Rsyslog日志服务安装配置

共计 9911 个字符，预计需要花费 25 分钟才能阅读完成。

rsyslog 服务端配置  CentOS6.4 x64 系统  系统自带 rsyslog 5.8 版本

rsyslog 是一个 syslogd 的多线程增强版。

现在 Fedora 和 Ubuntu, rhel6 默认的日志系统都是 rsyslog 了

rsyslog 负责写入日志, logrotate 负责备份和删除旧日志, 以及更新日志文件

RHEL5.4 部署中央日志服务器之 rsyslog+Log Analyzer http://www.linuxidc.com/Linux/2012-01/51853.htm

CentOS 6.3 下利用 Rsyslog+LogAnalyzer+MySQL 部署日志服务器 http://www.linuxidc.com/Linux/2013-07/86956.htm

RHEL5.4 部署中央日志服务器之 rsyslog+loganalyzer http://www.linuxidc.com/Linux/2010-12/30801.htm

使用 rsyslog mysql 和 logAnalyzer 的日志服务器 http://www.linuxidc.com/Linux/2012-09/70717.htm

CentOS 6.3 下利用 Rsyslog+LogAnalyzer+MySQL 部署日志服务器 http://www.linuxidc.com/Linux/2013-07/86956.htm

###################################

# 首先部署好 lamp 环境，详情见 lamp 安装文档

# 更新系统时间  rsyslog-mysql 是 rsyslog 把日志传送到 mysql 的一个模块

yum install ntp  rsyslog-mysql -y

ntpdate cn.pool.ntp.org

# 编辑配置文件

vim /etc/rsyslog.conf  取消下列三行的注释，并添加加载 mysql 模块信息。

$ModLoad immark  # provides –MARK– message capability

$ModLoad imuxsock # provides support for local system logging (e.g. via logger command)

$ModLoad imklog  # kernel logging (formerly provided by rklogd)

##### 下面这 2 行是要添加的内容 #####    123456 是 root 用户登录 mysql 的密码

# 加载 mysql 模块

$ModLoad ommysql

# 定义插入的数据内容_(insertpl) 模板名称

$template insertpl,”insert into SystemEvents (Message, Facility, FromHost, FromIP, Priority, DeviceReportedTime, ReceivedAt, InfoUnitID, SysLogTag) values (‘%msg%’, %syslog

facility%, ‘%HOSTNAME%’, ‘%fromhost-ip%’, %syslogpriority%, ‘%timereported:::date-mysql%’, ‘%timegenerated:::date-mysql%’, %iut%, ‘%syslogtag%’)”,SQL

# 如果日志内容包含下列括号中的内容，则将日志写入到 /var/log/11.log 并退出，不继续后续操作

if $msg contains  ‘(root) CMD (/usr/lib64/sa/sa1 1 1)’ then /var/log/11.log

&~

# 将所有日志写入到数据库_以下 *.* 表示所有类型的日志，mysql 模块 - 数据库服务器 - 数据库 - 数据库用户名 - 密码 - 模板

*.*    :ommysql:localhost,Syslog,root,123456;insertpl

# 去掉下面两行的注释，接受客户端的日志，开启 514 端口

$ModLoad imudp.so  # provides UDP syslog reception

$UDPServerRun 514 # start a UDP syslog server at standard port 514

# 添加 mysql root 密码

 mysqladmin -u root password 123456

# 导入数据库

cd /usr/share/doc/rsyslog-mysql-5.8.10/

mysql -uroot -p <createDB.sql

# 检查数据库是否有相应数据

mysql -uroot -p

USE Syslog;

select * from SystemEvents;

# 如果有数据，则表示成功

# 创建 rsyslog 用户访问 Syslog

grant all privileges on Syslog.* to rsyslog@localhost identified by “123456”;

flush privileges;

