Centos7搭建日誌服務器rsyslog+loganalyzer

、準備環境

更新時間

yum install ntp ntpdate  

systemctl start ntpd

systemctl enable ntpd

 

ntpdate ntp1.aliyun.com
---------------------
著做權歸做者全部。
商業轉載請聯繫做者得到受權，非商業轉載請註明出處。
做者：趙磊
源地址：https://www.cnblogs.com/zzhaolei/p/11067834.html
來源：博客園cnblogs
© 版權聲明：本文爲博主原創文章，轉載請附上博文連接！
---------------------
著做權歸做者全部。
商業轉載請聯繫做者得到受權，非商業轉載請註明出處。
做者：趙磊
源地址：https://www.cnblogs.com/zzhaolei/p/11067834.html
來源：博客園cnblogs
© 版權聲明：本文爲博主原創文章，轉載請附上博文連接！
---------------------
著做權歸做者全部。
商業轉載請聯繫做者得到受權，非商業轉載請註明出處。
做者：趙磊
源地址：https://www.cnblogs.com/zzhaolei/p/11067834.html
來源：博客園cnblogs
© 版權聲明：本文爲博主原創文章，轉載請附上博文連接！

2.1  關閉防火牆：

#systemctl stop firewalld
2.2 將SELINUX設置爲disabled
setenforce 0
sed -i ‘s#SELINUX=enforcing#SELINUX=disabled#g’ /etc/selinux/config

3、配置LAMP環境

3.1 配置LAMP

mkdir /home/rsyslog_server/tools -p （建立下載文件存放目錄）

cd /home/rsyslog_server/tools

yum install wget -y

wget http://dev.mysql.com/get/mysql57-community-release-el7-8.noarch.rpm

rpm -Uvh mysql57-community-release-el7-8.noarch.rpm （安裝mysql官方yum倉庫）

yum install mysql-community-server -y

systemctl start mysqld.service

systemctl status mysqld.service

vim /var/log/mysqld.log （/password     查看初始密碼，記錄好初始密碼，紅色圈文字爲初始密碼）

 

mysql -u root -p

提示輸入密碼：輸入剛纔查看的初始密碼

 

 

輸入密碼號，再修改密碼，以下命令！

ALTER USER 'root'@'localhost' IDENTIFIED BY 'Lanqing@123'; （修改密碼）

 

3.2 配置Apache和PHP

yum install httpd -y

yum install php php-gd php-xml php-mysql -y

3.3 啓動服務並加入開機自啓動：

systemctl start httpd.service

systemctl enable httpd.service

systemctl start mysqld.service

systemctl enable mysqld.service

 

3.4 測試PHP環境
[root@localhost ~]# cd /var/www/html/
[root@localhost html]# vim index.php

<?php

phpinfo();

?>

打開瀏覽器訪問：http://IP/index.php  看到PHP信息說明成功了

 

4、安裝服務器端軟件

4.1 檢查是否安裝了rsyslog軟件

rpm -qa|grep rsyslog

4.2 安裝rsyslog 鏈接MySQL數據庫的模塊

yum install rsyslog-mysql –y

5、配置服務器端

5.1 導入rsyslog-mysql 數據庫文件

cd /usr/share/doc/rsyslog-8.24.0

mysql -uroot -p<mysql-createDB.sql

5.2 登陸數據庫查看

mysql -uroot –p

 

 

5.3 在MySQL下建立rsyslog用戶並受權：

mysql> grant all privileges on Syslog.* to rsyslog@localhost identified by 'Lanqing@123';

mysql> flush privileges;

mysql> exit

5.4 配置服務端支持rsyslog-mysql 模塊，並開啓UDP服務端口獲取網內其餘LINUX系統日誌；

 

如下爲重點須要修改的地方！!!!!

