共计 9911 个字符,预计需要花费 25 分钟才能阅读完成。
rsyslog 服务端配置 CentOS6.4 x64 系统 系统自带 rsyslog 5.8 版本
rsyslog 是一个 syslogd 的多线程增强版。
现在 Fedora 和 Ubuntu, rhel6 默认的日志系统都是 rsyslog 了
rsyslog 负责写入日志, logrotate 负责备份和删除旧日志, 以及更新日志文件
RHEL5.4 部署中央日志服务器之 rsyslog+Log Analyzer http://www.linuxidc.com/Linux/2012-01/51853.htm
CentOS 6.3 下利用 Rsyslog+LogAnalyzer+MySQL 部署日志服务器 http://www.linuxidc.com/Linux/2013-07/86956.htm
RHEL5.4 部署中央日志服务器之 rsyslog+loganalyzer http://www.linuxidc.com/Linux/2010-12/30801.htm
使用 rsyslog mysql 和 logAnalyzer 的日志服务器 http://www.linuxidc.com/Linux/2012-09/70717.htm
CentOS 6.3 下利用 Rsyslog+LogAnalyzer+MySQL 部署日志服务器 http://www.linuxidc.com/Linux/2013-07/86956.htm
###################################
# 首先部署好 lamp 环境,详情见 lamp 安装文档
# 更新系统时间 rsyslog-mysql 是 rsyslog 把日志传送到 mysql 的一个模块
yum install ntp rsyslog-mysql -y
ntpdate cn.pool.ntp.org
# 编辑配置文件
vim /etc/rsyslog.conf 取消下列三行的注释,并添加加载 mysql 模块信息。
$ModLoad immark # provides –MARK– message capability
$ModLoad imuxsock # provides support for local system logging (e.g. via logger command)
$ModLoad imklog # kernel logging (formerly provided by rklogd)
##### 下面这 2 行是要添加的内容 ##### 123456 是 root 用户登录 mysql 的密码
# 加载 mysql 模块
$ModLoad ommysql
# 定义插入的数据内容_(insertpl) 模板名称
$template insertpl,”insert into SystemEvents (Message, Facility, FromHost, FromIP, Priority, DeviceReportedTime, ReceivedAt, InfoUnitID, SysLogTag) values (‘%msg%’, %syslog
facility%, ‘%HOSTNAME%’, ‘%fromhost-ip%’, %syslogpriority%, ‘%timereported:::date-mysql%’, ‘%timegenerated:::date-mysql%’, %iut%, ‘%syslogtag%’)”,SQL
# 如果日志内容包含下列括号中的内容,则将日志写入到 /var/log/11.log 并退出,不继续后续操作
if $msg contains ‘(root) CMD (/usr/lib64/sa/sa1 1 1)’ then /var/log/11.log
&~
# 将所有日志写入到数据库_以下 *.* 表示所有类型的日志,mysql 模块 - 数据库服务器 - 数据库 - 数据库用户名 - 密码 - 模板
*.* :ommysql:localhost,Syslog,root,123456;insertpl
# 去掉下面两行的注释,接受客户端的日志,开启 514 端口
$ModLoad imudp.so # provides UDP syslog reception
$UDPServerRun 514 # start a UDP syslog server at standard port 514
# 添加 mysql root 密码
mysqladmin -u root password 123456
# 导入数据库
cd /usr/share/doc/rsyslog-mysql-5.8.10/
mysql -uroot -p <createDB.sql
# 检查数据库是否有相应数据
mysql -uroot -p
USE Syslog;
select * from SystemEvents;
# 如果有数据,则表示成功
# 创建 rsyslog 用户访问 Syslog
grant all privileges on Syslog.* to rsyslog@localhost identified by “123456”;
flush privileges;
exit
# 重启 rsyslog 服务
service rsyslog restart
安装 loganalyzer
##LogAnalyzer 是一个 syslog 和其他网络事件数据的 Web 前端工具,提供简单易用的日志浏览、搜索和基本分析以及图表显示。
下载源码包:
wget http://download.adiscon.com/loganalyzer/loganalyzer-3.6.5.tar.gz
tar zxvf loganalyzer-3.6.5.tar.gz
mkdir /var/www/html/syslog
cd /tmp/loganalyzer-3.6.5/src
cp -r * /var/www/html/syslog
cd /tmp/loganalyzer-3.6.5/contrib
cp * /var/www/html/syslog
cd /var/www/html/syslog
chmod +x *.sh
