简介

LogAnalyzer 是一款syslog日志和其他网络事件数据的Web前端。它提供了对日志的简单浏览、搜索、基本分析和一些图表报告的功能。数据可以从数据库或一般的syslog文本文件中获取,所以LogAnalyzer不需要改变现有的记录架构。基于当前的日志数据,它可以处理syslog日志消息,Windows事件日志记录,支持故障排除,使用户能够快速查找日志数据中看出问题的解决方案。

LogAnalyzer 获取客户端日志会有两种保存模式,一种是直接读取客户端/var/log/目录下的日志并保存到服务端该目录下,一种是读取后保存到日志服务器数据库中,推荐使用后者。

LogAnalyzer 采用php开发,日志服务器需要php的运行环境,本文采用LNMP。

系统环境

服务端:

Rsyslog Server OS: CentOS6.5 

Rsyslog Server OS: 192.168.1.200  

Rsyslog 版本:rsyslog-5.8.10-10.el6_6.x86_64
LogAnalyzer 版本: loganalyzer-4.1.5
LNMP 版本:nginx1.8.0 + php5.6.29 + mysql 5.7.17
SELinux 关闭
iptables 打开

客户端:

Rsyslog Client OS: CentOS6.5

Rsyslog Client OS: 192.168.1.201

安装LNMP环境

此处省略

服务端软件安装和配置

软件安装:rsyslog和rsyslog-mysql

检查是否按照rsyslog软件(系统会默认安装)

# rpm -qa|grep rsyslog

安装模块rsyslog-mysql(负责将日志传送到MySQL):

# yum install rsyslog-mysql -y

rsyslog配置

1、导入rsyslog-mysql自带的sql文件

# mysql -uroot -p < /usr/share/doc/rsyslog-mysql-5.8.10/createDB.sql

createDB.sql文件的内容:(创建Syslog数据库,并创建空表SystemEvents和SystemEventsProperties)

CREATE DATABASE Syslog;
USE Syslog;
CREATE TABLE SystemEvents
(
ID int unsigned not null auto_increment primary key,
CustomerID bigint,
ReceivedAt datetime NULL,
DeviceReportedTime datetime NULL,
Facility smallint NULL,
Priority smallint NULL,
FromHost varchar(60) NULL,
Message text,
NTSeverity int NULL,
Importance int NULL,
EventSource varchar(60),
EventUser varchar(60) NULL,
EventCategory int NULL,
EventID int NULL,
EventBinaryData text NULL,
MaxAvailable int NULL,
CurrUsage int NULL,
MinUsage int NULL,
MaxUsage int NULL,
InfoUnitID int NULL ,
SysLogTag varchar(60),
EventLogType varchar(60),
GenericFileName VarChar(60),
SystemID int NULL
); CREATE TABLE SystemEventsProperties
(
ID int unsigned not null auto_increment primary key,
SystemEventID int NULL ,
ParamName varchar(255) NULL ,
ParamValue text NULL
);

2、创建访问Syslog数据库的账号并分配权限

mysql> grant all privileges on `Syslog`.* to 'rsyslog'@'localhost' identified by 'abc123456';
mysql> flush privileges;

3、配置服务端支持rsyslog-mysql模块

# vim /etc/rsyslog.conf
$ModLoad ommysql
*.* :ommysql:localhost,Syslog,rsyslog,abc123456

说明:ommysql表示装载的模块名,Syslog表示数据库名,rsyslog表示用户,abc123456是密码
配置支持rsyslog-mysql模块,rsyslog会将新产生的日志信息自动传到MySQL中保存
4、开启相关日志模块,并开启UDP服务端口获取内网内其他linux系统日志

# vim /etc/rsyslog.conf
$ModLoad immark #immark是模块名,支持日志标记
$ModLoad imudp #imupd是模块名,支持udp协议
$UDPServerRun 514 #允许514端口接收使用UDP和TCP协议转发过来的日志