 

vi /etc/rsyslog.conf

 

# Provides UDP syslog reception

$ModLoad imudp

$UDPServerRun 514

 

# Provides TCP syslog reception

$ModLoad imtcp

$InputTCPServerRun 514

 

$ModLoad ommysql

*.* :ommysql:localhost,Syslog,rsyslog,Vxichina@123

# Use default timestamp format

$ActionFileDefaultTemplate RSYSLOG_TraditionalFileFormat

 

$template Remote,"/var/log/data/%fromhost-ip%/%fromhost-ip%_%$YEAR%-%$MONTH%-%$DAY%.log"

:fromhost-ip, !isequal, "127.0.0.1" ?Remote

 

#Standard Redhat syslog settings

.info;mail.none;authpriv.none;cron.none /var/log/messages

authpriv. /var/log/secure

mail.* -/var/log/maillog

cron.* /var/log/cron

.emerg *

uucp,news.crit /var/log/spooler

# Save boot messages also to boot.log

local7.*                                                /var/log/boot.log

 

$template MySQLInsert,"insert into SystemEvents (Message, Facility, FromHost,Priority, DeviceReportedTime, ReceivedAt, InfoUnitID, SysLogTag) values ('%msg%', %syslogfacility%, '%fromhost-ip%', %syslogpriority%, '%timereported:::date-mysql%', '%timegenerated:::date-mysql%', %iut%, '%syslogtag%')",SQL

 

客戶端配置：（服務端能夠不配置）

再末尾添加服務器IP地址（接收日誌的服務器IP）

#vi /etc/rsyslog.conf
*.* @172.28.194.118

vi /etc/bashrc

在文件尾部增長一行

 

export PROMPT_COMMAND=’{ msg=$(history 1 | { read x y; echo KaTeX parse error: Expected 'EOF', got '}' at position 4: y; }̲);logger "[euid…(whoami)]":(whoami):[‘pwd‘]&quot; (who am i):[`pwd`]&quot;(whoami):[‘pwd‘]"msg"; }’

 

#source /etc/bashrc  -----------------使其生效

 

6、安裝LogAnalyzer

cd /home/rsyslog_server/tools/

wget http://download.adiscon.com/loganalyzer/loganalyzer-4.1.7.tar.gz

tar zxf loganalyzer-4.1.7.tar.gz

cd loganalyzer-4.1.7

mkdir -p /var/www/html/loganalyzer

cp -rf src/* /var/www/html/loganalyzer/

cp -rf contrib/* /var/www/html/loganalyzer

 

 

重啓服務

systemctl restart rsyslog.service 

systemctl restart mysqld.service

systemctl restart httpd.service

7、在瀏覽器中進行安裝LogAnalyzer
7.1 輸入http://172.28.194.118/loganalyzer/，點擊here

 

 

 

!!!***File does NOT exist!！***！！！！！！！！！！

提示錯誤：缺乏config.php 文件，而且權限要設置爲666，可使用contrib目錄下的configure.sh 腳本生成。 注意  搭建完成後 仍是要改爲644的 爲了安全

 

須要在/var/www/html/loganalyzer/ 下建立config.php 文件，能夠經過configure.sh文件生成

cd /var/www/html/loganalyzer/

sh configure.sh

 

 

刷新網頁恢復正常，點擊next！！

按照下圖修改，必定要注意不要修改錯了。

 

 

 

 

設置管理帳號密碼！！！！

 

 

 

這裏 SystemEvents   S和 E 是大寫的，S和E必定要大寫！！！！，下圖的是小的events 有問題。

 

 

 

 

上述按照這個配置    數據仍是會報錯的  具體的 須要修改   

vim /var/www/html/loganalyzer/config.php     這個文件裏   的  數據庫名字 必定要改爲 Syslog   並檢查全部的 和數據庫相鏈接的 名和 表 等信息。

 

 

 

-------------------------------------------時間同步

設置開機自動同步Internet時間，並做定時同步任務
一、修改時區

1 2 3 4 5 6

rm -rf /etc/localtime ln -s /usr/share/zoneinfo/Asia/Shanghai /etc/localtime vim /etc/sysconfig/clock ZONE= "Asia/Shanghai" UTC= false ARC= false

二、安裝並設置開機自啓

1 2 3

yum install -y ntp systemctl start ntpd systemctl enable ntpd

三、配置開機啓動校驗

1 2	vim /etc/rc.d/rc.local /usr/sbin/ntpdate ntp1.aliyun.com > /dev/ null  2 >& 1 ; /sbin/hwclock -w

四、配置定時任務

1 2	crontab -e 0  */ 1  * * * ntpdate ntp1.aliyun.com > /dev/ null  2 >& 1 ; /sbin/hwclock -w