sh configure.sh && sh secure.sh
chmod 666 config.php
chown -R daemon.daemon *
登录 web 安装,http://ip 地址 /syslog 或者 http://ip 地址 /syslog/src
1:选择 Click here
2:Enable User Database 选择 Yes,如果选择 no 将没有管理页面
点击 NEXT 时若报错,后台执行如下命令后继续
ln -s /var/lib/mysql/mysql.sock /tmp/mysql.sock
3:填写如下信息:Database Host:localhost
Database Port:3306
Database Name:Syslog
prefix:logcon_
Database User:root
Database Password:123456
Require user to be logged in 选择 yes
4:选择 next 设置登录用户名和密码
root 123456
5:next Source type:MYSQL Native
Select View:Syslog Fields
Database Name:Syslog
Database Tablename:SystemEvents
Database User:root
Database Password:123456
next
finish ############ 完成安装配置
################ Linux 客户端部署
1. vi /etc/rsyslog.conf
2. 在最后面添加:*.* @192.168.10.250
3. 保存退出,重启 syslog 服务
4. service syslog restart
5. 此时在服务器上就可以看到相关服务器的日志信息了
# 修改 LogAnalyzer 设定
### 删除 LogAnalyzer 初始化安装文件
### 删除安装档 install.php,或者设置该文件权限为只读
rm -rf install.php
### 关闭分析页面中赞助信息
vi /var/www/html/syslog/include/functions_common.php
### 将下行改为 false
$content[‘SHOW_DONATEBUTTON’] = false; // Default = true!
### 更换分析页面首页图标 Logo
1. 首先将准备好的 logo 放至 images/main 目录下。
2. 编辑 include/functions_common.php
3. 修改如下路径:
$content[‘EXTRA_PHPLOGCON_LOGO’] = $content[‘BASEPATH’] .
“images/main/Header-Logo.png”;
更多详情见请继续阅读下一页的精彩内容 :http://www.linuxidc.com/Linux/2014-06/103364p2.htm
############### windows 客户端部署
下载 evtsys 64 位
http://eventlog-to-syslog.googlecode.com/files/Evtsys_4.4.3_64-Bit.zip
打开文件双击运行 evtsys.exe,生成 cfg 配置文件
把所有文件复制 C:\Windows\System32 下
# 开启 evtsys 服务
运行 - cmd
cd c:\windows\system32
evtsys -i -s 10 -h 192.168.6.185 -p 514
net start evtsys
# 查看服务器端验证效果
192.168.6.185/syslog
#rsyslog 接收 windows 日志出现乱码
登录 web 界面,点击 admin center 选择 Preferences
Default character encoding 改为 UTF-8 即可
#######################################################
iptables 策略
修改 iptables,增加 udp541 端口出入,防止被人恶意破坏
服务端需添加 rsyslog UDP 514 端口以及 loganalyzer TCP 80 端口通过规则
iptables -A INPUT -p udp –dport 514 -j ACCEPT
iptables -P OUTPUT ACCEPT
iptables -A INPUT -p TCP –dport 80 -j ACCEPT
客户端只需添加 OUTPUT 通过规则
iptables -P OUTPUT ACCEPT
rsyslog server 端为被动获取数据,client 端为主动发送数据
#######################################################
logrotate 管理日志配置
logrotate 程序是一个日志文件管理工具。用来把旧的日志文件更名或删除,并创建新的日志文件,我们把它叫做“转储”。
CentOS 下 logrotate 配置文件路径:/etc/logrotate.conf
/etc/logrotate.d/ 下面放置自定义的一些配置文件
下面是 RedHat 的 logrotate.conf 的具体内容
# see “man logrotate” for details
# rotate log files weekly
weekly
# 每周 rotate 一次
# keep 4 weeks worth of backlogs
rotate 4
# 保留前四周的 log 备份
# create new (empty) log files after rotating old ones
create
# use date as a suffix of the rotated file
dateext
使用轮换的日期为后缀
# 建立新的 log 文件
# uncomment this if you want your log files compressed
#compress
