centos 7.0 依赖Rsyslog+LogAnalyzer部署日志服务器

Posted

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了centos 7.0 依赖Rsyslog+LogAnalyzer部署日志服务器相关的知识,希望对你有一定的参考价值。

Loganalyzer简介:

      LogAnalyzer 是一款syslog日志和其他网络事件数据的Web前端。它提供了对日志的简单浏览、搜索、基本分析和一些图表报告的功能。数据可以从数据库或一般的syslog文本文件中获取,所以LogAnalyzer不需要改变现有的记录架构。基于当前的日志数据,它可以处理syslog日志消息,Windows事件日志记录,支持故障排除,使用户能够快速查找日志数据中看出问题的解决方案。

      LogAnalyzer 获取客户端日志会有两种保存模式,一种是直接读取客户端/var/log/目录下的日志并保存到服务端该目录下,一种是读取后保存到日志服务器数据库中,推荐使用后者。

     LogAnalyzer 采用php开发,依赖LAMP安装环境。


安装环境:

     系统: centos 7.0 最小化安装

     软件:rsyslog 、loganalyzer 、 LAMP环境

     依赖包:rsyslog-mysql


配置rsyslog 日志服务器端


  1. 安装、调配LAMP环境

    请参考前文  Centos 7.0 编译安装LAMP(Linxu+apache+mysql+php)之源码安装 

  2. 配置日志服务器端

    a.检查并安装服务器端软件

    [[email protected] ~]# rpm -qa |grep rsyslog   #检查服务器端是否有安装rsyslog 服务 ,默认centos 7.0 均已安装

    rsyslog-7.4.7-16.el7.x86_64           

    [[email protected] ~]# yum install -y  rsyslog rsyslog-mysql  #更新rsyslog 、安装rsyslog-msyql 模块,rsyslog-mysql 为rsyslog 将日志传送到MySQL 数据库的一个模块,必须安装。

    b.导入rsyslog-mysql 文件到mysql数据库

    [[email protected] src]# cd /usr/share/doc/rsyslog-7.4.7/    #进入rsyslog安装目录

    [[email protected] rsyslog-7.4.7]# mysql -u root -p < mysql-createDB.sql   #导入mysql-createDB.sql 文件

    Enter password: 

    [[email protected] libmcrypt-2.5.8]mysql -u root -p       #登录mysql 数据库 

    Enter password: 

    mysql> use Syslog;                          #切换到Syslog数据库  

    mysql> show tables;     #显示Syslog 数据库列表   ,例:下图证明mysql-createDB.sql 文件导入成功 ,显示2张空表

    +------------------------+

    | Tables_in_Syslog       |

    +------------------------+

    | SystemEvents           |

    | SystemEventsProperties |

    +------------------------+

    2 rows in set (0.01 sec)

    mysql> grant  all on Syslong.*  to [email protected]‘localhost‘  identified by ‘123abc.com‘;       #创建Syslog数据库rsyslog用户并授于管理权限 

    mysql> flush privileges;               

    c. 配置服务端支持rsyslog-mysql 模块,并开启tcp、udp服务端口获取网内其他LINUX系统日志

    [[email protected] src]# vi /etc/rsyslog.conf

    在 #### MODULES #### 下添加下面两行。

    $ModLoad ommysql 

    *.* :ommysql:localhost,Syslog,rsyslog,*****  

    #说明:localhost 表示本地主机,Syslog 为数据库名,rsyslog 为数据库的用户,*****为该用户密码。

    $ModLoad immark  # provides --MARK-- message capability   #开启支持日志标记,删除改行首字符# 

    # Provides UDP syslog reception

    $ModLoad imudp                                                            #开启支持UDP协议

    $UDPServerRun 514                                                          #允许514端口接受udp协议转发日志

    # Provides TCP syslog reception

    $ModLoad imtcp                                                             #开启支持TCP协议

