CentOS 6.5+Rsyslog+LogAnalyzer搭建中央日志服务器

共计 7879 个字符，预计需要花费 20 分钟才能阅读完成。

概述

Rsyslog 是比 syslog 功能更强大的日志记录系统, 可以将日志输出到文件, 数据库和其它程序. 可以使用 rsyslog 替换系统自带的 syslog。

LogAnalyzer 是一个 syslog 和其他网络事件数据的 Web 前端工具, 提供简单易用的日志浏览、搜索和基本分析以及图表显示。

本文环境为 CentOS 6.5 平台部署 Rsyslog+LogAnalyzer

相关阅读：

RHEL5.4 部署中央日志服务器之 rsyslog+Log Analyzer http://www.linuxidc.com/Linux/2012-01/51853.htm

CentOS 6.3 下利用 Rsyslog+LogAnalyzer+MySQL 部署日志服务器 http://www.linuxidc.com/Linux/2013-07/86956.htm

RHEL5.4 部署中央日志服务器之 rsyslog+loganalyzer http://www.linuxidc.com/Linux/2010-12/30801.htm

使用 rsyslog mysql 和 logAnalyzer 的日志服务器 http://www.linuxidc.com/Linux/2012-09/70717.htm

CentOS 6.3 下利用 Rsyslog+LogAnalyzer+MySQL 部署日志服务器 http://www.linuxidc.com/Linux/2013-07/86956.htm

环境要求

CENTOS 6.5 X64

安装过程

安装介质

Rsyslog 采用系统自带 yum 源。

http://loganalyzer.adiscon.com/downloads/

下载 LogAnalyzer

RSYSLOG 服务器配置

用 root 用户登录

调整时间

#hwclock –set –date=”2013/07/04 13:49″

#hwclock -hctosys

 配置本地 YUM 源

#mkdir /mnt/cdrom

#mount /dev/cdrom /mnt/cdrom

#cd /etc/yum.repos.d/

#mkdir bak

#mv *.repo bak/

#vi media.repo

[media]

name=media

baseurl=file:///mnt/cdrom

enabled=1

gpgcheck=0

配置前先关闭 iptables 和 SELINUX，避免安装过程中报错。

# service iptables stop

# setenforce 0

# vi /etc/sysconfig/selinux

—————

SELINUX=disabled

安装 MYSQL PHP APACHE

# yum install mysql-server mysql-devel libcurl-devel net-snmp-devel php php-gd php-xml php-mysql httpd
 
# service mysqld start

# mysql -uroot

mysql> set password=password(‘rootroot’);

安装 rsyslog

# yum install rsyslog rsyslog-mysql -y 

注：rsyslog-mysql 为 rsyslog 将日志传送到 mysql 数据库的一个模块，这里必须安装
 若服务器未安装 RSYSLOG, 需要修改 /etc/sysconfig/rsyslog 文件配置

SYSLOGD_OPTIONS=”-c 2 -r -x -m 180″

KLOGD_OPTIONS=”-x”
各参数作用：
-c 指定运行兼容模式。

-r 指定监听端口。默认 514

-x 在接收客户端消息时，禁用 DNS 查找。需和 - r 参数配合使用。

-m 标记时间戳。单位是分钟，为 0 时，表示禁用该功能。

# cd /usr/share/doc/rsyslog-mysql-5.8.10/ 

# mysql -uroot -prootroot < createDB.sql

注：创建 Syslog 库并在该库中创建了两张空表 

创建 rsyslog 用户在 mysql 下的相关权限 

# mysql -uroot -prootroot 

mysql > grant all privileges on Syslog.* to rsyslog@localhost identified by “123456”;
 
mysql > flush privileges;

配置服务端支持 rsyslog-mysql 模块，并开启 UDP 服务端口获取网内其他 LINUX 系统日志 

# vi /etc/rsyslog.conf

在 #### MODULES #### 下添加这两行

$ModLoad ommysql.so

*.* :ommysql:localhost,Syslog,rsyslog,123456

注:localhost 表示本地主机，Syslog 为数据库名，rsyslog 为数据库的用户，123456 为该用户密码

取消下面三行注释

$ModLoad immark

$ModLoad imudp

$UDPServerRun 514

重启服务：

# service rsyslog restart

(rsyslog client)

