CentOS 6.5下部署日志服务器 Rsyslog+LogAnalyzer+MySQL

简介

LogAnalyzer 是一款syslog日志和其他网络事件数据的Web前端。它提供了对日志的简单浏览、搜索、基本分析和一些图表报告的功能。数据可以从数据库或一般的syslog文本文件中获取，所以LogAnalyzer不需要改变现有的记录架构。基于当前的日志数据，它可以处理syslog日志消息，Windows事件日志记录，支持故障排除，使用户能够快速查找日志数据中看出问题的解决方案。

LogAnalyzer 获取客户端日志会有两种保存模式，一种是直接读取客户端/var/log/目录下的日志并保存到服务端该目录下，一种是读取后保存到日志服务器数据库中，推荐使用后者。

LogAnalyzer 采用php开发，日志服务器需要php的运行环境，本文采用LNMP。

系统环境

服务端：

Rsyslog Server OS: CentOS6.5 
Rsyslog Server OS: 192.168.1.200  
Rsyslog 版本：rsyslog-5.8.10-10.el6_6.x86_64
LogAnalyzer 版本: loganalyzer-4.1.5
LNMP 版本：nginx1.8.0 + php5.6.29 + mysql 5.7.17
SELinux 关闭
iptables 打开

客户端：

Rsyslog Client OS: CentOS6.5
Rsyslog Client OS: 192.168.1.201

安装LNMP环境

此处省略

服务端软件安装和配置

软件安装：rsyslog和rsyslog-mysql

检查是否按照rsyslog软件（系统会默认安装）

# rpm -qa|grep rsyslog

安装模块rsyslog-mysql(负责将日志传送到MySQL)：

# yum install rsyslog-mysql -y

rsyslog配置

1、导入rsyslog-mysql自带的sql文件

# mysql -uroot -p < /usr/share/doc/rsyslog-mysql-5.8.10/createDB.sql

createDB.sql文件的内容：(创建Syslog数据库，并创建空表SystemEvents和SystemEventsProperties)

CREATE DATABASE Syslog;
USE Syslog;
CREATE TABLE SystemEvents
(
        ID int unsigned not null auto_increment primary key,
        CustomerID bigint,
        ReceivedAt datetime NULL,
        DeviceReportedTime datetime NULL,
        Facility smallint NULL,
        Priority smallint NULL,
        FromHost varchar(60) NULL,
        Message text,
        NTSeverity int NULL,
        Importance int NULL,
        EventSource varchar(60),
        EventUser varchar(60) NULL,
        EventCategory int NULL,
        EventID int NULL,
        EventBinaryData text NULL,
        MaxAvailable int NULL,
        CurrUsage int NULL,
        MinUsage int NULL,
        MaxUsage int NULL,
        InfoUnitID int NULL ,
        SysLogTag varchar(60),
        EventLogType varchar(60),
        GenericFileName VarChar(60),
        SystemID int NULL
);
CREATE TABLE SystemEventsProperties
(
        ID int unsigned not null auto_increment primary key,
        SystemEventID int NULL ,
        ParamName varchar(255) NULL ,
        ParamValue text NULL
);

2、创建访问Syslog数据库的账号并分配权限

mysql> grant all privileges on `Syslog`.* to 'rsyslog'@'localhost' identified by 'abc123456';
mysql> flush privileges;

3、配置服务端支持rsyslog-mysql模块

# vim /etc/rsyslog.conf
$ModLoad ommysql
*.* :ommysql:localhost,Syslog,rsyslog,abc123456

说明：ommysql表示装载的模块名，Syslog表示数据库名，rsyslog表示用户，abc123456是密码
配置支持rsyslog-mysql模块，rsyslog会将新产生的日志信息自动传到MySQL中保存
4、开启相关日志模块，并开启UDP服务端口获取内网内其他linux系统日志

# vim /etc/rsyslog.conf
$ModLoad immark    #immark是模块名，支持日志标记
$ModLoad imudp    #imupd是模块名，支持udp协议
$UDPServerRun 514    #允许514端口接收使用UDP和TCP协议转发过来的日志

5、重启rsyslog服务，让配置生效

# /etc/init.d/rsyslog restart

6、开启iptables规则
开放514端口，仅限内网访问

# vim /etc/sysconfig/iptables
-A INPUT -s 192.168.1.0/24 -p tcp -m tcp --dport 514 -j ACCEPT
-A INPUT -s 192.168.1.0/24 -p udp -m udp --dport 514 -j ACCEPT
# /etc/init.d/iptables restart

客户端配置

1、检查rsyslog是否安装

# rpm -qa|grep rsyslog

2、配置rsyslog客户端发送本地日志到服务端

# vim /etc/rsyslog.conf
*.* @192.168.1.200

服务端地址：192.168.1.200
3、重启服务

# /etc/init.d/rsyslog restart

4、将客户端用户的history写入到系统日志，用于审计用户登录操作
用户登录操作被写入系统日志/var/log/messages中

# vim /etc/bashrc
export PROMPT_COMMAND='{ msg=$(history 1 | { read x y; echo $y; });logger "[euid=$(whoami)]":$(who am i):[`pwd`]"$msg"; }'
# source /etc/bashrc

说明：

1、PROMPT_COMMAND 是bash的环境变量，变量值会作为普通bash命令执行，执行时间是在bash显示prompt之前。
2、" msg=$(history 1 | { read x y; echo $y; }) " 。在prompt显示之前，执行history 1 ，总会获取最后一次执行的命令，通过read命令过滤掉历史ID。msg变量的值就是执行的命令。
3、logger 是一个shell 命令接口，可以通过该接口使用Rsyslog的系统日志模块，还可以从命令行直接向系统日志文件写入一行信息。

测试server端是否正常接收client端的日志

client 端测试：

[test@server ~]$ pwd
[test@server ~]$ whoami
[test@server ~]$ id
[test@server ~]$ ls

查看server端的messages日志：

#  tail -f /var/log/messages
Jun  9 17:57:52 server test: [euid=test]:test pts/1 2017-06-09 17:43 (217.11.57.227):[/home/test]pwd
Jun  9 17:57:53 server test: [euid=test]:test pts/1 2017-06-09 17:43 (217.11.57.227):[/home/test]whoami
Jun  9 17:57:54 server test: [euid=test]:test pts/1 2017-06-09 17:43 (217.11.57.227):[/home/test]id
Jun  9 17:58:02 server test: [euid=test]:test pts/1 2017-06-09 17:43 (217.11.57.227):[/home/test]ls

安装配置LogAnalyzer

1、软件安装

# wget http://download.adiscon.com/loganalyzer/loganalyzer-4.1.5.tar.gz
# tar zxvf loganalyzer-4.1.5.tar.gz
# cd loganalyzer-4.1.5
# mkdir /home/www/loganalyzer
# mv src/* /home/www/loganalyzer
# chmod +x contrb/configure.sh
# cp -a contrb/configure.sh /home/www/loganalyzer/
# cd /home/www/loganalyzer/
# ./configure.sh; rm -f configure.sh

在Nginx上配置域名访问，根目录为/home/www/loganalyzer
2、在浏览器安装向导中安装LogAnalyzer

测试LogAnalyzer的使用