日誌服務rsyslog簡述

【日誌的概念】

日誌是按照時間序列，將發生的事予以記錄的信息集合。

【日誌的內容】

日誌記錄：事件發生的時間，事件內容

日誌級別：事件的關鍵程度

【設施分類】

auth 認證相關

authpriv 認證授權相關

cron 計劃任務相關

daemon 守護進程相關

kern 內核相關

lpr 打印相關

mail 郵件相關

mark 防火牆標記相關

news 新聞組相關

security        安全相關

syslog 系統相關

user 用戶相關

【級別】

debug 調試

info 信息

notice 通知

warn 警告

err 錯誤

crit 藍色警戒

alert 橙色警戒

emerg,panic 紅色警戒

【日誌信息及配置文件】

日誌保存路徑 /var/log/messages

日誌服務主配置文件 /etc/rsyslog.conf

【日誌信息格式】

時間  主機  進程(PID)  事件

【日誌服務實現的分類】

1.本機日誌服務

2.“服務端-客戶端”的日誌服務

3.“服務端(數據庫)-客戶端”的日誌服務

4.WebGUI的日誌顯示服務

------------------------------------------------------------

下面我們就除本機日誌以外的三種進行簡要配置說明：

============================================================

【配置環境】

服務端IP：192.168.200.1

客戶端IP：192.168.200.2

------------------------------------------------------------

【創建日誌服務器】

1.修改服務端的日誌系統服務器功能

#vim /etc/rsyslog.conf

      #### MODULES ####

      #Provides UDP syslog reception

          $ModLoad imudp

          $UDPServerRun 514

      #Provides TCP syslog reception

          $ModLoad imtcp

          $InputTCPServerRun 514

2.啓動服務端日誌服務器

      #service rsyslog restart

      #ss -tnlp

          514號端口

3.配置客戶端日誌系統客戶端

      #vim /etc/rsyslog.conf

      #### RULES ####

          *.info;mail.none;authpriv.none;cron.none                @192.168.200.1

4.啓動客戶端日誌服務器

      #service rsyslog restart

5.關閉防火牆，確保日誌傳輸不會受阻

      #iptables -F

6.測試日誌服務器

      (1)在客戶端安裝任意軟件

          #yum -y install tree 

      (2)在服務器端，查看日誌文件

          #tail /var/log/messages

============================================================

【使用mysql保存日誌】

1.服務端安裝mysql數據庫

      #yum -y install mysql-server

2.服務端安裝rsyslog-mysql

      #yum -y install rsyslog-mysql

3.服務端編輯日誌服務器的配置文件

      #vim /etc/rsyslog.conf

          #### MODULES ####

          #event's log to MySQL

              $ModLoad ommysql //啓用模塊

          #### RULES ####

              *.info;mail.none;authpriv.none;cron.none :ommysql:127.0.0.1,Syslog,rsysloguser,rsyslogpass //指定連接數據庫的表，用戶，密碼

4.服務端啓動mysql服務器，併爲日誌服務器授權

      #mysql < /usr/share/doc/rsyslog-mysql-5.8.10/createDB.sql

      #mysql

      >SHOW DATABASES;

      >use Syslog;

      >SHOW TABLES;

      >GRANT ALL ON Syslog.* TO [email protected] IDENTIFIED BY 'rsyslogpass';

      >GRANT ALL ON Syslog.* TO rsysloguser@localhost IDENTIFIED BY 'rsyslogpass';

      >FLUSH PRIVILEGES;

5.服務端重啓日誌服務器

      #service rsyslog restart

6.客戶端安裝軟件測試

      #yum -y install bind

7.服務端查看數據庫

      #mysql

      >use Syslog;

      >SELECT * FROM SystemEvents;

============================================================

【通過WebGUI展示日誌信息】

1.安裝啓動LAMP平臺及相關庫

      #yum -y install httpd php php-mysql mysql-server gd php-gd

      #service httpd start

      #service mysqld start

2.下載並loganalyzer-3.6.5.tar.gz包

      #tar xf loganalyzer-3.6.5.tar.gz -C /var/www/html/

      #cd /var/www/html/

      #mv loganalyzer-3.6.5 loganalyzer

      #mkdir log/

      #mv /loganalyzer/src/* log

      #mv /loganalyzer/contrid/* /log

      #cd log/

      #chmod +x configure.sh secure.sh

      #./configure.sh

      #./secure.sh

      #chmod 666 config.php

      #chown -R apache:apache ./*

3.在瀏覽器上測試使用

      http://192.168.200.1/log/install.php

      按頁面指示操作

============================================================