前期部署lamp环境 ,下载rsyslog+loganalyzer+evtsys

log服务器 CentOS 5.6  32位  ip:192.168.1.110

yum -y install httpd* mysql* php php-mysql php-common php-gd php-mbstring php-mcrypt php-devel php-xml gd*

整合Apache与PHP及系统初化配置

vi /usr/local/apache/conf/httpd.conf

添加:

AddType application/x-httpd-php .php

AddType application/x-httpd-php-source .phps 

找到:

   <IfModule dir_module>

        DirectoryIndex index.html index.htm index.php

vi /var/www/html/phpinfo.php 

 

<?php

phpinfo();

?>

 

安装rsyslog 

rsyslog-5.9.0.tar.gz

cd rsyslog-5.9.0

./configure --enable-mysql

make && make install

ln -s /usr/local/sbin/rsyslogd /sbin/rsyslogd

cp rsyslog.conf /etc 

vim /etc/rsyslog.conf   在下面3行下添加

$ModLoad immark   # provides --MARK-- message capability 

$ModLoad imuxsock # provides support for local system logging (e.g. via logger command) 

$ModLoad imklog   # kernel logging (formerly provided by rklogd) 

=====需要添加的2行==== 

$ModLoad ommysql 

*.*       :ommysql:localhost,Syslog,root,1234

=====去掉下面2行的注释,主要是接收客户的日志==== 

$ModLoad imudp.so  # provides UDP syslog reception 

$UDPServerRun 514 # start a UDP syslog server at standard port 514 

保存退出,开启防火墙的UDP 514端口,重启防火墙

==================================================================================

解释下这句话的含义:

*.*       :ommysql:localhost,Syslog,root,1234

Syslog 是数据中database-name 

root 是database-userid 

1234 是root用户登录mysql的密码

该行的格式

*.*       :ommysql:database-server,database-name,database-userid,database-password

同样要注意的是database-name 必须和/root/rsyslog-5.9.0/plugins/ommysql/creatDB.sql 中的相同

==================================================================================

建立rsyslog启动脚本

cp -rp /etc/init.d/syslog /etc/init.d/rsyslog

sed -i 's/syslog/rsyslog/g' /etc/init.d/rsyslog 

=====停止自带的syslog日志服务==== 

service syslog stop 

导入数据库

cd /root/syslog/rsyslog-5.9.0/plugins/ommysql

mysql -uroot -p <createDB.sql

密码:

启动rsyslog 

service rsyslog start 

检查数据库是否有相应数据

mysql -uroot -p

use Syslog;

select * from SystemEvents;

如果有数据,则表示成功

创建syslog用户访问Syslog

grant all on Syslog.* to syslog@'localhost' identified by 'syslog'; 

flush privileges;    

密码是syslog

 

安装loganalyzer

tar zxvf loganalyzer-3.2.1.tar.gz

mkdir /var/www/html/syslog

cd /root/loganalyzer-3.2.1/src

cp -r * /var/www/html/syslog

cd /root/loganalyzer-3.2.1/contrib

cp * /var/www/html/syslog

cd /var/www/html/syslog

chmod 755 *.sh

./configure.sh

./secure.sh

chmod 666 config.php

chown -R daemon.daemon * 

登录web安装,http://192.168.1.110/syslog  

这里说注意点,在按步骤一步步点下去的时候,一定要注意数据库名字为Syslog,表名称为SystemEvents(注意大小写)

 

linux客户端部署:

vim /etc/syslog.conf 

在最后面添加:*.*   @192.168.1.110

保存退出,重启syslog服务

service syslog restart 

此时在服务器上就可以看到相关服务器的日志信息了

 

windows客户端部署:

evtsys下载地址:http://code.google.com/p/eventlog-to-syslog/;选择对应系统版本的文件

解压下载好的evtsys,复制所有文件到system32文件夹下(64位操作系统也是相同目录)

进入system32下   cd c:\windows\system32

安装evtsys为服务,指定日志服务器地址(其中192.168.1.110为日志服务器地址)  evtsys.exe -i -h 192.168.1.110

手工启动服务, 或者使用命令:net start "eventlog to syslog"启动服务

如果多机器部署的话,可以将上述三个命令写到批处理中自动执行