centos rsyslog mysql_Centos7之Rsyslog服务器部署

一、目标

centos7平台下部署Rsyslog服务器监视linux端、windows端、juniper SSG 520

二、平台

[root@kahn ~]# cat /etc/redhat-release

CentOS Linux release 7.6.1810 (Core)

[root@kahn ~]# rpm -qa |grep rsyslog

rsyslog-8.24.0-34.el7.x86_64

三、解析

1.rsyslog既可以当服务器，又可以当客户端。

2.rsyslog的主配置文件/etc/rsyslog.conf

四、Centos7服务器上部署rsyslog服务器

1.查看本机是否安装了rsyslog服务？(可能这东西是默认安装上的)

我的版本是rsyslog-8.24.0-34.el7.x86_64

如果你的系统上没装，那就装一下rsyslog(安装方法百度一下，我想应该会很简单)

执行命令--->rpm -qa |grep rsyslog

2.启动rsyslog服务

执行命令--->systemctl start rsyslog

3.查看rsyslog服务的状态

执行命令--->systemctl status rsyslog

4.编辑rsyslog主配置文件

执行命令--->vim /etc/rsyslog.conf

并将下面几行配置的注释符号#去掉。

$ModLoad imklog

$ModLoad immark

$ModLoad imudp

$UDPServerRun 514

$ModLoad imtcp

$InputTCPServerRun 514

最后保存退出

5.重启rsyslog服务器

执行命令--->systemctl restart rsyslog

6.关闭centos防火墙(生产环境不建议这么玩，可单独开放udp/tcp的514端口即可)

执行命令--->systemctl stop firewalld

7.简单介绍一下rsyslog.conf配置文件的套路(还是放在下面介绍吧，今天重感冒炒鸡难受，为了更新博客就忍了)

没错，至此一个简单的rsyslog服务器就安装配置完成了。此时的rsyslog会存放各种日志到/var/log/下，一般是/var/log/message文件中存放日志。

五、Centos7服务器上部署rsyslog客户端(将centos的syslog日志发送到Rsyslog服务器上)

1.同服务器端一样先看看是否安装了rsyslog软件

2.修改rsyslog配置文件，将配置文件中的rsyslog的服务器地址改成上面的那台服务器

第一行是原有的，给复制下来一行，然后将原有的注释掉，别问我为啥这么干(长的帅的人都这么做)

#*.info;mail.none;authpriv.none;cron.none /var/log/messages *.info;mail.none;authpriv.none;cron.none @192.168.0.47

其实就是将#去掉，然后后面的日志路径由原来的 /var/log/messages 改成存放到@192.168.0.47上去，@必须有哈。 再解释下， /var/log/messages 改成存放到@192.168.0.47。说白了就是本机的日志原来就是存放在messages文件中，现在改成了远程主机0.47

3.重启客户端的rsyslog服务

执行命令--->systemctl restart rsyslog

搞定了，到此为止，在服务器端使用tail /var/log/messages 就能看到由客户端到rsyslog服务器端的日志了。

六、配置Juniper SSG 520发送syslog日志到Rsyslog服务器

1.登录juniper SSG 520，依次点开Configuration-----Report Settings-----Syslog

Enable syslog messages ----> 启用juniper的syslog服务

Source interface ethernet0/0 ----> 设定从哪个端口发送syslog日志到Rsyslog服务器

Enable ---->启用本条syslog设定

IP / Hostname ---->设定rsyslog服务器的ip地址

Port ---->设定rsyslog服务器的端口，默认就是514

Security Facility ---->这是设置日志等级

Facility ---->不知道这是啥，自己有时间再尝试

Event Log ---->发送事件日志到rsyslog服务器

Traffic Log ---->发送流量日志到rsyslog服务器

TCP ---->这里我猜是，更改juniper发送日志时使用tcp协议，不建议选这一项。

Apply ---->应用配置

Apply and Reset connections ---->不知道这是啥，如果rsyslog服务器端收不到日志，那就回来再点这货

就这么简单，此时去rsyslog服务器端去 tail /var/log/messages几次就能看到juniper ssg-520传过来的日志了。

七、配置Windows发送syslog日志到Rsyslog服务器

1.下载rsyslog agent for windows软件

https: //download.adiscon.com / rsyslogwa. exe

2.安装rsyslog的agent for windows 软件

这个agent程序貌似支持全系列windows os

建议右键单击“以管理员身份运行”去安装它。然后一路下一步即可。

3.从开始菜单找到Rsyslog/RSyslog windows Agent Configuration

4.添加syslog服务器配置信息到windows上

依次点击【Rsyslog windows agent configuration client】的RuleSets---Default RuleSet---ForwardSyslog---Actions---Rsyslog

在【Syslog Target Options】选项卡里选use single syslog server with optional backup server

然后在syslog server文本框里输入上你的Rsyslog服务器的ip地址:我的是192.168.0.47

syslog Port:默认的是514

然后点一下【Syslog Message Options】选项卡里

选中Use RFC 5424 processing (recommended)

在Output Encoding:选[Unicode (UTF8)],并勾选Include UTF8 BOM in message (如果不选这里，那么Rsyslog服务器收到的中文就会是乱码)

再点上面的confirm保存配置。

最后点顶部的菜单【Start】，开始发送日志。

截一段在Rsyslog服务器端收到的windows日志tac /var/log/messages |grep pc2602-PC |less

八、扩展部分

1.解读rsyslog的配置文件/etc/rsyslog.conf(百度去查rsyslog.conf比我弄的详细的多)

