syslog日誌管理工具的安裝

LogAnalyzer 是一款syslog日誌和其他網絡事件數據的Web前端。它提供了對日誌的簡單瀏覽、搜索、基本分析和一些圖表報告的功能。數據可以從數據庫或一般的syslog文本文件中獲取，所以LogAnalyzer不需要改變現有的記錄架構。基於當前的日誌數據，它可以處理syslog日誌消息，Windows事件日誌記錄，支持故障排除，使用戶能夠快速查找日誌數據中看出問題的解決方案。
LogAnalyzer 獲取客戶端日誌會有兩種保存模式，一種是直接讀取客戶端/var/log/目錄下的日誌並保存到服務端該目錄下，一種是讀取後保存到日誌服務器數據庫中，推薦使用後者。
LogAnalyzer 採用php開發，所以日誌服務器需要php的運行環境，本文采用LAMP

系統環境
Server IP 192.168.10.130
Rsyslog版本 rsyslog-5.8.10-8.el6.i686
logAnalyzer版本LogAnalyzer3.6.5
LAMP
Selinux=disabled
Rsyslog Client IP：192.168.0.128
LAMP yum源安裝

yum -y install httpd mysql php

啓動Apache

/etc/init.d/httpd start

chkconfig httpd on

啓動數據庫

/etc/init.d/mysqld start

chkconfig mysqld on

3.3 設置MySQL root 密碼

mysqladmin -uroot password 'abc123'

測試php運行環境

cd /var/www/html/

[root@TS html]# cat > index.php <<EOF 

<?php 
phpinfo(); 
?> 
EOF

檢查是否安裝rsyslog軟件
[root@localhost html]# rpm -qa | grep rsyslog
安裝rsyslog連接MySQL數據庫的模板
[root@localhost html]# yum -y install rsyslog-mysql
配置服務器端
[root@localhost html]# cd /usr/share/doc/rsyslog-mysql-5.8.10/
導入數據庫
[root@localhost rsyslog-mysql-5.8.10]# mysql -uroot -p < createDB.sql
Enter password:
查看做的哪些操作
mysql> show databases;
+--------------------+
| Database |
+--------------------+
| information_schema |
| Syslog //新添加的數據庫 |
| mysql |
| test |
| test2 |
+--------------------+
導入數據庫操作創建了Syslog 庫並在該庫中創建了兩張空表SystemEvents 和SystemEventsProperties。
創建rsyslog用戶在MySQL下的相關權限
mysql> grant all on Syslog.* to rsyslog@localhost identified by '123456';
Query OK, 0 rows affected (0.00 sec)
mysql> flush privileges;
配置服務端支持rsyslog-mysql模板，並開啓UDP服務端口獲取網內其他Linux系統日誌

vi /etc/rsyslog.conf

$ModLoad ommysql 
. :ommysql:localhost,Syslog,rsyslog,123456
在 #### MODULES #### 下添加上面兩行。
說明：localhost 表示本地主機，Syslog 爲數據庫名，rsyslog 爲數據庫的用戶，123456爲該用戶密碼。

開啓相關日誌模板

vi /etc/rsyslog.conf

$ModLoad immark    #immark是模塊名，支持日誌標記
$ModLoad imudp    #imupd是模塊名，支持udp協議
$UDPServerRun 514    #允許514端口接收使用UDP和TCP協議轉發過來的日誌
重啓rsyslog
[root@localhost ~]# service rsyslog restart
關閉系統日誌記錄器：[確定]
啓動系統日誌記錄器：[確定]
配置客戶端
檢查是否安裝rsyslog
修改配置文件
[root@localhost ~]# vi /etc/rsyslog.conf
最後添加
.@192.168.10.130 #將客戶端日誌發送到服務端192.168.10.130
重啓rsyslog
[root@localhost ~]# /etc/init.d/rsyslog restart
關閉系統日誌記錄器：[確定]
啓動系統日誌記錄器：[確定]
編輯/etc/bashrc將客戶端執行的所有命令寫入系統日誌/var/log/messages

vi /etc/bashrc

在文件尾部增加一行
export PROMPT_COMMAND='{ msg=$(history 1 | { read x y; echo $y; });logger "[euid=$(whoami)]":$(who am i):[pwd]"$msg"; }'
設置其生效
#source /etc/bashrc
客戶端配置完畢
測試Rsyslog server 是否可以正常接受client端日誌

server端幀測

安裝logAnalyzer
[root@localhost log]# wget http://download.adiscon.com/loganalyzer/loganalyzer-3.6.5.tar.gz
[root@localhost tmp]# tar zxf loganalyzer-3.6.5.tar.gz
[root@localhost tmp]# cd loganalyzer-3.6.5
[root@localhost loganalyzer-3.6.5]# mkdir -p /var/www/html/loganalyzer
[root@localhost loganalyzer-3.6.5]# rsync -a src/* /var/www/html/loganalyzer/
在瀏覽器安裝嚮導中安裝loganalyzer
http://192.168.10130/loganalyzer

解決方法
進到解壓後目錄的contrib目錄，將configure.sh腳本拷貝到軟件安裝目錄/var/www/html/loganalyzer
並對/var/www/html/loganalyzer/configu 分配可執行的權限
執行[root@localhost loganalyzer]# ./configure.sh
再在瀏覽器重新檢測一下
執行