    $InputTCPServerRun 514                                                    #允许514端口接受tcp协议转发日志

    d. 重启rsyslog 服务

    [[email protected] ~]# systemctl restart rsyslog.service  


linux服务器客户端、华为交换机日志配置


  1. 检查linux客户端是否安装rsyslog 组件

    [[email protected] ~]# rpm -qa |grep rsyslog   #检查客户端是否有安装rsyslog 服务 ,默认centos 7.0 均已安装

    rsyslog-7.4.7-16.el7.x86_64      

  2.  配置rsyslog客户端发送本地日志到服务端   

     [[email protected] ~]# Vi /etc/rsyslog.conf 

    *.* @172.16.10.10:514              #添加改行内容,其中  @代表了udp 协议,@@ 代表了tcp协议  ,ip地址为日志服务器ip ,514 为接收日志端口号

    c重启rsyslog 服务

    [[email protected] ~]# systemctl restart rsyslog.service

    d. 编辑/etc/bashrc,将客户端执行的所有命令写入系统日志/var/log/messages中

    [[email protected] ~]#vi /etc/bashrc

    export PROMPT_COMMAND=‘{ msg=$(history 1 | { read x y; echo $y; });logger "[euid=$(whoami)]":$(who am i):[`pwd`]"$msg"; }‘               #在结尾处加上此内容,输出日志格式

    [[email protected] ~]source /etc/bashrc    #使配置生效

  3. 华为系列交换机、防火墙客户端日志配置

    [1-HX]info-center channel 2 name loghost1   #定义channel信道 2级别

    [1-HX]info-center loghost source Vlanif1     #定义转发日志出口为vlanif1

    [1-HX]info-center loghost 172.16.10.10 channel 2  #定义日志服务器ip地址

  4. 开启防火墙514端口,测试rsyslog_server可否正常接收rsyslog_client的日志

    [[email protected] ~]#vi /etc/sysconfig/iptables  

    -A INPUT -p tcp -m state --state NEW -m tcp --dport 514 -j ACCEPT  #接收tcp协议 日志

    -A INPUT -p udp -m state --state NEW -m udp --dport 514 -j ACCEPT  #开通514端口,接收udp协议 日志

    [[email protected] ~]systemctl  restart iptables.service  #重启防火墙服务

    [[email protected] ~]tailf  /var/log/messages    #查看日志,证明日志服务器可正常接收客户端发来的日志信息

    Jul 12 12:47:41 zabbix root: [euid=root]:root pts/0 2017-07-12 12:21 (172.16.10.1):[/root]ls

    Jul 12 12:47:42 zabbix root: [euid=root]:root pts/0 2017-07-12 12:21 (172.16.10.1):[/root]ls   

安装LogAnalyzer


  1. 上传loganalyzer-4.1.3.tar 到目录 /usr/local/src ,解压 。复制 

    [[email protected] src]# tar -zxf loganalyzer-4.1.3.tar.gz

    [[email protected] src]# mkdir /usr/local/apache/htdocs/loganalyzer   #创建loganalyzer 目录

    [[email protected] src]# cd loganalyzer-4.1.3

    [[email protected] loganalyzer-4.1.3]# cp -a ./src/* /usr/local/apache/htdocs/loganalyzer/ #复制src文件夹到loganalyzer 目录

  2.  在浏览器 登录http://localhost/loganalyzer  进行安装配置

    具体配置请参考官方文档:https://tecadmin.net/setup-loganalyzer-with-rsyslog-and-mysql/

    在step 2安装过程中 ,提示file‘./config.php‘  File does NOT exist! 解决方法:创建./config.php文件并调配权限

    [[email protected] loganalyzer-4.1.3]# cd /usr/local/apache/htdocs/loganalyzer/

    [[email protected] loganalyzer]# touch config.php

    [[email protected] loganalyzer]# chown root:root config.php 

    [[email protected] loganalyzer]# chmod 777 config.php 

    在step 3、step 7步骤需注意各name 名称 ,注意字母大小写:

    Database name : Syslog 

    Database user : rsyslog 

    Database password:  123abc.com

    Database tablename :SystemEvents

  3. 点击finish 完成配置 ,输入配置的管理员账户和密码 ,进入web 查看页面 。


至此 ,Rsyslog+LogAnalyzer日志服务器部署并安装完成 ,可进一步根据需要进行loganalyzer 的配置。



本文出自 “ITCol_XiaoYu” 博客,请务必保留此出处http://itcolxiaoyu.blog.51cto.com/11439802/1946621

以上是关于centos 7.0 依赖Rsyslog+LogAnalyzer部署日志服务器的主要内容,如果未能解决你的问题,请参考以下文章

rsyslog & kafka 流量日志

CentOS6.5配置rsyslog

centos7设置rsyslog日志服务集中服务器

centos7+rsyslog+loganalyzer+mysql 搭建rsyslog日志服务器

linux之CentOS-7.0环境搭建

centos7重启rsyslog服务|centos7重启syslog服务