exit

# 重启 rsyslog 服务

service rsyslog restart

安装 loganalyzer

##LogAnalyzer 是一个 syslog 和其他网络事件数据的 Web 前端工具，提供简单易用的日志浏览、搜索和基本分析以及图表显示。

下载源码包：

wget http://download.adiscon.com/loganalyzer/loganalyzer-3.6.5.tar.gz

tar zxvf loganalyzer-3.6.5.tar.gz

mkdir /var/www/html/syslog

cd /tmp/loganalyzer-3.6.5/src

cp -r * /var/www/html/syslog

cd /tmp/loganalyzer-3.6.5/contrib

cp * /var/www/html/syslog

cd /var/www/html/syslog

chmod +x *.sh

sh configure.sh && sh secure.sh

chmod 666 config.php

chown -R daemon.daemon *

登录 web 安装,http://ip 地址 /syslog    或者  http://ip 地址 /syslog/src

1：选择 Click here

2：Enable User Database 选择 Yes，如果选择 no 将没有管理页面

  点击 NEXT 时若报错，后台执行如下命令后继续

  ln -s /var/lib/mysql/mysql.sock /tmp/mysql.sock

3：填写如下信息：Database Host：localhost

                Database Port：3306

                Database Name：Syslog

                prefix：logcon_

                Database User：root

                Database Password：123456

                Require user to be logged in 选择 yes

4：选择 next  设置登录用户名和密码

    root  123456         

5：next          Source type：MYSQL Native

                Select View：Syslog Fields

                Database Name：Syslog

                Database Tablename：SystemEvents

                Database User：root

                Database Password：123456

 next

 finish  ############ 完成安装配置

################  Linux 客户端部署

1. vi /etc/rsyslog.conf

2. 在最后面添加：*.* @192.168.10.250

3. 保存退出，重启 syslog 服务

4. service syslog restart 

5. 此时在服务器上就可以看到相关服务器的日志信息了                         

# 修改 LogAnalyzer 设定

### 删除 LogAnalyzer 初始化安装文件

### 删除安装档 install.php，或者设置该文件权限为只读

rm -rf install.php

### 关闭分析页面中赞助信息

vi /var/www/html/syslog/include/functions_common.php

### 将下行改为 false

$content[‘SHOW_DONATEBUTTON’] = false; // Default = true!

### 更换分析页面首页图标 Logo

1.  首先将准备好的 logo 放至 images/main 目录下。

2.  编辑 include/functions_common.php

3.  修改如下路径：

    $content[‘EXTRA_PHPLOGCON_LOGO’] = $content[‘BASEPATH’] .

    “images/main/Header-Logo.png”;

