Rsyslog+Loganalyzer+Mysql部署日誌服務器（親測）

因工做須要搭建一個日誌服務器，本身又沒搭建過，就從網上找各類資料進行搭建，由於記性很差搭建完之後再這裏作個筆記方便之後本身在搭建。

參考博客：

https://www.cnblogs.com/configure/p/5223518.html

首先安裝LAMP環境，由於裏面包括mysql，你就不用再去單獨去安裝mysql數據庫了，若是你要是想本身安裝mysql看一下，下面的mysql安裝資料或者筆記，都是本身親測過的。

參考博客：

https://baijiahao.baidu.com/s?id=1597184796823517712&wfr=spider&for=pc

搭建日誌服務器準備工做：

一臺客戶機，一臺服務器，關閉防火牆（若是不關閉防火牆，請在防火牆開通須要的端口），關閉SELINUX

查看selinux方法：

getenforce 或 sestatus

開啓模式顯示結果：Enforcing

關閉模式顯示結果：Permissive

關閉SELINUX的方法：

1.打開（ vim/etc/sysconfig/selinux）selinux文件，將selinux配置改成SELINUX=disabled，重啓系統生效。該方法是永久的。

2. 臨時性關閉（當即生效，可是重啓服務器後失效）
# setenforce 0#設置selinux爲permanbissive模式（即關閉）
# setenforce 1#設置selinux爲enforcing模式（即開啓）

防火牆的開啓、查看狀態、關閉、重啓防火牆（centos7以上和centos6不同，下面主要是說centos6）

查看狀態：/etc/init.d/iptables status

開啓：service iptables start

關閉：service iptables stop

重啓：service iptables restart

開通防火牆的端口：在iptables文件中進行添加要開通的端口（已80的爲例，添加端口必須跟在22端口後面）

vim /etc/sysconfig/iptables

-A INPUT -m state –state NEW -m tcp -p tcp –dport 80 -j ACCEPT

安裝並設置LAMP環境

安裝LAMP環境
# yum -y install httpd mysql* php*

啓動服務並加入開機啓動

啓動Apache

# /etc/init.d/httpd start

# chkconfig httpd on

啓動數據庫

# /etc/init.d/mysqld start

# chkconfig mysqld on

3.3 設置MySQL root 密碼

# mysqladmin -uroot password 'abc123'

 

3.4 測試php運行環境

[root@Redis loganalyzer]# vim /var/www/html/index.php

輸入以下內容： 

<?php
phpinfo();
?>

打開瀏覽器訪問：http://192.168.168.125/index.php

LAMP環境配置完畢。

4、檢查並安裝服務器端軟件

4.1 檢查是否安裝了rsyslog軟件

# rpm -qa|grep rsyslog    //默認系統都安裝了該軟件

4.2 安裝rsyslog 鏈接MySQL數據庫的模塊

# yum install rsyslog-mysql –y

rsyslog-mysql 爲rsyslog 將日誌傳送到MySQL 數據庫的一個模塊，這裏必須安裝。

5、配置服務器端

5.1 導入rsyslog-mysql 數據庫文件

# cd /usr/share/doc/rsyslog-mysql-5.8.10/

# mysql -uroot -pabc123 < createDB.sql

# mysql -uroot –p

mysql> show databases;

mysql> show tables;

導入數據庫操做建立了Syslog 庫並在該庫中建立了兩張空表SystemEvents 和SystemEventsProperties。

5.2 建立rsyslog 用戶在mysql下的相關權限

# mysql -uroot –p

mysql> grant all on Syslog.* to rsyslog@localhost identified by '123456';

mysql> flush privileges;

