一���、隨著管理的服務(wù)器與網(wǎng)絡(luò)設(shè)備的增加��,系統(tǒng)日志的采集與收集變得繁瑣起來���。此時在一臺服務(wù)器上構(gòu)建集中日志管理服務(wù)器,實現(xiàn)從其他服務(wù)器上采集到的系統(tǒng)日志發(fā)送到日志管理服務(wù)器進行統(tǒng)一管理與存儲就變得很有必要了�。
日志管理服務(wù)器可以解決以下問題:
1、不再需要逐臺服務(wù)器去查詢系統(tǒng)日志文件
2��、將日常的系統(tǒng)信息存儲在mysql數(shù)據(jù)中��,方便進行查詢�、統(tǒng)計、審計過濾等操作
3��、通過其他軟件可以實現(xiàn)擴平臺日志收集,如使用evtsys采集window日志發(fā)送到linux日志服務(wù)器上
4�、在linux下rsyslog配置比較簡單,維護較為容易���。
5���、rsyslog+loganalyzer可以實現(xiàn)前端圖形化查詢等操作.
二、rsyslog的安裝與配置
使用yum安裝相關(guān)程序包:
1�����、安裝LAMP:yum install mysql-server,mysql-devel, httpd,php-mysql
php ,php-gd, php-xml
2����、安裝rsyslog及驅(qū)動 libcurl-devel ,net-snmp-devel ,rsyslog, rsyslog-mysql
3、阿里云服務(wù)器上自帶的yum倉庫源上默認沒有mysql-server,網(wǎng)上下載mysql57-community-release-el7-11.noarch.rpm并使用rpm安裝:rpm
-ivh mysql57-community-release-el7-11.noarch.rpm
三��、啟動mysql服務(wù):
1��、初次啟動時會在/var/log/mysqld.log隨機生成root密碼�,使用grep 'password'
'/var/log/mysqld.log'查看:
2、使用剛才找到的密碼登錄并修改root密碼:
mysqladmin -u root password 'yourpassword'.
假設(shè)將root密碼設(shè)為123456:
set password for root@'localhost'=password('12345678');
將會提示錯誤信息:
原因為mysql默認參數(shù)validate_password_policy=medium,將這個值設(shè)為0��,set global
validate_password_policy=0;修改就能使用較為簡單的密碼���。
3�����、設(shè)置mysql默認字符集為UTF-8:編輯/etc/my.cnf文件,在[mysqld]下添加一行:character-set-server = utf8
skip-name-resolve=on ###禁止域名解析
然后重啟mysql服務(wù):systemctl restart mysqld
4����、使用剛才安裝的rsyslog-mysql程序包文檔目錄下的sql文件創(chuàng)建rsyslog數(shù)據(jù)庫:
使用rpm -ql rsyslog-mysql 查詢并找到該sql文件
使用該文件創(chuàng)建數(shù)據(jù)庫 mysql -u root -p < mysql-createDB.sql
創(chuàng)建的數(shù)據(jù)庫名為:syslog
5�、mysql中創(chuàng)建數(shù)據(jù)庫Syslog的使用用戶syslog并授權(quán):
grant all on Syslog.* to 'syslog'@'127.0.0.1';
flush privileges;
6��、修改rsyslog配置文件:
vim /etc/sysconfig/rsyslog
添加兩行:
SYSLOGD_OPTIONS="-c 2 -r -x -m 180"
KLOGD_OPTIONS="-x"
編輯rsyslog主配置文件/etc/rsyslog.conf:
在#### MODULES ####下進行以下操作:
取消$ModLoad imudp���、$UDPServerRun 514 這2行的注釋表示通過UPD協(xié)議的514端口接收日志文件�。
添加$ModLoad ommysql 一行 #######配置服務(wù)端支持rsyslog-mysql模塊
添加. :ommysql:127.0.0.1,Syslog,rsyslog,123456789
重啟rsyslog:
systemctl restart rsyslog
四����、loganalyzer的配置
1、在apache的默認documentRoot目錄下創(chuàng)建loganalyzer目錄:
mkdir -p /var/www/html/loganalyzer
創(chuàng)建loganalyzer日志目錄:
mkdir -p /var/log/httpd/loganalyzer
2��、官網(wǎng)上下載Loganalyzer解壓到/usr/loca/src下:
wget http://download.adiscon.com/loganalyzer/loganalyzer-4.1.6.tar.gz
<https://yq.aliyun.com/go/articleRenderRedirect?url=http%3A%2F%2Fdownload.adiscon.com%2Floganalyzer%2Floganalyzer-4.1.6.tar.gz>
cd /usr/local/src
tar -zxvf loganalyzer-4.1.6.tar.gz
在解壓后的loganalyzer-4.1.6目錄內(nèi)復(fù)制src/與contrib/下的所有文件到/var/www/html/loganalyzer目錄下:
cp -r src/* /var/www/html/loganalyzer
cp -r contrib/* /var/www/html/loganalyzer
3�����、在/var/www/html/loganalyzer下創(chuàng)建config.php并設(shè)置權(quán)限:
touch config.php
chmod 666 config.php
4.在/etc/httpd/conf/httpd.conf文件為找到并修改配置為:
Listen 8080
DocumentRoot "/var/www/html/loganalyzer"
ErrorLog /var/log/httpd/loganalyzer/error.log
CustomLog /var/log/httpd/loganalyzer/access_log combined
重啟httpd: systemctl restart httpd
5、瀏覽器上輸入日志服務(wù)器ip+端口號:
點擊next 到step3:
配置后數(shù)據(jù)庫用戶及密碼����,點擊next。
step6:創(chuàng)建loganalyzer登錄用戶:
step7:
點擊next并登錄即可完成初始化配置:
6��、可以在網(wǎng)上搜索下載loganalyzer3.6.5
中文語言包并將解壓后的3個文件放在/var/www/html/loganalyzer/lang下并重啟rsyslog即可使用loganalyzer中文界面:
7.修改客戶端服務(wù)器/etc/rsyslog.conf文件實現(xiàn)將日志傳輸至構(gòu)建好的日志服務(wù)器:
在#### RULES ####中添加配置:
@表示使用upd協(xié)議傳輸文件,劃線部分為搭建的集中日志服務(wù)器ip.
也可以使用. @ip 表示所有日志文件都傳輸至日志服務(wù)器
8���、刷新loganalyzer頁面就可看到客戶端服務(wù)器的日志信息也被記錄到數(shù)據(jù)庫中����,構(gòu)建完成.
參考博客:https://blog.csdn.net/cmzsteven/article/details/50413837
<https://yq.aliyun.com/go/articleRenderRedirect?url=https%3A%2F%2Fblog.csdn.net%2Fcmzsteven%2Farticle%2Fdetails%2F50413837>