更多详情见请继续阅读下一页的精彩内容 ：http://www.linuxidc.com/Linux/2014-06/103364p2.htm

###############  windows 客户端部署

下载 evtsys 64 位

http://eventlog-to-syslog.googlecode.com/files/Evtsys_4.4.3_64-Bit.zip

打开文件双击运行 evtsys.exe，生成 cfg 配置文件

把所有文件复制 C:\Windows\System32 下

# 开启 evtsys 服务

运行 - cmd

cd c:\windows\system32

evtsys -i -s 10 -h 192.168.6.185 -p 514

net start evtsys

# 查看服务器端验证效果

192.168.6.185/syslog

#rsyslog 接收 windows 日志出现乱码

登录 web 界面，点击 admin center 选择 Preferences

Default character encoding  改为 UTF-8 即可

 #######################################################

                  iptables 策略

修改 iptables，增加 udp541 端口出入，防止被人恶意破坏

服务端需添加 rsyslog UDP 514 端口以及 loganalyzer TCP 80 端口通过规则

iptables -A INPUT -p udp –dport 514 -j ACCEPT

iptables -P OUTPUT ACCEPT

iptables -A INPUT -p TCP –dport 80 -j ACCEPT

客户端只需添加 OUTPUT 通过规则

iptables -P OUTPUT ACCEPT

rsyslog server 端为被动获取数据，client 端为主动发送数据

#######################################################

                  logrotate 管理日志配置

logrotate 程序是一个日志文件管理工具。用来把旧的日志文件更名或删除，并创建新的日志文件，我们把它叫做“转储”。

CentOS 下 logrotate 配置文件路径：/etc/logrotate.conf

/etc/logrotate.d/ 下面放置自定义的一些配置文件

下面是 RedHat 的 logrotate.conf 的具体内容

# see “man logrotate” for details

# rotate log files weekly

weekly

# 每周 rotate 一次

# keep 4 weeks worth of backlogs

rotate 4

# 保留前四周的 log 备份

# create new (empty) log files after rotating old ones

create

# use date as a suffix of the rotated file

dateext

使用轮换的日期为后缀

# 建立新的 log 文件

# uncomment this if you want your log files compressed

#compress

# 是否压缩 log 文件，需要压缩就去掉“#”符

# RPM packages drop log rotation information into this directory

include /etc/logrotate.d

# 将 /etc/logrotate.d 目录下的文件读来执行 rotate

# no packages own wtmp — we’ll rotate them here

/var/log/messages {

monthly

create 0664 root root

rotate 1

}

# 上面一段时单对 messages 文件的 rotate 的配置

# 每月 rotate 一次

# 建新的 log 文件，权限设定为 0664，文件拥有者 root，群组为 root

# 保留前一个月的 log 备份

# 也可以根据自己需求参照上面的配置来需要 rotate 的日志。

参数 功能

compress 通过 gzip 压缩转储以后的日志

nocompress 不需要压缩时，用这个参数

copytruncate 用于还在打开中的日志文件，把当前日志备份并截断

nocopytruncate 备份日志文件但是不截断

create mode owner group 转储文件，使用指定的文件模式创建新的日志文件

nocreate 不建立新的日志文件

delaycompress 和 compress 一起使用时，转储的日志文件到下一次转储时才压缩

nodelaycompress 覆盖 delaycompress 选项，转储同时压缩。

errors address 专储时的错误信息发送到指定的 Email 地址

ifempty 即使是空文件也转储，这个是 logrotate 的缺省选项。

notifempty 如果是空文件的话，不转储

mail address 把转储的日志文件发送到指定的 E -mail 地址

nomail 转储时不发送日志文件

olddir directory 转储后的日志文件放入指定的目录，必须和当前日志文件在同一个文件系统

noolddir 转储后的日志文件和当前日志文件放在同一个目录下

prerotate/endscript 在转储以前需要执行的命令可以放入这个对，这两个关键字必须单独成行

postrotate/endscript 在转储以后需要执行的命令可以放入这个对，这两个关键字必须单独成行

daily 指定转储周期为每天

weekly 指定转储周期为每周

monthly 指定转储周期为每月

rotate count 指定日志文件删除之前转储的次数，0 指没有备份，5 指保留 5 个备份

tabootext [+] list 让 logrotate 不转储指定扩展名的文件，缺省的扩展名是：.rpm-orig, .rpmsave, v, 和 ~

size size 当日志文件到达指定的大小时才转储，Size 可以指定 bytes (缺省) 以及 KB (sizek) 或者 MB (sizem).

logrotate 命令

logrotate [-vf] logfile

-v 显示模式

-f 强制执行 rotate

范例：

logrotate -vf /etc/logrotate.conf

Rsyslog 的详细介绍 ：请点这里
Rsyslog 的下载地址 ：请点这里

rsyslog 服务端配置  CentOS6.4 x64 系统  系统自带 rsyslog 5.8 版本

rsyslog 是一个 syslogd 的多线程增强版。

现在 Fedora 和 Ubuntu, rhel6 默认的日志系统都是 rsyslog 了

rsyslog 负责写入日志, logrotate 负责备份和删除旧日志, 以及更新日志文件

RHEL5.4 部署中央日志服务器之 rsyslog+Log Analyzer http://www.linuxidc.com/Linux/2012-01/51853.htm

CentOS 6.3 下利用 Rsyslog+LogAnalyzer+MySQL 部署日志服务器 http://www.linuxidc.com/Linux/2013-07/86956.htm

RHEL5.4 部署中央日志服务器之 rsyslog+loganalyzer http://www.linuxidc.com/Linux/2010-12/30801.htm

使用 rsyslog mysql 和 logAnalyzer 的日志服务器 http://www.linuxidc.com/Linux/2012-09/70717.htm

CentOS 6.3 下利用 Rsyslog+LogAnalyzer+MySQL 部署日志服务器 http://www.linuxidc.com/Linux/2013-07/86956.htm

###################################

# 首先部署好 lamp 环境，详情见 lamp 安装文档

# 更新系统时间  rsyslog-mysql 是 rsyslog 把日志传送到 mysql 的一个模块

yum install ntp  rsyslog-mysql -y

ntpdate cn.pool.ntp.org

# 编辑配置文件

vim /etc/rsyslog.conf  取消下列三行的注释，并添加加载 mysql 模块信息。

$ModLoad immark  # provides –MARK– message capability

$ModLoad imuxsock # provides support for local system logging (e.g. via logger command)

$ModLoad imklog  # kernel logging (formerly provided by rklogd)

