《搭建rsyslog日志服务器和loganalyzer日志分析工具.docx》由会员分享,可在线阅读,更多相关《搭建rsyslog日志服务器和loganalyzer日志分析工具.docx(30页珍藏版)》请在课桌文档上搜索。
1、rsyslogQ志效劳器和IOgalIaIyZer目志分析工具一、rsyslog的介绍3rsyslog目志效劳器的优势:3rsyslog的新功能:3rsyslog的软件包3rsyslog配建devnul2devnull11trueendscript)三、rsyslog的存储途径a日志存储在指定的文件中rootjiel#vimetcrsyslog.conf#=注释掉两行,然后添加一行#*.info;mail.none;authpriv.none;cron.nonevarlogmessages*.*/systemlog/jie.logftauthpriv.*varlogsecure#varlogm
2、essages#*.info;mail.none;authpriv.none;cron.none=#这行表示,所有facitlity(设施)的info消息记录,及info级别以上的记录都会保存到varlogmessages文件中,除了邮件的所有信息,认证授权的所有信息,方案任务的所有信息。#authpriv.*varlogsecure=#这行表示认证授权的所有信息,都会保存在varlogSeCUre文件中*.*systemlogjie.log=#添加的这行表示所有设施的所有信息都会保存在systemlogjie.log文件中,而且此文件不必自己创立,启动rsyslog效劳时系统会自动创立,而且
3、权限都是600b日志存储在指定的rsyslog效静器中rsyslog客户端的配置:rootjie3#vimetcrsyslog.conf#*.info;mail.none;authpriv.none;cron.nonevarlogmessages*.*172.16.22.1#添加此行,注释掉其他两行ftauthpriv.*varlogsecure#rootjie3servicersyslogrestartShuttingdownsystemlogger:OKStartingsystemlogger:OKrsyslog效劳器的配置:rootjiel#grep-vA#etcrsyslog.conf
4、grep-vA$#修改配置文件只需开启两个模块和协议支持的端口SModLoadimusock#providessupportforlocalsystemlogging(e.g.vialoggercommand)SModLoadimklog#provideskernelloggingsupport(previouslydonebyrklogd)SModLoadimudp#开启支持UPd的模块$UDPServerRun514#允许接收udp514的端口传来的日志ModLoadimtcp#开启支持tcp的模块JlnputTCPServerRun514#允许接收tcp514的端口传来的日志SActio
5、nFiIeDefauItTempIateRSYSLOGJTraditionaIFiIeFormatJlncIudeConfigetcrsyslog.d*.conf*.info;mail.none;authpriv.none;cron.nonevarlogmessagesauthpriv.*varlogsecuremail.*varlogmaillogcron.varlogcron.emerguucpznews.critvarlogspoolerIocal7.*varlogboot.logStemplateSpiceTmpI,%TIMES7AMP%.%TIMESlAMP:date-subseco
6、nds%syslogtag%syslogseverity-text%:%msg:sp-if-no-lst-sp%msg:drop-last-lf%nprogramname,Startswithz,spice-vdagentvarlogSPiCe-Vdagent.log;SPiCeTmPl#rootjiel#servicersyslogrestartShuttingdownsystemlogger:OKStartingsystemlogger:OK思路:1、安装mysql效劳器,且要安装rsyslog连接mysql的驱动2、解决生成rsyslog效劳器的日志特定的格式,3、在rsyslog配置文
7、件中加载连接mysql的模块,把日志存储到mysql中rsyslog+Mysql效劳器端的配置:rootjiellog#yum-yinstallmysql-serverrsyslog-mysqlmysql# 安装mysql效劳器和rsyslog连接mysql的驱动rootjiel#rpm-qlrsyslog-mysql# 查看rsyslog-mysql安装生成了那些文件lib64rsyslogommysql.soroot()jielservicemysqldstartStartingmysqld:OKrootjielmysqladmin-urootpasswordredhat# 设置mysql
8、的密码rootjiel#mysql-uroot-pEnterpassword:#登录mysql效劳器mysqlshowdatabases;#显示数据库效劳器中没有日志的数据库+IDatabase|Iinformation_schemaImysqlIItestI+3 rowsinset(0.00sec)mysqlqByerootjiel#日志文件Sql脚本的路径rootjielrsyslog-mysql-5.8.10#IscreateDB.sqlroot()jielrsyslog-mysql-5.8.10#mysql-uroot-pshowdatabases;+IDatabase+Iinform
9、ation_schemaISyslogImysqlItest4 rowsinset(0.01sec)mysqluseSyslog;#Syslog即是记录日志文件的数据库ReadingtableinformationforcompletionoftableandcolumnnamesYoucanturnoffthisfeaturetogetaquickerstartupwith-ADatabasechangedmysqlshowtables;+ITables_in_SyslogISystemEventsISystemEventsProperties2rowsinset(0.00sec)mysql
10、grantallonSyslog.*to,syslogroot,127.0.0.1,identifiedby,syslogpass,;#设置用户访问数据库效劳器中Syslog数据库的用户名和密码QueryOK,0rowsaffected(0.00sec)mysqlgrantallonSyslog.*to,syslogroot,(),172.16.22.1,identifiedbysyslogpass,;QueryOK,0rowsaffected(0.04sec)mysqlflushprivileges;#重读授权表,及时生效QueryOK,0rowsaffected(0.00sec)mysql