# yum install rsyslog -y

配置 rsyslog 客户端发送本地日志到服务端

# vi /etc/rsyslog.conf

末行添加如下内容

*.* @192.168.7.201

注:192.168.7.201 为日志服务器端 IP 地址

重启服务：

# service rsyslog restart

防火墙开放服务端口

#service iptables start

/sbin/iptables -I INPUT -p tcp –dport 514 -j ACCEPT

/sbin/iptables -I INPUT -p udp –dport 514 -j ACCEPT

#/etc/init.d/iptables save

#/etc/init.d/iptables status

LOGANALYZER 配置

用 root 用户登录

配置前先关闭 iptables 和 SELINUX，避免安装过程中报错。

# serviceiptables stop

# setenforce 0

# vi /etc/sysconfig/selinux

—————

SELINUX=disabled

启动 mysqld httpd

安装 loganalyzer

上传安装文件至 /tmp 下

#tar zxvf loganalyzer-3.6.3.tar.gz

复制 loganalyzer 源代码到 apache 的 loganalyzer 目录

#cd /tmp/loganalyzer-3.6.3

#mkdir -p /var/www/html/loganalyzer/

#cp -r src/* /var/www/html/loganalyzer/

#cp -r contrib/* /var/www/html/loganalyzer/

#cd /var/www/html/loganalyzer/

#touch config.php

#chmod 666 config.php

修改 php 环境

为配合 LogAnalyzer 对 php 环境的要求，请修改 /etc/php.ini 中的内容为：

memory_limit = 512M 
 max_execution_time = 120

创建日志目录

# mkdir -p  /var/log/httpd/loganalyzer

更多详情见请继续阅读下一页的精彩内容 ：http://www.linuxidc.com/Linux/2014-06/102867p2.htm

Rsyslog 的详细介绍 ：请点这里
Rsyslog 的下载地址 ：请点这里

配置虚拟机，apache 安全配置
 这部分，请根据 apache 实际情况操作。以默认系统为例，虚拟主机配置文件都放在 /etc/httpd/conf/httpd.conf，加入下面内容。

# loganalyzer

<VirtualHost *:80>

  ServerName logserver

  ServerAdminzhjixi1234@163.com

  DocumentRoot /var/www/html/loganalyzer

  <Directory />

      Options FollowSymLinks

      AllowOverride All

  </Directory>

  <Directory /var/www/html/loganalyzer >

      # pcw No directory listings

      # Options Indexes FollowSymLinks MultiViews

      Options -Indexes FollowSymLinks MultiViews

      AllowOverride All

      Order allow,deny

      allow from all

  </Directory>

  ErrorLog /var/log/httpd/loganalyzer/error.log

  # Possible values include: debug, info, notice, warn, error, crit,

  # alert, emerg.

  LogLevel warn

  CustomLog /var/log/httpd/loganalyzer/access.log combined

  ServerSignature On

</VirtualHost>

重启服务

#service httpd restart

WEB 配置

在浏览器输入网址，进入安装向导

访问 http://serverip:80

1. 提示没有配置文件，点击 here 利用向导生成

文件权限 config.php 不正确，chmod 666 /var/www/html/loganalyzer/config.php

注：点击 NEXT 时若报错，后台执行如下命令后继续

# ln-s /var/lib/mysql/mysql.sock /tmp/mysql.sock

开始写入数据库，NEXT

提示写入成功，NEXT

设置管理员账户，配置完毕 NEXT

设置监控日志保存到 mysql 数据库中，按照如图配置后 NEXT

完成配置,FINISH

进入登陆界面：

进入主界面：

查看 loganalyzer 是否获取系统日志

防火墙开放服务端口

#service iptables start

/sbin/iptables -I INPUT -p tcp –dport 80 -j ACCEPT

安全配置

#cd /var/www/html/loganalyzer

#chmod 644 config.php 

总结：
 感觉 RSYSLOG+LOGANALYZER 搭建相对于 SYSLOG-NG+LOGANALYZER 搭建简单很多，LogAnalyzer 的 BUG 还没试出来。。
 SYSLOGNG 相对于 RSYSLOG 功能强大很多，但那些功能是收费的。
 LOGZILLA 功能也很强大，但那些也是收费的。
 综上所述，打算采用 RSYSLOG+LOGANALYZER 作为日志集中服务器，遗憾的是，这个版本的 loganalyzer 的用户权限控制不是很好。

RHEL5.4 部署中央日志服务器之 rsyslog+loganalyzer http://www.linuxidc.com/Linux/2010-12/30801.htm

使用 rsyslog mysql 和 logAnalyzer 的日志服务器 http://www.linuxidc.com/Linux/2012-09/70717.htm

CentOS 6.3 下利用 Rsyslog+LogAnalyzer+MySQL 部署日志服务器 http://www.linuxidc.com/Linux/2013-07/86956.htm

LogAnalyzer 的详细介绍 ：请点这里
LogAnalyzer 的下载地址 ：请点这里

更多 CentOS 相关信息见 CentOS 专题页面 http://www.linuxidc.com/topicnews.aspx?tid=14

概述

Rsyslog 是比 syslog 功能更强大的日志记录系统, 可以将日志输出到文件, 数据库和其它程序. 可以使用 rsyslog 替换系统自带的 syslog。

LogAnalyzer 是一个 syslog 和其他网络事件数据的 Web 前端工具, 提供简单易用的日志浏览、搜索和基本分析以及图表显示。

本文环境为 CentOS 6.5 平台部署 Rsyslog+LogAnalyzer

相关阅读：

RHEL5.4 部署中央日志服务器之 rsyslog+Log Analyzer http://www.linuxidc.com/Linux/2012-01/51853.htm

CentOS 6.3 下利用 Rsyslog+LogAnalyzer+MySQL 部署日志服务器 http://www.linuxidc.com/Linux/2013-07/86956.htm