mysql> exit

5.3 配置服務端支持rsyslog-mysql 模塊，並開啓UDP服務端口獲取網內其餘LINUX系統日誌

# vi /etc/rsyslog.conf

$ModLoad ommysql 
*.* :ommysql:localhost,Syslog,rsyslog,123456

在 #### MODULES #### 下添加上面兩行。

說明：localhost 表示本地主機，Syslog 爲數據庫名，rsyslog 爲數據庫的用戶，123456爲該用戶密碼。

5.4 開啓相關日誌模塊

# vi /etc/rsyslog.conf

$ModLoad immark    　 　　#immark是模塊名，支持日誌標記

$ModLoad imudp    　　　　#imupd是模塊名，支持udp協議

$UDPServerRun 514    　　#容許514端口接收使用UDP協議轉發過來的日誌

$ModLoad imtcp  　　　　　#imupd是模塊名，支持udp協議

$InputTCPServerRun 514  #容許514端口接收使用TCP協議轉發過來的日誌

5.5 重啓rsyslog 服務

# /etc/init.d/rsyslog restart

6、配置客戶端

6.1 檢查rsyslog 是否安裝

# rpm -qa|grep rsyslog

6.2 配置rsyslog 客戶端發送本地日誌到服務端

# vi /etc/rsyslog.conf

*.* @192.168.168.125

行尾新增上面這行內容，即客戶端將本地日誌發送到服務器。

6.3 重啓rsyslog 服務

# /etc/init.d/rsyslog restart

6.4 編輯/etc/bashrc，將客戶端執行的全部命令寫入系統日誌/var/log/messages中。

# vi /etc/bashrc

在文件尾部增長一行

export PROMPT_COMMAND='{ msg=$(history 1 | { read x y; echo $y; });logger "[euid=$(whoami)]":$(who am i):[`pwd`]"$msg"; }'

設置其生效

# source /etc/bashrc

客戶端配置完畢。

7、測試Rsyslog Server是否能夠正常接受Client端日誌

Client 端測試：

Server 端偵測：

說明接收正常，包括你重啓機器的一些Log均可以查看到。

8、安裝LogAnalyzer

# wget http://download.adiscon.com/loganalyzer/loganalyzer-3.6.5.tar.gz

# tar zxf loganalyzer-3.6.5.tar.gz

# cd loganalyzer-3.6.5

# mkdir -p /var/www/html/loganalyzer

# rsync -a src/* /var/www/html/loganalyzer/

9、在瀏覽器安裝嚮導中安裝LogAnalyzer

9.1 打開瀏覽器訪問：http://192.168.1.107/loganalyzer/

提示沒有配置文件，點擊 here 利用嚮導生成。

9.2 第一步，測試系統環境

點擊 「Next」，進入第二步。

提示錯誤：缺乏config.php 文件，而且權限要設置爲666，可使用contrib目錄下的configure.sh 腳本生成。

須要在/var/www/html/loganalyzer/ 下建立config.php 文件，並設置其權限爲666。

[root@Redis loganalyzer-3.6.5]# cd /var/www/html/loganalyzer/
[root@Redis loganalyzer]# cp /usr/local/src/loganalyzer-3.6.5/contrib/configure.sh ./
[root@Redis loganalyzer]# chmod a+x configure.sh
[root@Redis loganalyzer]# ./configure.sh

作完上面的操做以後，執行 ReCheck 操做，config.php 文件可寫，點擊 Next 進入下一步。

9.3 第三步，基礎配置(再這裏必定要注意，確保你的機器能遠程鏈接到你的myql上，不然這裏會一直報錯）

在User Database Options 中，填入上面設置的參數，而後點擊 Next.

9.4 第四步，建立表

點擊 Next 開始建立表。

9.5 第五步，檢查SQL結果

9.6 第六步，建立管理用戶

9.7 第七步，建立第一個系統日誌source.

9.8 第八步，完成

10、測試

LogAnalyzer 首頁

點擊任何一條記錄，查看詳情。

查看Statistics

登陸測試

在Admin Center 裏能夠進行一些系統設置。

Rsyslog + LogAnalyzer 日誌服務器部署完畢。