需求篇
公司最近因爲審覈需要部署一臺中心日誌服務器,其實爲什麼要部署日誌服務器呢?
1) 主要是爲了方便統一查看公司所有服務器的日誌,並且寫入到數據庫中,進行web顯示方便的查看;
2) 可以起到一定的安全作用,,如果******之後,clear history的時候,我們也是可以查看的;
3) 另外,如果服務器出現故障無法使用的時候,我們也是可以追蹤到日誌信息;
Loganalyzer 是一個syslog和其他網絡事件數據的web前端工具,提供簡單易用的日誌瀏覽,搜索和基本分析以及圖標顯示。採用PHP開發的。
軟件
軟件名稱 | 版本 | 作用 |
Centos | 5.8 | 操作系統 |
Rsyslog/rsyslog-mysql | 3.22.1-7.e15 | 收集日誌 |
apache | httpd-2.2.3-63.el5.centos | Web工具 |
mysql | 5.0.95-5.el5_9 | 用於記錄收集到的日誌 |
Php | 5.1.6-44.el5_10 | Php環境,因loganalyzer |
loganalyzer | loganalyzer-3.6.5 | web前端顯示,分析日誌工具 |
日誌服務器的安裝部署
安裝LAMP環境,如果安裝了LAMP環境,就安裝rsyslog-mysql;
或者
第一步: 首先關閉防火牆
Chkconfig –level 3 iptables off
Chkconfig –level 5 iptables off 重啓之後,永久關閉了防火牆
Service iptables stop 臨時關閉防火牆
第二步,配置/etc/sysconfig/rsyslog
修改成如圖所示,打開接受外來日誌的功能,配置完需要重啓服務service rsyslog restart
不過,系統默認是用syslog來收集日誌,所以,之前要把syslog服務關閉,且要修改/etc/sysconfig/syslog文件如下圖:
Service syslog stop
第三部,配置rsyslog.conf
把圖片中非註釋的信息,全部加入到/etc/rsyslog.conf,其他的信息全部用#註釋掉
註解:$UDPServerRun 514 開啓監聽端口514,從此端口接受客戶端日誌
*.* :ommysql:localhost,Syslog,root,pass
Localhost:當mysql與rsyslog爲同一臺機器的時候,表示本機
Syslog 表示mysql日誌數據庫
Root 表示爲mysql用戶
Pass 表示爲mysql密碼
我的截圖中沒有體現出mysql的密碼,因爲我的密碼爲空的。
不過如果需要修改密碼或者設置密碼:
set password for 'root'@'localhost' =password('rootroot')
Service rsyslog restart
第四步,導入數據庫
注:在此重複一下,因爲我的mysql賬號是沒有密碼的,所以-p沒加,CreateDB.sql文件可自動創建Syslog數據庫;
數據庫名:Syslog
數據表名:SystemEvents
數據庫存放路徑:/var/lib/mysql
第五部,安裝loganalyzer日誌分析工具
注:/var/www/html/syslog爲web服務器主目錄
創建config.php配置文件
# cd /var/www/html/syslog
# touch config.php
# chmod 666 config.php
啓動httpd:
#service httpd start
第六部,日誌客戶端安裝
#vi /etc/rsyslog.conf
*.* @rsyslog-server服務器的IP地址 表示把日誌遠程傳輸到日誌服務器上。
#service rsyslog restart
第七部,Loganalyzer詳細配置
1) 點此創建配置文件
2) 測試校驗文件
3) 測試config文件是否可寫
4) 基本配置
5) 創建數據表
6) 測試數據庫導入結果
7) 設置登錄賬號密碼
8) 添加數據源,此處源類型爲磁盤文件,/var/log/messages,因爲/var/log文件夾下數據均爲只讀,所以添加可讀權限#chmod a+r /var/log/messages。這裏測試是使用了本地文件信息,
如果是數據庫的,可以進入控制檯;添加數據庫源。
9) 完成設置嚮導
10) 新增數據源
11) 添加secure日誌
12) 切換數據源,secure和messages
13) 修改主機名以便區分不同主機的數據;
常見問題:
廣告一下:我的淘寶店鋪:http://109572811.taobao.com
