centos6.5 x86_64下搭建rsyslog服務

用centos6.5 系統自帶的rsyslog服務創建日誌服務器

rsyslog在獲取客戶端日誌會有兩種保存模式，一種是直接讀取客戶端/var/log/目錄下的日誌並保存到服務端該目錄下，一種是讀取後保存到日誌服務器mysql數據庫中，本文是後者的實現。

1、搭建前的準備工做

安裝lamp（可選）

配置好網絡服務（DNS和NTP），有助於提升日誌記錄工做的精確性。

# yum install -y ntp

# service ntpd start

# /usr/sbin/ntpdate asia.pool.ntp.org

# hwclock –systohc

2、日誌服務器安裝

# yum -y install rsyslog rsyslog-mysql

配置

# vi /etc/rsyslog

添加如下幾行

$ModLoad immark   # provides --MARK-- message capability 

$ModLoad ommysql 

*.*       :ommysql:localhost,Syslog,rsyslog,password

$ModLoad imudp.so  # provides UDP syslog reception 

$UDPServerRun 514  # start a UDP syslog server at standard port 514 

注：*.*       :ommysql:localhost,Syslog,rsyslog,password

localhost 爲mysql主機地址

Syslog    爲記錄日誌建的mysql數據庫

rsyslog      爲日誌數據庫的mysql用戶名

password      爲mysql用戶rsyslog的密碼

$UDPServerRun 514  UDP端口，接受客戶端日誌

導入數據庫

# mysql -u root -p < /usr/share/doc/rsyslog-mysql-5.8.10/createDB.sql

# mysql -u root -p 輸入密碼

GRANT ALL PRIVILEGES ON Syslog.* to rsyslog@localhost IDENTIFIED BY 'password';

FLUSH PRIVILEGES;

exit;

注:createDB.sql 文件裏有自動建立Syslog數據庫,該數據庫包含兩表SystemEvents和SystemEventsProperties。。

3、啓動rsyslog日誌服務器

# /etc/init.d/rsyslog start     啓動rsyslog日誌

service rsyslog start/stop/restart  也行

將rsyslog設置開機啓動

# chkconfig --level 3 rsyslog on  啓用rsyslog開機啓動

4、安裝loganalyzer服務器

# wget http://download.adiscon.com/loganalyzer/loganalyzer-3.6.6.tar.gz

# tar zxvf loganalyzer-3.6.6.tar.gz

# mkdir -p /var/www/html/loganalyzer

# cp -rf /root/loganalyzer-3.6.6/src/* /var/www/html/loganalyzer/ 或者 rsync -a src/* /var/www/html/loganalyzer/

注:/var/www/html/爲web服務器目錄

# cd /var/www/html/loganalyzer

建立config.php配置文件

# touch config.php

# chmod 666 config.php

啓動nginx

# service nginx restart

iptables -I INPUT -p udp –dport 514 -j ACCEPT

在IE裏輸入http://YOUR SERVER IP/loganalyzer 進行loganalyzer配置

按提示下一步.下一步操做便可

注:注意數據庫表名分大小寫.應該寫爲 SystemEvents

5、日誌服務器客戶端安裝

# rpm -qa |grep ntp 通常是安裝了滴

在/etc/ntp.conf後加上一行

server YOURSERVERIP

# service ntpd start

# ntpq -p

# yum install rsyslog

# vi /etc/rsyslog.conf

添加以下內容

*.*   @YOUR SERVER IP

注:YOURSERVER IP爲日誌服務器端IP地址

日誌服務器也能收集交換機和路由器的日誌，有待嘗試。。

本文參考

http://litaotao.blog.51cto.com/6224470/1283871

http://www.cnblogs.com/mchina/p/linux-centos-rsyslog-loganalyzer-mysql-log-server.html  

http://www.linuxidc.com/Linux/2013-07/86956.htm