Centos6.7mini搭建rsyslog+loganalyzer（未完待續）

rsyslog是linux自帶的日誌軟件，也可以收集本機和其他設備的syslog日誌；

loganalyzer是一個日誌查看系統，基於lamp平臺。

但是我安裝完後查看時，日誌內容刷新反映很慢，不知到是什麼原因。

環境

rsyslog+loganalyzer服務器:CentOS6.7mini   IP地址：10.1.1.199

設備：防火牆             10.3.2.1/10.1.1.1

    交換機            192.168.2.2/192.168.0.2

服務器 windows2008r2     ip地址：10.1.1.200

注意：我這裏CentOS已經關閉了iptable和selinux。

service iptable stop    ##關閉防火牆

chkconfig iptable off    ##設置開機不啓動防火牆

setenforce 0          ##可以臨時關閉，但重啓之後還是會變成原來的狀態。

     ##修改/etc/sysconfig/selinux文件可以永久地禁用它。

一、安裝lamp

• # yum –y install httpd php* sql*

• # service httpd start

• # chkconfig httpd on

• # service mysqld start

• # chkconfig mysqld on

• # mysqladmin  –uroot  password ‘abc123’

• # cd /var/www/html/

• # cat > index.php <<EOF 

• > <?php    

• > phpinfo()    

• > ?>    

• > EOF

打開瀏覽器訪問http://10.1.1.199/ 查看能否顯示php信息

二、安裝rsyslog 連接MySQL數據庫的模塊

• # yum install rsyslog--mysql –y

rsyslog系統默認安裝，可以用  rpm -qa| grep rsyslog  查看是否安裝。

rsyslog--mysql 爲rsyslog 將日誌傳送到MySQL 數據庫的一個模塊，這裏必須安裝。

 

導入rsyslog-mysql 數據庫文件

• # cd /usr/share/doc/rsyslog-mysql-5.8.10/

• # mysql -uroot -pabc123 < createDB.sql

查看導入是否成功

• # mysql –uroot –pabc123

• mysql> show databases;             ##顯示所有庫

• mysql> use Syslog;                ##使用庫 Syslog

• mysql> show tables;              ##顯示當前庫的表

• mysql> select * from SystemEvents;     ##顯示錶SystemEvents中的所有數據，

          表會顯示結果空，但我頭一次實驗時，提示

       的卻是“庫損壞，請修復”

創建rsyslog 用戶在mysql下的相關權限

• mysql> grant all on Syslog.* to rsyslog@localhost identified by ‘123456‘; 

• mysql> flush privileges;

• mysql> exit;

  
  

三、配置服務端支持rsyslog-mysql 模塊

 

• # vi /etc/rsyslog.conf

在 #### MODULES #### 下添加下面兩行，意思爲將rsyslog連接到數據庫。

• $ModLoad ommysql   

• *.* :ommysql:localhost,Syslog,rsyslog,123456

 

說明：*.*表示導入所有日誌文件(調試完成以後可以根據自己的需求配置）。

    localhost 表示本地主機，Syslog 爲數據庫名，rsyslog 爲數據庫的用戶，123456爲該      用戶密碼。

開啓相關日誌模塊，將各行頭的#刪除即可。

$ModLoad immark     ##immark是模塊名，支持日誌標記

$ModLoad imudp     ##imupd是模塊名，支持udp協議

$UDPServerRun 514   ##允許514端口接收使用UDP和TCP協議轉發過來的日誌

保存退出後重啓rsyslog服務

# /etc/init.d/rsyslog restart

 

四、配置設備（先配置一個做測試用）

將交換機、防火牆上的日誌主機地址填上10.1.1.199，端口爲514.

然後查看mysql中是否有數據

• # mysql –uroot –pabc123

• mysql> show databases;     

• mysql> use Syslog;

• mysql> show tables;   

• mysql> select * from SystemEvents;  ##顯示錶SystemEvents中的所有數據，

                             如果正常，會有數據顯示。

注意：如果能顯示數據，則正常。否則查看一下網絡是否通暢，防火牆和selinux是否關閉等問題。最好查看一次後重啓，重新查看。正常後繼續。

 

五、配置loganalyzer

(未完待續)