##### 下面这 2 行是要添加的内容 #####    123456 是 root 用户登录 mysql 的密码

# 加载 mysql 模块

$ModLoad ommysql

# 定义插入的数据内容_(insertpl) 模板名称

$template insertpl,”insert into SystemEvents (Message, Facility, FromHost, FromIP, Priority, DeviceReportedTime, ReceivedAt, InfoUnitID, SysLogTag) values (‘%msg%’, %syslog

facility%, ‘%HOSTNAME%’, ‘%fromhost-ip%’, %syslogpriority%, ‘%timereported:::date-mysql%’, ‘%timegenerated:::date-mysql%’, %iut%, ‘%syslogtag%’)”,SQL

# 如果日志内容包含下列括号中的内容，则将日志写入到 /var/log/11.log 并退出，不继续后续操作

if $msg contains  ‘(root) CMD (/usr/lib64/sa/sa1 1 1)’ then /var/log/11.log

&~

# 将所有日志写入到数据库_以下 *.* 表示所有类型的日志，mysql 模块 - 数据库服务器 - 数据库 - 数据库用户名 - 密码 - 模板

*.*    :ommysql:localhost,Syslog,root,123456;insertpl

# 去掉下面两行的注释，接受客户端的日志，开启 514 端口

$ModLoad imudp.so  # provides UDP syslog reception

$UDPServerRun 514 # start a UDP syslog server at standard port 514

# 添加 mysql root 密码

 mysqladmin -u root password 123456

# 导入数据库

cd /usr/share/doc/rsyslog-mysql-5.8.10/

mysql -uroot -p <createDB.sql

# 检查数据库是否有相应数据

mysql -uroot -p

USE Syslog;

select * from SystemEvents;

# 如果有数据，则表示成功

# 创建 rsyslog 用户访问 Syslog

grant all privileges on Syslog.* to rsyslog@localhost identified by “123456”;

flush privileges;

exit

# 重启 rsyslog 服务

service rsyslog restart

安装 loganalyzer

##LogAnalyzer 是一个 syslog 和其他网络事件数据的 Web 前端工具，提供简单易用的日志浏览、搜索和基本分析以及图表显示。

下载源码包：

wget http://download.adiscon.com/loganalyzer/loganalyzer-3.6.5.tar.gz

tar zxvf loganalyzer-3.6.5.tar.gz

mkdir /var/www/html/syslog

cd /tmp/loganalyzer-3.6.5/src

cp -r * /var/www/html/syslog

cd /tmp/loganalyzer-3.6.5/contrib

cp * /var/www/html/syslog

cd /var/www/html/syslog

chmod +x *.sh

sh configure.sh && sh secure.sh

chmod 666 config.php

chown -R daemon.daemon *

登录 web 安装,http://ip 地址 /syslog    或者  http://ip 地址 /syslog/src

1：选择 Click here

2：Enable User Database 选择 Yes，如果选择 no 将没有管理页面

  点击 NEXT 时若报错，后台执行如下命令后继续

  ln -s /var/lib/mysql/mysql.sock /tmp/mysql.sock

3：填写如下信息：Database Host：localhost

                Database Port：3306

                Database Name：Syslog

                prefix：logcon_

                Database User：root

                Database Password：123456

                Require user to be logged in 选择 yes

4：选择 next  设置登录用户名和密码

    root  123456         

5：next          Source type：MYSQL Native

                Select View：Syslog Fields

                Database Name：Syslog

                Database Tablename：SystemEvents

                Database User：root

                Database Password：123456

 next

 finish  ############ 完成安装配置

################  Linux 客户端部署

1. vi /etc/rsyslog.conf

2. 在最后面添加：*.* @192.168.10.250

3. 保存退出，重启 syslog 服务

4. service syslog restart 

5. 此时在服务器上就可以看到相关服务器的日志信息了                         

# 修改 LogAnalyzer 设定

### 删除 LogAnalyzer 初始化安装文件

### 删除安装档 install.php，或者设置该文件权限为只读

rm -rf install.php

### 关闭分析页面中赞助信息

vi /var/www/html/syslog/include/functions_common.php

### 将下行改为 false

$content[‘SHOW_DONATEBUTTON’] = false; // Default = true!

### 更换分析页面首页图标 Logo

1.  首先将准备好的 logo 放至 images/main 目录下。

2.  编辑 include/functions_common.php

3.  修改如下路径：

    $content[‘EXTRA_PHPLOGCON_LOGO’] = $content[‘BASEPATH’] .

    “images/main/Header-Logo.png”;

更多详情见请继续阅读下一页的精彩内容 ：http://www.linuxidc.com/Linux/2014-06/103364p2.htm