11、qByerootjielrsyslog-mysql-5.8.10#cd/rootjiel/#grep-vA$etcrsyslog.confgrep-v,ft#Vim/etc/ryslog.conf#SModLoadimusock$ModLoadimklog$ModLoadimudp#加载udp的模块JUDPServerRun514#允许接收Udp514的端口传来的日志$ModLoadimtcp#加载tcp的模块SlnputTCPServerRun514#允许接收tcp514的端口传来的日志SModLoadommysql#加载mysql的模块SActionFileDefaultTemplateR
12、sYSLOG-TraditionaIFiIeFormatJlncIudeConfigetcrsyslog.d*.conf*.*:ommysql:172.16.22.l,Syslogzsyslogrootzsyslogpass#添加这行,把其他行都注释掉,这行表示把所有的设施的所有日志都记录到数据库效劳器中的SySk)g数据库中,以Syslogroot用户,syslogpass密码访问数据库Iocal7.*varlogboot.logStemplateSpiceTmpl/%TIMESTAMP%.%TIMESTAMP:date-subseconds%syslogtag%syslogseverity
13、-tet%:%msg:sp-if-no-lst-sp%msg:drop-last-lf%n:PrOgramname,Startswithz,spice-vdagentvarlogspice-vdagent.IogjSpiceTmpI#rootjiel/#servicersyslogrestartShuttingdownsystemlogger:OKStartingsystemlogger:OKrsyslog客户端的配置:rootjie3sed-e7ScI,-e7A#/detcrsyslog.conf* #/etc/rsyslog.conf#SModLoadimusock#providessup
14、portforlocalsystemlogging(e.g.vialoggercommand)SModLoadimklog#provideskernelloggingsupport(previouslydonebyrklogd)SActionFiIeDefauItTempIateRSYSLOG_TraditionalFileFormatSlncIudeConfigetcrsyslog.d*.conf* .*172.16.22.1#添加这行用于和效劳器通信* .*:ommysql:172.16.22.1,Syslogzsyslogrootzsyslogpass#添加这行,把其他行都注释掉,这行表
15、示把所有的设施的所有日志都记录到数据库效劳器中的Syslog数据库中,以Syslogroot用户,syslogpass密码访问数据库StemplateSpiceTmplz%TIMESTAMP%.%TIMESTAMP:二date-subseconds%syslogtag%syslogseverity-tet%:%msg:sp-if-no-lst-sp%msg二:drop-last-lf%n:PrOgramname,Startswithz,spice-vdagentvarlogspice-vdagent.IogjSpiceTmpI#rootjie3servicersyslogrestartOK O
16、K Shuttingdownsystemlogger:Startingsystemlogger:验证客户端的日志文件存放位置:1)验证是否存放在客户端本地2)验证是否存在效劳器的varlogmessages里面3)验证是否存放在效劳器的mysql数据库中虽然日志存放在mysql数据库效劳器中,是解决了日志集中管理,但是存放在mysql效劳器中让管理人员头疼的是不便于查看这些大量的日志,于是乎搭建一个日志分析工具就非常的有必要性了。四、基于Web的Ioganalyzer日志分析工具的搭建本环境是针对上面的日志存放在mysql效劳器中不方便查看,配置Ioganalyzer日志分析工具来分析查看日志
17、rsyslog效当器的配置步骤:1、安装d,php,php-gd,php-mysqld用来提供web效劳php使叩ache支持php,因为Ioganalyzer是用php编写php-mysql用于Ioganalyzer连接数据库php-gd用于绘图rootjielyum-yinstalldphpphp-mysqlphp-gdrootjiel#mkdir-pvwebloganalyzer#存放Ioganalyzer的网页文件mkdir:createddirectorywebmkdir:createddirectorywebloganalyzer,2、下载Ioganalyzer源码包rootjie
18、lIsrootjiel#rootjielIsrootjielrootjielloganalyzer-3.6.4#IsChangeLogcontribCOPYINGdocINSTALLsrcrootjielloganalyzer-3.6.4#mvsrc*weblOganalyzer/#把SrC目录的所有文件移到存放Ioganalyzer的文件中root(三)jielloganalyzer-3.6.4#cdcontrib/rootjielcontrib#Isconfigure.shsecure.shrootjielcontrib#mv*.shwebloganalyzer#把脚本文件也移到Iogan
19、alyzer文件中3、执行脚本root()jielCOntrib#Cdwebloganalyzerrootjielloganalyzer#bashconfigre.sh4、修改d的配置文件,新建一个虚拟主机vim/etc/dconfd.conf#ServerName172.16.22.1:80#DocumentRootvarwwwhtml#注释掉默认存放网页文件的路径DocumentRootwebloganalyzer#指定存放IoganaIyZer网页文件的路径#5、重启效劳,创立IOganalyZer的数据库,并授权rootjielloganalyzer#servicedrestartSt
20、oppingd:OKStartingd:OKrootjielloganalyzer#mysql-uroot-pEnterpassword:mysqlcreatedatabaseloganalyzer;QueryOK,1rowaffected(0.04sec)mysqlgrantallonIoganalyzer.*tolyzeruser(),172.16.22.1,identifiedbyIyzeruser;QueryOK,Orowsaffected(0.00sec)mysqlflushprivileges;QueryOK,0rowsaffected(0.00sec)6、安装Ioganalyzer1.
