rsyslog+loganalyzer简单日志分析

Posted

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了rsyslog+loganalyzer简单日志分析相关的知识,希望对你有一定的参考价值。

rsyslog:是一个快速处理收集系统日志的程序,提供了高性能、安全功能和模块化设计。rsyslog 是syslog 的升级版,它将多种来源输入输出转换结果到目的地

loganalyzer:是一款syslog日志和其他网络事件数据的Web前端,提供对日志的简单浏览、搜索、基本分析和一些图表报告的功能


准备环境

server:192.168.242.139        (接收日志的服务器)

client:192.168.242.140         (发送日志的客户端,将产生的用户登陆认证日志发送给客户端)


关闭防火墙以及selinux(两台都配置)

systemctl stop firewalld(关闭防火墙)
systemctl disable firewalld(禁用自启动)
vim /etc/sysconfig/selinux
SELINUX=disabled(更改状态)


client配置

修改client的rsyslog配置文件,将登陆认证日志发向server

vim /etc/rsyslog.conf
#### RULES ####
authpriv.*                @192.168.242.139    (在规则配置项authpriv.*下添加,意为指向server)

重启rsyslog

systemctl restart rsyslog


server配置

启用udp514端口(分别去掉头部注释)

vim /etc/rsyslog.conf
$ModLoad imudp
$UDPServerRun 514

重启rsyslog,观察显示514即可

ss -uapn | grep --color 514


技术分享图片 


转发成功“        这里仅测试转发登陆日志,更多使用方法请登陆官网进行查看http://www.rsyslog.com/


安装loganalyzer

先安装rsyslog-mysql模块

yum -y install rsyslog-mysql

查看自带的生成rsyslog需要库表的工具

rpm -ql rsyslog-mysql
/usr/lib64/rsyslog/ommysql.so        (生成的模块)
/usr/share/doc/rsyslog-8.24.0/mysql-createDB.sql        (需要导入的数据库)

导入rsyslog所需的库

mysql -uroot -p123 <  /usr/share/doc/rsyslog-8.24.0/mysql-createDB.sql

在mysql中创建rsyslog所需要的用户

grant all on Syslog.* to 'systest'@'127.0.0.1' identified by '123';

启动rsyslog中的udp514端口及ommysql.so模块

vim /etc/rsyslog.conf
$ModLoad imuxsock    (去掉注释)
$ModLoad imklog     (去掉注释)
$ModLoad ommysql    (手动添加)
$ModLoad imudp        (去掉注释)
$UDPServerRun 514        (去掉注释)

定义将登陆信息写入数据库

vim /etc/rsyslog.conf
#### RULES ####
authpriv.*          :ommysql:127.0.0.1,Syslog,systest,123        (规则中写入,对应为模块,数据库地址,数据库,用户,密码)

需要LAMP平台支持,这里直接使用yum安装

yum -y install httpd mysql-server mysql php php-mysql php-gd
cd /var/www/html
mkdir tool
pwd
/var/www/html/tool

下载loganalyzer

wget http://download.adiscon.com/loganalyzer/loganalyzer-3.6.5.tar.gz 
tar -xf loganalyzer-3.6.5.tar.gz
cp -r loganalyzer-3.6.5/src/* /var/www/html/tool
cp loganalyzer-3.6.5/contrib/* /var/www/html/tool
cd /var/www/html/tool/
chmod +x configure.sh secure.sh
./configure.sh
chown -R apache.apache ./*


浏览器访问

http://IP/tool/install.php

技术分享图片

技术分享图片

技术分享图片

技术分享图片

技术分享图片

技术分享图片

技术分享图片

到此即可查看到client的登陆日志认证信息,还可以转发更多日志,请官网查看


以上是关于rsyslog+loganalyzer简单日志分析的主要内容,如果未能解决你的问题,请参考以下文章

it-linux--日志分析-- rsyslog+loganalyzer尝试

部署Rsyslog+LogAnalyzer+MySQL日志服务器

centos 7.0 依赖Rsyslog+LogAnalyzer部署日志服务器

rsyslog+LogAnalyzer+MySQL日志服务器

CentOS 6.7下利用Rsyslog+LogAnalyzer+MySQL部署日志服务器

CentOS 6.5下利用Rsyslog+LogAnalyzer+MySQL部署日志服务器