳情。
查察Statistics
登錄測試
在Admin Center 里可以舉辦一些系統配置。
Rsyslog + LogAnalyzer 日志處事器陳設完畢。
