日志对于安全来说,非常重要,他记录了系统每天发生的各种各样的事情,你可以通过他来检查错误发生的原因,或者受到***时***者留下的痕迹。日志主要的功能有:审计和监测。他还可以实时的监测系统状态,监测和追踪侵入者等等。


一、日志服务器的搭建

分析rsyslog产生的日志的简单过程:
         一、把日志记入mysql数据库
         二、使用loganalyzer分析数据库信息;


1、安装rsyslog

[root@station34 ~]# # yum -y install httpd php mysql mysql-devel php-mysql

已经安装的话就不要安装了


[root@station34 ~]# # yum -y install rsyslog rsyslog-mysql

注:rsyslog-mysql为rsyslog将日志传送到mysql数据库的一个模块,这里必须安装


2、导入数据库文件

[root@station34 ~]# cd /usr/share/doc/rsyslog-mysql-5.8.10/
[root@station34 rsyslog-mysql-5.8.10]# mysql -uroot -padmin < createDB.sql

注:如果数据库设置了密码就要采用-u -p的方式来登陆实现对createDB.sql文件的导入

createDB.sql的作用就是创建了Syslog库并在该库中创建了两张空表SystemEvents和SystemEventsProperties


给用户授权:

mysql> grant all on Syslog.* to 'cw'@'localhost' identified by 'admin';
mysql> flush privileges;


3、配置/etc/rsyslog.conf

配置服务端支持rsyslog-mysql模块,并开启UDP服务端口获取网内其他LINUX系统日志

[root@station34 ~]# vim /etc/rsyslog.conf

wKiom1M1NWaiX2zgAAFhzD-gUnE034.jpg

注:$ModLoad ommmysql 必须定义在Module一段中;


添加此语句

*.*                :ommysql:localhost,Syslog,cw,admin

注:localhost表示本地主机,Syslog为数据库名,cw为数据库的用户,admin为该用户密码

wKioL1M1Nn7SXSdNAAGnaY9jK38388.jpg


4、安装loganalyzer

[root@station34 ~]# tar xf loganalyzer-3.6.4.tar.gz
[root@station34 ~]# cd loganalyzer-3.6.4
[root@station34 loganalyzer-3.6.4]# mv src/* /www/a/syslog/
[root@station34 loganalyzer-3.6.4]# mv contrib/* /www/a/syslog/
[root@station34 loganalyzer-3.6.4]# chmod u+x /www/a/syslog/*.sh
[root@station34 syslog]#./configure.sh
[root@station34 syslog]# ./secure.sh
[root@station34 syslog]# chmod 666 config.php
[root@station34 syslog]# chown -R daemon.daemon *

注:/www/a为我的虚拟主机的站点目录,syslog目录没有则自己创建


在浏览器输入网址,进入安装向导

http://www.a.com/syslog

1.提示没有配置文件,点击here利用向导生成

wKioL1M1OWeQ4FulAACrj1TqGVc748.jpg


wKioL1M1O9SxwzipAAIUh50TmdA799.jpg

wKiom1M1PACDKnF6AAJP3R33JrM782.jpg

wKiom1M1PAWwygFdAAM3U2JLuEM396.jpg

wKiom1M1PAzCU5gkAANZVf9v2kc165.jpg

注:数据库设置页面里的信息根据自己情况设置


配置成功界面,可以收到日志数据。

wKiom1M1POLzfDlyAAwJNDDHyaQ230.jpg


至此,日志服务器已经配置成功,可以通过此服务来分析日志了!