rsyslog+loganalyzer 安裝配置

1. 環境簡介

l 前期部署lnmp環境

l 操做系統版本：RedHat5.4 x32

 

Rsyslog server：192.168.10.250

Syslog client：192.168.10.1

l 所需軟件：

 

rsyslog-6.2.2.tar.gz

loganalyzer-3.6.3.tar.gz

libestr-0.1.5.tar.gz

libee-0.4.1.tar.gz

 2. 安裝rsyslog依賴包

2.1 安裝libestr-0.1.5

1. tar zxvf libestr-0.1.5.tar.gz

2. cd libestr-0.1.5

3. autoreconf -vfi

4. ./configure --libdir=/usr/lib --includedir=/usr/include

5. make

6. make install

 

2.2 安裝libee-0.4.1

1. tar zxvf libee-0.4.1.tar.gz

2. cd libee-0.4.1

3. autoreconf -vfi

4. ./configure --libdir=/usr/lib --includedir=/usr/include

5. make

6. make install

3. 安裝配置rsyslog

3.1 編譯安裝rsyslog

1. tar zxvf rsyslog-6.2.2.tar.gz

2. cd rsyslog-6.2.2

3. ./configure --enable-mysql

4. 若是報錯：mysql_config not found，執行以下操做:

 

ln -s /usr/local/mysql/bin/mysql_config /usr/local/bin/mysql_config

將mysql_confi從你的安裝目錄連接到/usr/local/bin目錄下，這樣就能夠在任意目錄下訪問了（也能夠放到/usr/bin）

5. make

6. make install

 

3.2 編輯配置文件

1. cp rsyslog.conf /etc

2. vi /etc/rsyslog.conf

3. 查找以下幾行：

 

$ModLoad immark # provides --MARK--message capability $ModLoad imuxsock# provides support for local system logging (e.g. via logger command) $ModLoad imklog # kernel logging (formerly provided by rklogd)

 4.在上面幾行下面添加以下幾行：

$ModLoad ommysql

*.*:ommysql:localhost,Syslog,root,mima

$ModLoad ommysql 

 

 

注：

Syslog：rsyslog所使用的database-name

root：登陸數據庫的用戶名

mima：root用戶登陸mysql的密碼

該行完整的格式

 

*.* :ommysql:database-server,database-name,database-userid,database-password

 

database-name必須和後續步驟creatDB.sql中的相同

 

5. 去掉下面2行的註釋，用於接收客戶的日誌

 

$ModLoad imudp.so # provides UDP syslog reception $UDPServerRun514 # start a UDP syslog server at standard port 514

 

3.3 創建rsyslog啓動腳本

1. ln -s /usr/local/sbin/rsyslogd /sbin/rsyslogd

2. cp -rp /etc/init.d/syslog /etc/init.d/rsyslog

3. sed -i 's/syslog/rsyslog/g' /etc/init.d/rsyslog

4. 中止自帶的syslog日誌服務

 

service syslog stop

3.4 導入數據庫

1. cd <rsyslog-6.2.2_dir>/plugins/ommysql

2. mysql–uroot -p <createDB.sql

3. 密碼：root用戶密碼

4. 啓動rsyslog

 

service rsyslog start

5. 檢查數據庫是否有相應數據

mysql –uroot -p

use Syslog;

select * from SystemEvents;

若是查詢成功，則表示成功

6. 建立syslog用戶訪問Syslog

grant all on Syslog.* to syslog@'localhost'identified by 'syslog';

刷新權限

flush privileges;

密碼是syslog

4. 安裝loganalyzer

1. mkdir –p /var/www/html/syslog

2. tar zxvf loganalyzer-3.6.3.tar.gz

3. cd loganalyzer-3.6.3/src

4. cp -r * /var/www/html/syslog

5. cd ../contrib

6. cp * /var/www/html/syslog

7. cd /var/www/html/syslog

8. chmod -R 777 /var/www/html/syslog

9. ./configure.sh

10. 登陸web安裝,http://ip地址/syslog

 

