rsyslog+loganalyzer+evtsys

前期部署lamp環境 ,下載rsyslog+loganalyzer+evtsys

log服務器 CentOS 5.6  32位  ip：192.168.1.110

yum -y install httpd* mysql* php php-mysql php-common php-gd php-mbstring php-mcrypt php-devel php-xml gd*

整合Apache與PHP及系統初化配置

vi /usr/local/apache/conf/httpd.conf

添加：

AddType application/x-httpd-php .php

AddType application/x-httpd-php-source .phps 

找到：

   <IfModule dir_module>

        DirectoryIndex index.html index.htm index.php

vi /var/www/html/phpinfo.php 

 

<?php

phpinfo();

?>

 

安裝rsyslog 

rsyslog-5.9.0.tar.gz

cd rsyslog-5.9.0

./configure --enable-mysql

make && make install

ln -s /usr/local/sbin/rsyslogd /sbin/rsyslogd

cp rsyslog.conf /etc 

vim /etc/rsyslog.conf   在下面3行下添加

$ModLoad immark   # provides --MARK-- message capability 

$ModLoad imuxsock # provides support for local system logging (e.g. via logger command) 

$ModLoad imklog   # kernel logging (formerly provided by rklogd) 

=====須要添加的2行==== 

$ModLoad ommysql 

*.*       :ommysql:localhost,Syslog,root,1234

=====去掉下面2行的註釋，主要是接收客戶的日誌==== 

$ModLoad imudp.so  # provides UDP syslog reception 

$UDPServerRun 514 # start a UDP syslog server at standard port 514 

保存退出，開啓防火牆的UDP 514端口，重啓防火牆

==================================================================================

解釋下這句話的含義：

*.*       :ommysql:localhost,Syslog,root,1234

Syslog 是數據中database-name 

root 是database-userid 

1234 是root用戶登陸mysql的密碼

該行的格式

*.*       :ommysql:database-server,database-name,database-userid,database-password

一樣要注意的是database-name 必須和/root/rsyslog-5.9.0/plugins/ommysql/creatDB.sql 中的相同

==================================================================================

創建rsyslog啓動腳本

cp -rp /etc/init.d/syslog /etc/init.d/rsyslog

sed -i 's/syslog/rsyslog/g' /etc/init.d/rsyslog 

=====中止自帶的syslog日誌服務==== 

service syslog stop 

導入數據庫

cd /root/syslog/rsyslog-5.9.0/plugins/ommysql

mysql -uroot -p <createDB.sql

密碼：

啓動rsyslog 

service rsyslog start 

檢查數據庫是否有相應數據

mysql -uroot -p

use Syslog;

select * from SystemEvents;

若是有數據，則表示成功

建立syslog用戶訪問Syslog

grant all on Syslog.* to syslog@'localhost' identified by 'syslog'; 

flush privileges;    

密碼是syslog

 

安裝loganalyzer

tar zxvf loganalyzer-3.2.1.tar.gz

mkdir /var/www/html/syslog

cd /root/loganalyzer-3.2.1/src

cp -r * /var/www/html/syslog

cd /root/loganalyzer-3.2.1/contrib

cp * /var/www/html/syslog

cd /var/www/html/syslog

chmod 755 *.sh

./configure.sh

./secure.sh

chmod 666 config.php

chown -R daemon.daemon * 

登陸web安裝,http://192.168.1.110/syslog  

這裏說注意點，在按步驟一步步點下去的時候，必定要注意數據庫名字爲Syslog，表名稱爲SystemEvents（注意大小寫）

 

linux客戶端部署：

vim /etc/syslog.conf 

在最後面添加：*.*   @192.168.1.110

保存退出，重啓syslog服務

service syslog restart 

此時在服務器上就能夠看到相關服務器的日誌信息了

 

windows客戶端部署：

evtsys下載地址：http://code.google.com/p/eventlog-to-syslog/；選擇對應系統版本的文件

解壓下載好的evtsys，複製全部文件到system32文件夾下（64位操做系統也是相同目錄）

進入system32下   cd c:\windows\system32

安裝evtsys爲服務，指定日誌服務器地址（其中192.168.1.110爲日誌服務器地址）  evtsys.exe -i -h 192.168.1.110

手工啓動服務, 或者使用命令：net start "eventlog to syslog"啓動服務

若是多機器部署的話，能夠將上述三個命令寫到批處理中自動執行