一、簡介

LogAnalyzer 是一款syslog日志和其他網絡事件數據的Web前端。它提供了對日志的簡單瀏覽、搜索、基本分析和一些圖表報告的功能。數據可以從數據庫或一般的syslog文本文件中獲取，所以LogAnalyzer不需要改變現有的記錄架構?；诋斍暗娜罩緮祿?，它可以處理syslog日志消息，Windows事件日志記錄，支持故障排除，使用戶能夠快速查找日志數據中看出問題的解決方案。

LogAnalyzer 獲取客戶端日志會有兩種保存模式，一種是直接讀取客戶端/var/log/目錄下的日志并保存到服務端該目錄下，一種是讀取后保存到日志服務器數據庫中，推薦使用后者。

LogAnalyzer 采用php開發，所以日志服務器需要php的運行環境，本文采用LAMP。

二、系統環境

Rsyslog Server OS：CentOS 6.5

Rsyslog Server IP：192.168.1.107

Rsyslog 版本：rsyslog-5.8.10-8.el6.i686

LogAnalyzer 版本：LogAnalyzer 3.6.5 (v3-stable)

LAMP 版本：httpd-2.2.15-30.el6.centos.i686 + mysql-5.1.73-3.el6_5.i686 + php-5.3.3-27.el6_5.i686

防火墻已關閉/iptables: Firewall is not running.

SELINUX=disabled

Rsyslog Client OS：RHEL 6.4

Rsyslog Client IP：192.168.1.108

三、安裝并設置LAMP環境

3.1 安裝LAMP環境

# yum -y install httpd mysql* php*

3.2 啟動服務并加入開機啟動

啟動Apache

# /etc/init.d/httpd start

# chkconfig httpd on

啟動數據庫

# /etc/init.d/mysqld start

# chkconfig mysqld on

3.3 設置MySQL root 密碼

# mysqladmin -uroot password 'abc123'

3.4 測試php運行環境

# cd /var/www/html/

[[email protected] html]# cat > index.php <<EOF
> <?php
> phpinfo();
> ?>
> EOF

打開瀏覽器訪問：http://192.168.1.107/index.php

LAMP環境配置完畢。

四、檢查并安裝服務器端軟件

4.1 檢查是否安裝了rsyslog軟件

# rpm -qa|grep rsyslog    //默認系統都安裝了該軟件

4.2 安裝rsyslog 連接MySQL數據庫的模塊

# yum install rsyslog-mysql –y

rsyslog-mysql 為rsyslog 將日志傳送到MySQL 數據庫的一個模塊，這里必須安裝。

五、配置服務器端

5.1 導入rsyslog-mysql 數據庫文件

# cd /usr/share/doc/rsyslog-mysql-5.8.10/

# mysql -uroot -pabc123 < createDB.sql

查看做了哪些操作

# mysql -uroot –p

mysql> show databases;

mysql> show tables;

導入數據庫操作創建了Syslog 庫并在該庫中創建了兩張空表SystemEvents 和SystemEventsProperties。

5.2 創建rsyslog 用戶在mysql下的相關權限

# mysql -uroot –p

mysql> grant all on Syslog.* to [email protected] identified by '123456';

mysql> flush privileges;

mysql> exit

5.3 配置服務端支持rsyslog-mysql 模塊，并開啟UDP服務端口獲取網內其他LINUX系統日志

# vi /etc/rsyslog.conf

$ModLoad ommysql
*.* :ommysql:localhost,Syslog,rsyslog,123456

在 #### MODULES #### 下添加上面兩行。

說明：localhost 表示本地主機，Syslog 為數據庫名，rsyslog 為數據庫的用戶，123456為該用戶密碼。

5.4 開啟相關日志模塊

# vi /etc/rsyslog.conf

$ModLoad immark    #immark是模塊名，支持日志標記

$ModLoad imudp    #imupd是模塊名，支持udp協議

$UDPServerRun 514    #允許514端口接收使用UDP和TCP協議轉發過來的日志

5.5 重啟rsyslog 服務

# /etc/init.d/rsyslog restart

六、配置客戶端

6.1 檢查rsyslog 是否安裝

# rpm -qa|grep rsyslog

6.2 配置rsyslog 客戶端發送本地日志到服務端

# vi /etc/rsyslog.conf

*.* @192.168.1.107

行尾新增上面這行內容，即客戶端將本地日志發送到服務器。

6.3 重啟rsyslog 服務

# /etc/init.d/rsyslog restart

6.4 編輯/etc/bashrc，將客戶端執行的所有命令寫入系統日志/var/log/messages中。

# vi /etc/bashrc

在文件尾部增加一行

export PROMPT_COMMAND='{ msg=$(history 1 | { read x y; echo $y; });logger "[euid=$(whoami)]":$(who am i):[`pwd`]"$msg"; }'

設置其生效

# source /etc/bashrc

客戶端配置完畢。

七、測試Rsyslog Server是否可以正常接受Client端日志

Client 端測試：

Server 端偵測：

說明接收正常，包括你重啟機器的一些Log都可以查看到。

八、安裝LogAnalyzer

# wget http://download.adiscon.com/loganalyzer/loganalyzer-3.6.5.tar.gz

# tar zxf loganalyzer-3.6.5.tar.gz

# cd loganalyzer-3.6.5

# mkdir -p /var/www/html/loganalyzer

# rsync -a src/* /var/www/html/loganalyzer/

九、在瀏覽器安裝向導中安裝LogAnalyzer

9.1 打開瀏覽器訪問：http://192.168.1.107/loganalyzer/

提示沒有配置文件，點擊 here 利用向導生成。

9.2 第一步，測試系統環境

點擊 “Next”，進入第二步。

提示錯誤：缺少config.php 文件，并且權限要設置為666，可以使用contrib目錄下的configure.sh 腳本生成。

查看configure.sh 文件內容

需要在/var/www/html/loganalyzer/ 下創建config.php 文件，并設置其權限為666。

# touch /var/www/html/loganalyzer/config.php

# chmod 666 /var/www/html/loganalyzer/config.php

做完上面的操作之后，執行 ReCheck 操作，config.php 文件可寫，點擊 Next 進入下一步。

9.3 第三步，基礎配置

在User Database Options 中，填入上面設置的參數，然后點擊 Next.

9.4 第四步，創建表

點擊 Next 開始創建表。

9.5 第五步，檢查SQL結果

9.6 第六步，創建管理用戶

9.7 第七步，創建第一個系統日志source.

9.8 第八步，完成

十、測試

LogAnalyzer 首頁

點擊任何一條記錄，查看詳情。

查看Statistics

登錄測試

在Admin Center 里可以進行一些系統設置。

Rsyslog + LogAnalyzer 日志服務器部署完畢。