# 是否压缩 log 文件,需要压缩就去掉“#”符
# RPM packages drop log rotation information into this directory
include /etc/logrotate.d
# 将 /etc/logrotate.d 目录下的文件读来执行 rotate
# no packages own wtmp — we’ll rotate them here
/var/log/messages {
monthly
create 0664 root root
rotate 1
}
# 上面一段时单对 messages 文件的 rotate 的配置
# 每月 rotate 一次
# 建新的 log 文件,权限设定为 0664,文件拥有者 root,群组为 root
# 保留前一个月的 log 备份
# 也可以根据自己需求参照上面的配置来需要 rotate 的日志。
参数 功能
compress 通过 gzip 压缩转储以后的日志
nocompress 不需要压缩时,用这个参数
copytruncate 用于还在打开中的日志文件,把当前日志备份并截断
nocopytruncate 备份日志文件但是不截断
create mode owner group 转储文件,使用指定的文件模式创建新的日志文件
nocreate 不建立新的日志文件
delaycompress 和 compress 一起使用时,转储的日志文件到下一次转储时才压缩
nodelaycompress 覆盖 delaycompress 选项,转储同时压缩。
errors address 专储时的错误信息发送到指定的 Email 地址
ifempty 即使是空文件也转储,这个是 logrotate 的缺省选项。
notifempty 如果是空文件的话,不转储
mail address 把转储的日志文件发送到指定的 E -mail 地址
nomail 转储时不发送日志文件
olddir directory 转储后的日志文件放入指定的目录,必须和当前日志文件在同一个文件系统
noolddir 转储后的日志文件和当前日志文件放在同一个目录下
prerotate/endscript 在转储以前需要执行的命令可以放入这个对,这两个关键字必须单独成行
postrotate/endscript 在转储以后需要执行的命令可以放入这个对,这两个关键字必须单独成行
daily 指定转储周期为每天
weekly 指定转储周期为每周
monthly 指定转储周期为每月
rotate count 指定日志文件删除之前转储的次数,0 指没有备份,5 指保留 5 个备份
tabootext [+] list 让 logrotate 不转储指定扩展名的文件,缺省的扩展名是:.rpm-orig, .rpmsave, v, 和 ~
size size 当日志文件到达指定的大小时才转储,Size 可以指定 bytes (缺省) 以及 KB (sizek) 或者 MB (sizem).
logrotate 命令
logrotate [-vf] logfile
-v 显示模式
-f 强制执行 rotate
范例:
logrotate -vf /etc/logrotate.conf
Rsyslog 的详细介绍 :请点这里
Rsyslog 的下载地址 :请点这里
rsyslog 服务端配置 CentOS6.4 x64 系统 系统自带 rsyslog 5.8 版本
rsyslog 是一个 syslogd 的多线程增强版。
现在 Fedora 和 Ubuntu, rhel6 默认的日志系统都是 rsyslog 了
rsyslog 负责写入日志, logrotate 负责备份和删除旧日志, 以及更新日志文件
RHEL5.4 部署中央日志服务器之 rsyslog+Log Analyzer http://www.linuxidc.com/Linux/2012-01/51853.htm
CentOS 6.3 下利用 Rsyslog+LogAnalyzer+MySQL 部署日志服务器 http://www.linuxidc.com/Linux/2013-07/86956.htm
RHEL5.4 部署中央日志服务器之 rsyslog+loganalyzer http://www.linuxidc.com/Linux/2010-12/30801.htm
使用 rsyslog mysql 和 logAnalyzer 的日志服务器 http://www.linuxidc.com/Linux/2012-09/70717.htm
CentOS 6.3 下利用 Rsyslog+LogAnalyzer+MySQL 部署日志服务器 http://www.linuxidc.com/Linux/2013-07/86956.htm
###################################
# 首先部署好 lamp 环境,详情见 lamp 安装文档
# 更新系统时间 rsyslog-mysql 是 rsyslog 把日志传送到 mysql 的一个模块
yum install ntp rsyslog-mysql -y
ntpdate cn.pool.ntp.org
# 编辑配置文件
vim /etc/rsyslog.conf 取消下列三行的注释,并添加加载 mysql 模块信息。
$ModLoad immark # provides –MARK– message capability
$ModLoad imuxsock # provides support for local system logging (e.g. via logger command)
$ModLoad imklog # kernel logging (formerly provided by rklogd)
##### 下面这 2 行是要添加的内容 ##### 123456 是 root 用户登录 mysql 的密码
# 加载 mysql 模块
$ModLoad ommysql
# 定义插入的数据内容_(insertpl) 模板名称
$template insertpl,”insert into SystemEvents (Message, Facility, FromHost, FromIP, Priority, DeviceReportedTime, ReceivedAt, InfoUnitID, SysLogTag) values (‘%msg%’, %syslog