5、重启rsyslog服务,让配置生效

# /etc/init.d/rsyslog restart

6、开启iptables规则
开放514端口,仅限内网访问

# vim /etc/sysconfig/iptables
-A INPUT -s 192.168.1.0/24 -p tcp -m tcp --dport 514 -j ACCEPT
-A INPUT -s 192.168.1.0/24 -p udp -m udp --dport 514 -j ACCEPT
# /etc/init.d/iptables restart

客户端配置

1、检查rsyslog是否安装

# rpm -qa|grep rsyslog

2、配置rsyslog客户端发送本地日志到服务端

# vim /etc/rsyslog.conf
*.* @192.168.1.200

服务端地址:192.168.1.200
3、重启服务

# /etc/init.d/rsyslog restart

4、将客户端用户的history写入到系统日志,用于审计用户登录操作
用户登录操作被写入系统日志/var/log/messages中

# vim /etc/bashrc
export PROMPT_COMMAND='{ msg=$(history 1 | { read x y; echo $y; });logger "[euid=$(whoami)]":$(who am i):[`pwd`]"$msg"; }'
# source /etc/bashrc

说明:

1、PROMPT_COMMAND 是bash的环境变量,变量值会作为普通bash命令执行,执行时间是在bash显示prompt之前。
2、" msg=$(history 1 | { read x y; echo $y; }) " 。在prompt显示之前,执行history 1 ,总会获取最后一次执行的命令,通过read命令过滤掉历史ID。msg变量的值就是执行的命令。
3、logger 是一个shell 命令接口,可以通过该接口使用Rsyslog的系统日志模块,还可以从命令行直接向系统日志文件写入一行信息。

测试server端是否正常接收client端的日志

client 端测试:

[test@server ~]$ pwd
[test@server ~]$ whoami
[test@server ~]$ id
[test@server ~]$ ls

查看server端的messages日志:

#  tail -f /var/log/messages
Jun 9 17:57:52 server test: [euid=test]:test pts/1 2017-06-09 17:43 (217.11.57.227):[/home/test]pwd
Jun 9 17:57:53 server test: [euid=test]:test pts/1 2017-06-09 17:43 (217.11.57.227):[/home/test]whoami
Jun 9 17:57:54 server test: [euid=test]:test pts/1 2017-06-09 17:43 (217.11.57.227):[/home/test]id
Jun 9 17:58:02 server test: [euid=test]:test pts/1 2017-06-09 17:43 (217.11.57.227):[/home/test]ls

安装配置LogAnalyzer

1、软件安装

# wget http://download.adiscon.com/loganalyzer/loganalyzer-4.1.5.tar.gz
# tar zxvf loganalyzer-4.1.5.tar.gz
# cd loganalyzer-4.1.5
# mkdir /home/www/loganalyzer
# mv src/* /home/www/loganalyzer
# chmod +x contrb/configure.sh
# cp -a contrb/configure.sh /home/www/loganalyzer/
# cd /home/www/loganalyzer/
# ./configure.sh; rm -f configure.sh

在Nginx上配置域名访问,根目录为/home/www/loganalyzer
2、在浏览器安装向导中安装LogAnalyzer

测试LogAnalyzer的使用

CentOS 6.5下部署日志服务器 Rsyslog+LogAnalyzer+MySQL的更多相关文章

  1. Centos7搭建日志服务器rsyslog+loganalyzer

    一.系统环境 Rsyslog Server OS:CentOS 7 Rsyslog Server IP:172.28.194.118 Rsyslog Version: rsyslog-7.4.7-12 ...

  2. Centos7.6部署rsyslog+loganalyzer+mysql日志管理服务器

    参考来自: the_script :https://yq.aliyun.com/articles/675198 名山.深处:https://www.cnblogs.com/skychenjiajun/ ...

  3. CentOS 6.3下部署LVS(NAT)+keepalived实现高性能高可用负载均衡【转】

    CentOS 6.3下部署LVS(NAT)+keepalived实现高性能高可用负载均衡   一.简介 VS/NAT原理图: 二.系统环境 实验拓扑: 系统平台:CentOS 6.3 Kernel:2 ...