RHEL5.4 部署中央日志服务器之 rsyslog+loganalyzer http://www.linuxidc.com/Linux/2010-12/30801.htm

使用 rsyslog mysql 和 logAnalyzer 的日志服务器 http://www.linuxidc.com/Linux/2012-09/70717.htm

CentOS 6.3 下利用 Rsyslog+LogAnalyzer+MySQL 部署日志服务器 http://www.linuxidc.com/Linux/2013-07/86956.htm

环境要求

CENTOS 6.5 X64

安装过程

安装介质

Rsyslog 采用系统自带 yum 源。

http://loganalyzer.adiscon.com/downloads/

下载 LogAnalyzer

RSYSLOG 服务器配置

用 root 用户登录

调整时间

#hwclock –set –date=”2013/07/04 13:49″

#hwclock -hctosys

 配置本地 YUM 源

#mkdir /mnt/cdrom

#mount /dev/cdrom /mnt/cdrom

#cd /etc/yum.repos.d/

#mkdir bak

#mv *.repo bak/

#vi media.repo

[media]

name=media

baseurl=file:///mnt/cdrom

enabled=1

gpgcheck=0

配置前先关闭 iptables 和 SELINUX，避免安装过程中报错。

# service iptables stop

# setenforce 0

# vi /etc/sysconfig/selinux

—————

SELINUX=disabled

安装 MYSQL PHP APACHE

# yum install mysql-server mysql-devel libcurl-devel net-snmp-devel php php-gd php-xml php-mysql httpd
 
# service mysqld start

# mysql -uroot

mysql> set password=password(‘rootroot’);

安装 rsyslog

# yum install rsyslog rsyslog-mysql -y 

注：rsyslog-mysql 为 rsyslog 将日志传送到 mysql 数据库的一个模块，这里必须安装
 若服务器未安装 RSYSLOG, 需要修改 /etc/sysconfig/rsyslog 文件配置

SYSLOGD_OPTIONS=”-c 2 -r -x -m 180″

KLOGD_OPTIONS=”-x”
各参数作用：
-c 指定运行兼容模式。

-r 指定监听端口。默认 514

-x 在接收客户端消息时，禁用 DNS 查找。需和 - r 参数配合使用。

-m 标记时间戳。单位是分钟，为 0 时，表示禁用该功能。

# cd /usr/share/doc/rsyslog-mysql-5.8.10/ 

# mysql -uroot -prootroot < createDB.sql

注：创建 Syslog 库并在该库中创建了两张空表 

创建 rsyslog 用户在 mysql 下的相关权限 

# mysql -uroot -prootroot 

mysql > grant all privileges on Syslog.* to rsyslog@localhost identified by “123456”;
 
mysql > flush privileges;

配置服务端支持 rsyslog-mysql 模块，并开启 UDP 服务端口获取网内其他 LINUX 系统日志 

# vi /etc/rsyslog.conf

在 #### MODULES #### 下添加这两行

$ModLoad ommysql.so

*.* :ommysql:localhost,Syslog,rsyslog,123456

注:localhost 表示本地主机，Syslog 为数据库名，rsyslog 为数据库的用户，123456 为该用户密码

取消下面三行注释

$ModLoad immark

$ModLoad imudp

$UDPServerRun 514

重启服务：

# service rsyslog restart

(rsyslog client)

# yum install rsyslog -y

配置 rsyslog 客户端发送本地日志到服务端

# vi /etc/rsyslog.conf

末行添加如下内容

*.* @192.168.7.201

注:192.168.7.201 为日志服务器端 IP 地址

重启服务：

# service rsyslog restart

防火墙开放服务端口

#service iptables start

/sbin/iptables -I INPUT -p tcp –dport 514 -j ACCEPT

/sbin/iptables -I INPUT -p udp –dport 514 -j ACCEPT

#/etc/init.d/iptables save

#/etc/init.d/iptables status

LOGANALYZER 配置

用 root 用户登录

配置前先关闭 iptables 和 SELINUX，避免安装过程中报错。

# serviceiptables stop

# setenforce 0

# vi /etc/sysconfig/selinux

—————

SELINUX=disabled

启动 mysqld httpd

安装 loganalyzer

上传安装文件至 /tmp 下

#tar zxvf loganalyzer-3.6.3.tar.gz

复制 loganalyzer 源代码到 apache 的 loganalyzer 目录

#cd /tmp/loganalyzer-3.6.3

#mkdir -p /var/www/html/loganalyzer/

#cp -r src/* /var/www/html/loganalyzer/

#cp -r contrib/* /var/www/html/loganalyzer/

#cd /var/www/html/loganalyzer/

#touch config.php

#chmod 666 config.php

修改 php 环境

为配合 LogAnalyzer 对 php 环境的要求，请修改 /etc/php.ini 中的内容为：

memory_limit = 512M 
 max_execution_time = 120

创建日志目录

# mkdir -p  /var/log/httpd/loganalyzer

更多详情见请继续阅读下一页的精彩内容 ：http://www.linuxidc.com/Linux/2014-06/102867p2.htm

Rsyslog 的详细介绍 ：请点这里
Rsyslog 的下载地址 ：请点这里