facility%, ‘%HOSTNAME%’, ‘%fromhost-ip%’, %syslogpriority%, ‘%timereported:::date-mysql%’, ‘%timegenerated:::date-mysql%’, %iut%, ‘%syslogtag%’)”,SQL
# 如果日志内容包含下列括号中的内容,则将日志写入到 /var/log/11.log 并退出,不继续后续操作
if $msg contains ‘(root) CMD (/usr/lib64/sa/sa1 1 1)’ then /var/log/11.log
&~
# 将所有日志写入到数据库_以下 *.* 表示所有类型的日志,mysql 模块 - 数据库服务器 - 数据库 - 数据库用户名 - 密码 - 模板
*.* :ommysql:localhost,Syslog,root,123456;insertpl
# 去掉下面两行的注释,接受客户端的日志,开启 514 端口
$ModLoad imudp.so # provides UDP syslog reception
$UDPServerRun 514 # start a UDP syslog server at standard port 514
# 添加 mysql root 密码
mysqladmin -u root password 123456
# 导入数据库
cd /usr/share/doc/rsyslog-mysql-5.8.10/
mysql -uroot -p <createDB.sql
# 检查数据库是否有相应数据
mysql -uroot -p
USE Syslog;
select * from SystemEvents;
# 如果有数据,则表示成功
# 创建 rsyslog 用户访问 Syslog
grant all privileges on Syslog.* to rsyslog@localhost identified by “123456”;
flush privileges;
exit
# 重启 rsyslog 服务
service rsyslog restart
安装 loganalyzer
##LogAnalyzer 是一个 syslog 和其他网络事件数据的 Web 前端工具,提供简单易用的日志浏览、搜索和基本分析以及图表显示。
下载源码包:
wget http://download.adiscon.com/loganalyzer/loganalyzer-3.6.5.tar.gz
tar zxvf loganalyzer-3.6.5.tar.gz
mkdir /var/www/html/syslog
cd /tmp/loganalyzer-3.6.5/src
cp -r * /var/www/html/syslog
cd /tmp/loganalyzer-3.6.5/contrib
cp * /var/www/html/syslog
cd /var/www/html/syslog
chmod +x *.sh
sh configure.sh && sh secure.sh
chmod 666 config.php
chown -R daemon.daemon *
登录 web 安装,http://ip 地址 /syslog 或者 http://ip 地址 /syslog/src
1:选择 Click here
2:Enable User Database 选择 Yes,如果选择 no 将没有管理页面
点击 NEXT 时若报错,后台执行如下命令后继续
ln -s /var/lib/mysql/mysql.sock /tmp/mysql.sock
3:填写如下信息:Database Host:localhost
Database Port:3306
Database Name:Syslog
prefix:logcon_
Database User:root
Database Password:123456
Require user to be logged in 选择 yes
4:选择 next 设置登录用户名和密码
root 123456
5:next Source type:MYSQL Native
Select View:Syslog Fields
Database Name:Syslog
Database Tablename:SystemEvents
Database User:root
Database Password:123456
next
finish ############ 完成安装配置
################ Linux 客户端部署
1. vi /etc/rsyslog.conf
2. 在最后面添加:*.* @192.168.10.250
3. 保存退出,重启 syslog 服务
4. service syslog restart
5. 此时在服务器上就可以看到相关服务器的日志信息了
# 修改 LogAnalyzer 设定
### 删除 LogAnalyzer 初始化安装文件
### 删除安装档 install.php,或者设置该文件权限为只读
rm -rf install.php
### 关闭分析页面中赞助信息
vi /var/www/html/syslog/include/functions_common.php
### 将下行改为 false
$content[‘SHOW_DONATEBUTTON’] = false; // Default = true!
### 更换分析页面首页图标 Logo
1. 首先将准备好的 logo 放至 images/main 目录下。
2. 编辑 include/functions_common.php
3. 修改如下路径:
$content[‘EXTRA_PHPLOGCON_LOGO’] = $content[‘BASEPATH’] .
“images/main/Header-Logo.png”;
更多详情见请继续阅读下一页的精彩内容 :http://www.linuxidc.com/Linux/2014-06/103364p2.htm