$ModLoad imuxsock 提供对本地系统日志记录的支持(例如通过logger命令)；

$ModLoad imjournal 提供对systemd日志的访问；

$ModLoad imklog 读取内核消息(从journald读取相同的消息)；

$ModLoad immark 提供—标记—消息功能；

$ModLoad imudp 开启rsyslog服务器并使用UDP协议接收日志；

$UDPServerRun 514 使用UDP接收客户端发来的日志的时候使用本地的UDP514端口接收；

$ModLoad imtcp 开启rsyslog服务器并使用TCP协议接收日志；

$InputTCPServerRun 514 当使用TCP接收客户端发来的日志时使用本地的TCP514端口接收；

定义日志级别，*.info代表所有消息，用分号分割后面的级别设置，mail.none代表忽略邮件类的info类消息，/var/log/messages代表日志存放在本地的messages文件里。倘若本机是客户端的话，那么可以将这个路径改为@192.168.0.47，@必须有，后面跟远程rsyslog的ip地址即可。

*.info;mail.none;authpriv.none;cron.none /var/log/messages

authpriv.* /var/log/secure 记录ssh日志到/var/log/secure文件中

mail.* -/var/log/maillog 记录邮件日志，日志路径前加减号“-”代表异步存储日志，不是实时存储。因为邮件日志非常多，实时存储到磁盘的话IO会吃不消

2.将syslog日志从记录在/var/log/messages更改存储到mysql数据库

2-1.安装mysql数据库(略过，自行百度)，

2-2.看本机的数据库是否启用。确保数据库已经启动。

执行命令--->ss -ntl |grep :3306

或 rpm -q mariadb

2-3.查看yum仓库里关于rsyslog的软件,(此步可略过)

执行命令--->yum list all rsyslog*

2-4.安装rsyslog连接mysql或mariaDB的驱动

执行命令--->yum install rsyslog-mysql -y

2-5.查看刚才安装了关于mysql的哪些东西

[root@com47 ~]# rpm -ql rsyslog-mysql x输出：/usr/lib64/rsyslog/ommysql.so x输出：/usr/share/doc/rsyslog-8.24.0/mysql-createDB.sql

2-6.看一下刚才安装的一个mysql-createDB.sql文件。这是个sql脚本要创建rsyslog所需要的数据库和表。从结果中可以看出，Rsyslog默认时候用的数据库名叫【Syslog】。

执行命令--->head /usr/share/doc/rsyslog-8.24.0/mysql-createDB.sql

2-7.我觉得吧，因为我们要手机的日志有中文的，还是自己创建一个utf8的数据库拉倒。

直接执行下面的命令去创建数据库，将你的数据库和密码换上去就行了(root是用户，xpwd123是密码)执行命令--->mysql -uroot -pxpwd123 -e "CREATE DATABASE IF NOT EXISTS Syslog DEFAULT CHARSET utf8 COLLATE utf8_general_ci;"

2-8.创建mysql用户(创建给rsyslog服务器用的数据库登录账号syslog,密码是xpwd456)

执行命令--->mysql -uroot -pxpwd123 -e "GRANT ALL PRIVILEGES ON Syslog.* TO 'syslog'@'%' IDENTIFIED BY 'xpwd456';"

再刷新一下权限表

执行命令--->mysql -uroot -pxpwd123 -e "FLUSH PRIVILEGES;"

2-9.导入rsyslog的数据库脚本/usr/share/doc/rsyslog-8.24.0/mysql-createDB.sql

执行命令--->mysql -uroot -pxpwd123 < /usr/share/doc/rsyslog-8.24.0/mysql-createDB.sql

Duang。报错了ERROR 1007 (HY000) at line 1: Can't create database 'Syslog'; database exists。说是数据库存在了。不能创建。那好办，把数据库脚本的第一行给删掉vim /usr/share/doc/rsyslog-8.24.0/mysql-createDB.sql ，删掉第一行并保存，再执行一次mysql -uroot -pxpwd123 < /usr/share/doc/rsyslog-8.24.0/mysql-createDB.sql，这里看不懂的朋友可以略过2-7步骤从而就不会报错。

2-10.查看数据库导入的结果

此时在数据库Syslog中就出现了两个表SystemEvents和SystemEventsProperties

2-11.设置rsyslog服务器的配置文件，让其支持存储日志到mysql数据库

执行命令--->vim /etc/rsyslog.conf

2-11-1.在modules模块下【#### MODULES ####】添加一行$ModLoad ommysql，启用rsyslog对mysql引擎的支持

$ModLoad ommysql

2-11-2.修改*.info;mail.none;authpriv.none;cron.none /var/log/messages部分的存储路径，即改为*.info;mail.none;authpriv.none;cron.none :ommysql:127.0.0.1,Syslog,syslog,xpwd456。

下面是的代码是在一行上：

*.info;mail.none;authpriv.none;cron.none :ommysql:127.0.0.1,Syslog,syslog,xpwd456

保存退出配置文件。

2-12.重启服务器端的rsyslog服务

执行命令--->systemctl restart rsyslog

2-13.赶紧检验结果吧

还是将密码xpwd123换成你自己的mysql的root密码，或者用syslog身份登录也行 mysql -uroot -pxpwd123 -e "select * from Syslog.SystemEvents"

全文结束！