  4. 【简书】在阿里云自带的CentOS + LAMP环境下部署一个Laravel项目

    在阿里云自带的CentOS + LAMP环境下部署一个Laravel项目 作者 DonnieZero 关注 2017.07.29 22:02* 字数 2218 阅读 5556评论 3喜欢 1赞赏 1 ...

  5. CentOS 6.2下搭建Web服务器

    1Centos 6.2下搭建web服务器 如今,Linux在Web应用越来越广,许多企业都采用Linux来搭建Web服务器,这样即节省了购买正版软件的费用,而且还能够提高服务器的安全性. 之前我们介绍 ...

  6. Linux下部署FTP服务器

    Linux下部署FTP服务器 下载安装包 在这里介绍的是离线部署FTP,首先下载对应的rpm包,下载链接为: 下载vsftpd服务 下载FTP客户端 安装ftp服务器 关闭防火墙 service ip ...

  7. debian7下部署nginx服务器

    笔者是在vmware中的Debian7下部署nginx服务器,采用离线部署方式.过程如下: 1.准备好需要的离线安装包 nginx-1.6.2.tar.gz,pcre-8.34.tar.gz,open ...

  8. Linux CentOS 6.5 下 vsftpd ftp服务器搭建

    Linux CentOS 6.5 下 vsftpd ftp服务器搭建 by:授客 QQ:1033553122   操作系统环境:CentOS 6.5-x86_64 下载地址:http://www.ce ...

  9. CentOS 6.3下搭建Web服务器

    准备前的工作: 1.修改selinux配置文件(/etc/sysconfig/selinux) 关闭防火墙 (1)把SELINUX=enforcing注释掉 (2)并添加SELINUX=disable ...

随机推荐

  1. centos7 rpm 安装 rabbitMQ 最新版

    首先打开官网: http://www.rabbitmq.com/install-rpm.html 先到右侧导航栏来看一下 : 第一个红框是指的在linux中安装,全英文的,乱的一笔,但是静下心来就可以 ...

  2. 【udacity】机器学习-波士顿房价预测

    import numpy as np import pandas as pd from Udacity.model_check.boston_house_price import visuals as ...

  3. Nginx Location指令配置及常用全局变量

    ./configure的含义 在实践安装nginx的时候,不知道./configure是什么意思,这里特地记录一下. 在linux中./代表当前目录,属于相对路径../代表上一级目录,属于相对路径/代 ...

  4. 内核如何检测SOFT LOCKUP与HARD LOCKUP?

    内核如何检测SOFT LOCKUP与HARD LOCKUP? From article 所谓lockup,是指某段内核代码占着CPU不放.Lockup严重的情况下会导致整个系统失去响应.Lockup有 ...

  5. Code VS 1002 搭桥

    题目描述 Description 有一矩形区域的城市中建筑了若干建筑物,如果某两个单元格有一个点相联系,则它们属于同一座建筑物.现在想在这些建筑物之间搭建一些桥梁,其中桥梁只能沿着矩形的方格的边沿搭建 ...

  6. FreeMarker 语法 null 的处理

    一.java 代码 @Test public void testFreeMarker() throws Exception { //1.创建一个模板文件 //2.创建一个Configuration对象 ...

  7. jQuery(表单选择器)

  8. Cannot Allocate New Log

    http://www.itpub.net/thread-1842569-1-1.html http://czmmiao.iteye.com/blog/2277675

  9. CAD教程-AL对其命令

    AL可以实现不规则的对其功能 1.第一步按下AL,按下Enter 2.选择第一个源点 3.选择第一个目标点 4.选择第二个源点 5.选择第二个目标点 6.按下Enter,完成移位

  10. Ajax-URL 防止数据缓存,添加时间戳

    url:CONTEXTPATH + "/dataService/getSourceStatics?type=0&t="+new Date().getTime(),