注:所用服务器是centos6
首先关闭防火墙和selinux
[root@localhost ~]# systemctl stop firewalld
[root@localhost ~]# setenforce 0
一:开始配置服务端
1.服务器端安装LAMP环境
[root@localhost ~]# yum -y install httpd httpd-server httpd-devel mysql mysql-server mysql-devel php php-mysql php-gd php-fpm php-devel
2.服务并加入开机启动
[root@localhost ~]# service httpd start
[root@localhost ~]# chkconfig httpd on
[root@localhost ~]# chkconfig httpd --list
httpd 0:关闭 1:关闭 2:启用 3:启用 4:启用 5:启用 6:关闭
[root@localhost ~]# service mysqld start
[root@localhost ~]# chkconfig mysqld on
[root@localhost ~]# chkconfig mysqld --list
mysqld 0:关闭 1:关闭 2:启用 3:启用 4:启用 5:启用 6:关闭
3.设置php测试页面
[root@localhost ~]# vim /var/www/html/index.php
[root@localhost ~]# cat /var/www/html/index.php
<?php
phpinfo();
?>
二:服务端安装及配置
1.安装rsyslog已经rsyslog连接mysql的模块
[root@localhost ~]# mount /dev/sr0 /mnt/
[root@localhost ~]# rpm -ivh /mnt/Packages/rsyslog-5.8.10-12.el6.x86_64.rpm
[root@localhost ~]# rpm -ivh /mnt/Packages/rsyslog-mysql-5.8.10-10.el6_6.x86_64.rpm
2. 导入rsyslog-mysql数据库文件
[root@localhost ~]# cd /usr/share/doc/rsyslog-mysql-5.8.10/
[root@localhost rsyslog-mysql-5.8.10]# mysql -uroot < createDB.sql
3.查看刚导入的库
mysql> show databases;
+--------------------+
| Database |
+--------------------+
| information_schema |
| Syslog |
| mysql |
| test |
+--------------------+
4 rows in set (0.00 sec)
mysql> use Syslog
Reading table information for completion of table and column names
You can turn off this feature to get a quicker startup with -A
Database changed
mysql> show tables;
+------------------------+
| Tables_in_Syslog |
+------------------------+
| SystemEvents |
| SystemEventsProperties |
+------------------------+
4.创建rsyslog用户
mysql> grant all on Syslog.* to rsyslog@'localhost' identified by '123456';
Query OK, 0 rows affected (0.00 sec)
mysql> flush privileges;
Query OK, 0 rows affected (0.00 sec)
5.配置服务端支持rsyslog-mysql模块,并开启UDP服务端口获取网内其它linux系统日志
[root@localhost rsyslog-mysql-5.8.10]# vim /etc/rsyslog.conf
添加以下两行内容
$ModLoad ommysql
*.* :ommysql:localhost,Syslog,rsyslog,123456
(说明:localhost表示本地主机,Syslog为数据库名,rsyslog为数据库用户,123456位用户密码
)
开启相关日志模块
$ModLoad immark # immark为模块名,支持日志标记
$ModLoad imudp # imudp 为模块名,支持udp协议
$UDPServerRun 514 # 允许514端口接收使用UDP和TCP协议转发过来的日志
以下把注释删掉
$ModLoad immark # provides --MARK-- message capability
$ModLoad imudp
$UDPServerRun 514
$ModLoad imtcp
$InputTCPServerRun 514
扩展:UDP协议,中文名是用户数据报协议。在网络中与TCP协议一样用于处理数据包,是一种无连接的协议。在OSI模型中,在第四层-传输层,处于IP协议的上一层。
重启rsyslog服务
[root@localhost rsyslog-mysql-5.8.10]# service rsyslog restart
三:客户端配置
1 安装rsyslog
[root@localhost ~]# mount /dev/sr0 /mnt/
[root@localhost ~]# rpm -ivh /mnt/Packages/rsyslog-5.8.10-10.el6_6.x86_64.rpm
2 配置rsyslog客户端发送本地日志到服务器端
[root@localhost ~]# vim /etc/bashrc
文件底部添加一行,加入以下内容
export PROMPT_COMMAND='{ msg=$(history 1 | { read x y; echo $y; });logger "[euid=$(whoami)]":$(who am i):[`pwd`]"$msg"; }'
设置使其生效
[root@localhost ~]# source !$
source /etc/bashrc