 

11. Click here

 

 

12. Next

 

 

13. Enable User Database選擇Yes，若是選擇no將沒有管理頁面。

 

填寫以下信息：

Database Host：localhost

Database Port：3306

Database Name ：Syslog

Table prefix：logcon_

Database User：syslog

Database Password：syslog

14. Next

 

 

15. Next

 

設置登陸用戶名和密碼。

16. Next

 

Source type：mysql native

Database host：localhost

Database name：Syslog

Database Tablename：SystemEvents

Database User：root

Database Password：●●●●●

正確填寫以上信息，注意大小寫，必定和createDB.sql中的信息一致。

17. Next

 

 

18. Finish!

19. 登陸

 

5. linux客戶端部署

1. vi/etc/syslog.conf

2. 在最後面添加：*.* @192.168.10.250

3. 保存退出，重啓syslog服務

4. service syslog restart

5. 此時在服務器上就能夠看到相關服務器的日誌信息了\

6. 修改LogAnalyzer進階設定

6.1 刪除LogAnalyzer初始化安裝檔

完成初始化LogAnalyzer環境設定以後，建議刪除初始化安裝檔install.php，或者設定該檔案權限爲「只讀」，以避免有人再次連結到初始化安裝檔案從新進行設定，藉此破壞本來的環境設定。

6.2 關閉分析頁面中贊助信息

在LogAnalyzer分析頁面中，基本上無論切換到哪一頁，都會看到分析頁面最上方有一個贊助LogAnalyzer計劃的捐獻（Donate）按鈕，以下圖:

以爲這個贊助信息有點礙眼，能夠透過修改LogAnalyzer函數配置文件（functions_common.php）來關閉。

vi /var/www/html/syslog/include/functions_common.php

將下行改成false

$content['SHOW_DONATEBUTTON'] = false; // Default = true!

6.3 更換分析頁面首頁圖示（Logo）

1. 首先將準備好的logo放至images/main目錄下。

2. 編輯include/functions_common.php

3. 修改以下路徑：

 

$content['EXTRA_PHPLOGCON_LOGO'] = $content['BASEPATH'] .

"images/main/Header-Logo.png";

6.4 關閉分析頁面中窗口彈出功能（Detail Popups）

1. 在LogAnalyzer初始化環境設定步驟三時，若當時「Show message details

popup」選項選擇「Yes」，則在LogAnalyzer分析頁面內，只要鼠標移動到日誌信息（Message字段）中任何一筆記錄，頁面便會當即彈出窗口，顯示該日誌的詳細內容，如圖所示。若以爲這樣的彈出功能會形成困擾，能夠將其關閉。關閉自動彈出窗口功能後，若想查看該筆日誌信息的詳細內容時，只要點選該日誌信息便可。

2. 編輯主配置文件/var/www/html/syslog/config.php，將自動彈出窗口功能ViewEnableDetailPopups參數值，由預設的「啓用（1，Enable）」修改成「禁用（0，Disable）」。

3. $CFG['ViewEnableDetailPopups'] = 1;

6.5 調整分析日誌字段（Select View）

LogAnalyzer在預設狀況下僅支持Syslog、EventLog、Webserver三種類型的日誌字段顯示，若想要自行定義顯示字段也能夠進行修改。

例如創建一個名稱爲Mylog的日誌名稱，而且只顯示日期（Date）、主機名（Host）、日誌類型（Syslogtag）、日誌種類（MessageType）、日誌信息（Message）等五個字段。

Vi /var/www/html/syslog/config.php

去掉以下兩行的註釋號//

$CFG['ShowMessage'] = true;

$CFG['Columns'] = array ( SYSLOG_DATE, SYSLOG_FACILITY, SYSLOG_SEVERITY, SYSLOG_HOST, SYSLOG_SYSLOGTAG, SYSLOG_MESSAGETY

PE, SYSLOG_MESSAGE );