四: 测试Rsyslog Server是否可以正常接收Client端日志
客户端:
[root@localhost ~]# service rsyslog restart
[root@localhost ~]# ls
anaconda-ks.cfg install.log.syslog 模板 图片 下载 桌面
install.log 公共的 视频 文档 音乐
[root@localhost ~]# cat /etc/passwd | grep root
root:x:0:0:root:/root:/bin/bash
operator:x:11:0:operator:/root:/sbin/nologin
[root@localhost ~]# cd /etc/
服务端:
查看是否有(Mar 23 15:12:10 localhost rsyslogd: [origin software=“rsyslogd” swVersion=“5.8.10” x-pid=“125168” x-info=“http://www.rsyslog.com”] start)的日志
[root@localhost ~]# tailf /var/log/messages
Mar 23 14:17:46 localhost rz[19712]: [root] loganalyzer-3.6.5.tar.gz/ZMODEM: 1046957 Bytes, 2816247 BPS
Mar 23 14:18:03 localhost rz[20390]: [root] loganalyzer-3.6.5.tar.gz/ZMODEM: 1046957 Bytes, 3870782 BPS
Mar 23 14:18:18 localhost rz[20755]: [root] rsyslog-5.8.10-12.el6.x86_64.rpm/ZMODEM: 665284 Bytes, 4191292 BPS
Mar 23 14:27:52 localhost rz[33655]: [root] rsyslog-mysql-5.8.10-12.el6.x86_64.rpm/ZMODEM: 21868 Bytes, 1806705 BPS
Mar 23 14:30:07 localhost rz[36843]: [root] rsyslog-mysql-5.8.10-12.el6.x86_64.rpm/ZMODEM: 21868 Bytes, 2742362 BPS
Mar 23 14:52:45 localhost auditd[1309]: Audit daemon rotating log files
Mar 23 15:12:09 localhost kernel: Kernel logging (proc) stopped.
Mar 23 15:12:09 localhost rsyslogd: [origin software="rsyslogd" swVersion="5.8.10" x-pid="1343" x-info="http://www.rsyslog.com"] exiting on signal 15.
Mar 23 15:12:10 localhost kernel: imklog 5.8.10, log source = /proc/kmsg started.
Mar 23 15:12:10 localhost rsyslogd: [origin software="rsyslogd" swVersion="5.8.10" x-pid="125168" x-info="http://www.rsyslog.com"] start
五:loganalyzer安装
[root@localhost ~]# wget http://download.adiscon.com/loganalyzer/loganalyzer-3.6.5.tar.gz
[root@localhost ~]# tar xzvf loganalyzer-3.6.5.tar.gz
[root@localhost ~]# cd loganalyzer-3.6.5
[root@localhost loganalyzer-3.6.5]# mkdir /var/www/html/loganalyzer
[root@localhost loganalyzer-3.6.5]# yum -y install rsync
[root@localhost loganalyzer-3.6.5]# rsync -a src/* /var/www/html/loganalyzer/
六: 在浏览器中安装Logantlyzer
浏览器中访问 192.168.1.70/loganalyzer
提示没有配置文件,点击here 下一步
第一步,测试系统环境
点击next,下一步
提示错误:缺少config.php文件,并且权限要设置为666,可以使用contrib目录下的configure.sh脚本生成。
查看configure.sh文件的内容
[root@localhost loganalyzer-3.6.5]# ls
ChangeLog contrib COPYING doc INSTALL src
[root@localhost loganalyzer-3.6.5]# cd contrib/
[root@localhost contrib]# ls
configure.sh secure.sh
[root@localhost contrib]# cat configure.sh
#!/bin/sh
touch config.php
chmod 666 config.php
需要在/var/www/html/loganalyzer/下创建config.php文件,并设置666权限
[root@localhost contrib]# touch /var/www/html/loganalyzer/config.php
[root@localhost contrib]# chmod 666 !$
chmod 666 /var/www/html/loganalyzer/config.php
[root@localhost contrib]# ll !$
ll /var/www/html/loganalyzer/config.php
-rw-rw-rw-. 1 root root 0 3月 23 16:54 /var/www/html/loganalyzer/config.php
操作完上面的,刷新页面执行Recheck,config.php文件可写,点击next进行下一步。
第三步:基础设置
第四:创建表
第五步:检查SQL结果
第六步:创建用户
第七:个系统日志source
第八步:完成
查看Loganalyzer首页
测试登录: