日志服务器
安装环境:【Centos6.4.x86_64 rhel6以上】
1、要求:一台Linux日志服务系统,一台防火墙,和一台主机Linux,要求日志服务器能够记录防火墙和主机产生的日志信息。
2、拓扑图:
3、具体操作:
(1)日志服务器的配置:
第一步:先给服务配置IP地址,按照拓扑图的要求进行配置,配置后可以查看IP地址:
[root@huangzhong ~]# ifconfig
eth0 Link encap:Ethernet HWaddr 00:0C:29:64:9E:E0
inet addr:192.168.2.1 Bcast:192.168.2.255 Mask:255.255.255.0
inet6 addr: fe80::20c:29ff:fe64:9ee0/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:6793 errors:0 dropped:0 overruns:0 frame:0
TX packets:4263 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:827423 (808.0 KiB) TX bytes:484248 (472.8 KiB)
第二步:查看服务器主机是否安装了syslog,查看命令如下:
[root@huangzhong ~]# rpm -qa |grep syslog
rsyslog-5.8.10-6.el6.x86_64
从上面可以看到已经安装了rsyslog,如果没有安装进行以下操作:
先把光驱挂载上去,然后到光驱下的安装包去查找syslog的安装包,具体操作如下:
[root@huangzhong ~]# mount /dev/cdrom /media/cdrom
mount: block device /dev/sr0 is write-protected, mounting read-only
[root@huangzhong ~]# cd /media/cdrom/Packages/
[root@huangzhong Packages]# ll |grep -i syslog
-r--r--r--. 3 root root 663768 Feb 24 2013 rsyslog-5.8.10-6.el6.x86_64.rpm
-r--r--r--. 2 root root 27212 Feb 24 2013 rsyslog-gnutls-5.8.10-6.el6.x86_64.rpm
-r--r--r--. 2 root root 28600 Feb 24 2013 rsyslog-gssapi-5.8.10-6.el6.x86_64.rpm
-r--r--r--. 2 root root 20628 Feb 24 2013 rsyslog-mysql-5.8.10-6.el6.x86_64.rpm
-r--r--r--. 2 root root 20352 Feb 24 2013 rsyslog-pgsql-5.8.10-6.el6.x86_64.rpm
-r--r--r--. 2 root root 21080 Feb 24 2013 rsyslog-relp-5.8.10-6.el6.x86_64.rpm
-r--r--r--. 2 root root 52540 Jul 3 2011 sblim-cmpi-syslog-0.8.0-1.el6.i686.rpm
从上面可以看到找到了rsyslog的安装包,然后使用下列命令安装上就可以了:
[root@huangzhong Packages]# yum --disablerepo=\* --enablerepo=c6-media install rsyslog-5.8.10-6.el6.x86_64.rpm
第三步:安装展示界面安装包loganalyzer
(1)首先下载最新的安装包loganalyzer,然后使用ftp工具把它移动到Linux系统文件目录下,操作如下:
(2)我们在安装loganalyzer前,首先把所需的安装和配置环境安装起来,这些环境需要到了http,mysql,php等具体操作如下:
[root@huangzhong ~]# yum --disablerepo=\* --enablerepo=c6-media install httpd mysql mysql-server php php-gd php-mysql
Loaded plugins: fastestmirror, refresh-packagekit
Loading mirror speeds from cached hostfile
* c6-media:
Setting up Install Process
Dependency Installed:
php-cli.x86_64 0:5.3.3-22.el6 php-common.x86_64 0:5.3.3-22.el6
php-pdo.x86_64 0:5.3.3-22.el6
Complete! //可以看出已经安装完成了
但是在把日志信息导入到数据库是还需要一个连接器这个就是rsyslog-mysql,因此在这里还要安装rsyslog-mysql,操作如下:
[root@huangzhong ~]# yum --disablerepo=\* --enablerepo=c6-media install rsyslog-mysql
安装完成后,查看安装文件中包含些什么:
[root@huangzhong ~]# rpm -ql rsyslog-mysql
/lib64/rsyslog/ommysql.so /这是一个输出模块
/usr/share/doc/rsyslog-mysql-5.8.10
/usr/share/doc/rsyslog-mysql-5.8.10/createDB.sql //创建数据库表
启动mysql:
[root@huangzhong ~]# service mysqld start
Starting mysqld: [ OK ]
[root@huangzhong ~]# chkconfig mysqld on
从上面可以看出服务已经开启了,可以连接一下看看:
[root@huangzhong ~]# mysql
Welcome to the MySQL monitor. Commands end with ; or \g.
Your MySQL connection id is 3
mysql> show databases;
+--------------------+
| Database |
+--------------------+
| information_schema |
| mysql |
| test |
+--------------------+
3 rows in set (0.00 sec)
上面是匿名访问,我们要使用管理员登录并使用密码:
[root@huangzhong ~]# mysqladmin -u root -p password '123'
Enter password:
[root@huangzhong ~]# mysql
ERROR 1045 (28000): Access denied for user 'root'@'localhost' (using password: NO)
然后把日志文件列表导入到数据库中使用一下命令:
[root@huangzhong ~]# mysql -u root -p </usr/share/doc/rsyslog-mysql-5.8.10/createDB.sql
Enter password:
[root@huangzhong ~]#
从上面可以看出已经导入,然后进入数据库查看数据库表:
[root@huangzhong ~]# mysql -u root -p
Enter password:
Welcome to the MySQL monitor. Commands end with ; or \g.
Your MySQL connection id is 8
mysql> show databases;
+--------------------+
| Database |
+--------------------+
| information_schema |
| Syslog |
| mysql |
| test |
+--------------------+
4 rows in set (0.00 sec)
mysql> use Syslog
Reading table information for completion of table and column names
You can turn off this feature to get a quicker startup with -A
Database changed
mysql> show tables;
+------------------------+
| Tables_in_Syslog |
+------------------------+
| SystemEvents |
| SystemEventsProperties |
+------------------------+
2 rows in set (0.00 sec)
从上面可以看出已经多出了一个数据库Syslog
(3)创建管理数据库Syslog的账号
mysql> grant all privileges on Syslog.* to rsyslog@localhost identified by '123456';
Query OK, 0 rows affected (0.00 sec)
从上面可以看出已经建立,还以进行查看一下:
mysql> select user,password from user;
+---------+-------------------------------------------+
| user | password |
+---------+-------------------------------------------+
| root | *23AE809DDACAF96AF0FD78ED04B6A265E05AA257 |
| root | |
| root | |
| | |
| rsyslog | *6BB4837EB74329105EE4568DDA7DC67ED2CA2AD9 |
+---------+-------------------------------------------+
6 rows in set (0.00 sec)
最后执行刷新一下就可以了,命令如下:
mysql> flush privileges;
Query OK, 0 rows affected (0.00 sec)
(4)进入文件/etc/rsyslog.conf目录下编辑该文件加载模块,具体操作如下:
[root@huangzhong ~]# vim /etc/rsyslog.conf
8 $ModLoad imuxsock # provides support for local system logging (e.g. via logge r command)
9 $ModLoad imklog # provides kernel logging support (previously done by rklog d)
10 $ModLoad ommysql # provides --MARK-- message capability
11 *.* :ommysql:localhost,Syslog,rsyslog,123456
12
13 # Provides UDP syslog reception
14 $ModLoad imudp
15 $UDPServerRun 514
16
17 # Provides TCP syslog reception
18 $ModLoad imtcp
19 $InputTCPServerRun 514
20
21 #### GLOBAL DIRECTIVES ####
上面蓝色为编辑部分,编辑完后保存退出。
(5)然后重启日志服务,查看日志信息,具体操作如下:
[root@huangzhong ~]# service rsyslog restart
Shutting down system logger: [ OK ]
Starting system logger: [ OK ]
[root@huangzhong ~]# tail -f /var/log/messages
Apr 14 08:21:59 huangzhong yum[4731]: Installed: php-mysql-5.3.3-22.el6.x86_64
Apr 14 08:21:59 huangzhong yum[4731]: Installed: php-gd-5.3.3-22.el6.x86_64
Apr 14 08:27:11 huangzhong yum[4757]: Installed: rsyslog-mysql-5.8.10-6.el6.x86_64
(6)启动httpd,在启动httpd时先进行编辑文件,具体操作如下:
[root@huangzhong ~]# vim /etc/httpd/conf/httpd.conf
进入后编辑一下蓝色部分
274 # redirections work in a sensible way.
275 #
276 ServerName www.example.com:80
编辑完后保存,然后启动httpd服务
[root@huangzhong ~]# service httpd start
Starting httpd: [ OK ]
[root@huangzhong ~]# chkconfig httpd on //永久启动
(7)loganalyzer所需的安装环境和服务都已配置和启动完成,接下来就是安装展示界面loganalyzer安装包:
第一步:找到loganalyzer安装包,然后解压安装包,具体操作如下:
root@huangzhong ~]# ll
total 298748
drwx------. 7 root root 4096 Apr 9 08:09 8192
-rw-r--r--. 1 root root 3482 Mar 29 01:58 install.log.syslog
-rw-r--r--. 1 root root 1045273 Apr 14 08:10 loganalyzer-3.6.3.tar.gz
蓝色就是安装包,接下来解压:
[root@huangzhong ~]# tar -zxvf loganalyzer-3.6.3.tar.gz
拆解到当前目录下,然后进入该目录查看安装文件:
[root@huangzhong ~]# cd loganalyzer-3.6.3
[root@huangzhong loganalyzer-3.6.3]# ll
total 104
-rw-rw-r--. 1 root root 35497 Feb 26 2013 COPYING
-rw-rw-r--. 1 root root 42974 Feb 26 2013 ChangeLog
-rw-rw-r--. 1 root root 8449 Feb 26 2013 INSTALL
drwxrwxr-x. 2 root root 4096 Feb 26 2013 contrib
drwxrwxr-x. 2 root root 4096 Feb 26 2013 doc
drwxrwxr-x. 14 root root 4096 Feb 26 2013 src
第二步:从上面可以看一个INSTALL文件,这是一个安装说明,打开说明按照上面进行安装。
打开INSTALL文件进行查看:
[root@huangzhong loganalyzer-3.6.3]# vim INSTALL
按照说明安装第一步进入src目录下把当前目录下的文件拷贝到/var/www/html/loganalyzer下,操作如下:
[root@huangzhong src]# cp -r . /var/www/html/loganalyzer
第三步:安装说明第二步执行,把contrib目录下的脚本拷贝到/var/www/html/loganalyzer 目录下:
[root@huangzhong loganalyzer-3.6.3]# cp -r contrib/* /var/www/html/loganalyzer/
然后进入该目录看看有没有这两个脚本
[root@huangzhong loganalyzer-3.6.3]# cd /var/www/html//loganalyzer/
[root@huangzhong loganalyzer]# ll *.sh
-rw-r--r--. 1 root root 49 Apr 14 09:56 configure.sh
-rw-r--r--. 1 root root 31 Apr 14 09:56 secure.sh
然后给这两个脚本可执行权限:
[root@huangzhong loganalyzer]# chmod a+x *.sh
最后执行 ./configure.sh,并查看产生的文件,操作如下:
[root@huangzhong loganalyzer]# ./configure.sh
[root@huangzhong loganalyzer]# ll config.php
-rw-rw-rw-. 1 root root 0 Apr 14 10:05 config.php
接下来要改变loganalyzer目录下文件的权限:
[root@huangzhong loganalyzer]# grep daemon /etc/passwd
daemon:x:2:2:daemon:/sbin:/sbin/nologin
haldaemon:x:68:68:HAL daemon:/:/sbin/nologin
[root@huangzhong loganalyzer]# chown -R daemon:daemon .
第四步:执行安装配置
具体操作如下图(图中IP地址是你配置的日志服务的地址):
上面显示配置文件丢失,其实没有你不用管,然后点击here就可以,然后出现如下图信息:
然后点击next进行下一步:
然后上面说你有一配置文件,不需修改接着点击next下一步,结果出现如下图:
上面会显示是否使用数据库这里点击Yes,然后会出现数据库相关信息,数据库名改为Syslog数据库管理者是你添加的管理用户,这里是rsyslog,密码是你设置管理用户的密码,这里密码是123456,修改完成后点击next进行下一步,结果如下图所示:
图上提示你是否开始创建表吗,是然后点击next进行下一步:
上面显示你成功的执行了23条语句,可以进入数据库进行查看一下,具体操作如下:
[root@huangzhong loganalyzer]# mysql -u root -p
Enter password:
Welcome to the MySQL monitor. Commands end with ; or \g.
Your MySQL connection id is 12
mysql> use Syslog;
Reading table information for completion of table and column names
You can turn off this feature to get a quicker startup with -A
Database changed
mysql> show tables;
+------------------------+
| Tables_in_Syslog |
+------------------------+
| SystemEvents |
| SystemEventsProperties |
| logcon_charts |
| logcon_config |
| logcon_dbmappings |
| logcon_fields |
| logcon_groupmembers |
| logcon_groups |
| logcon_savedreports |
| logcon_searches |
| logcon_sources |
| logcon_users |
| logcon_views |
+------------------------+
13 rows in set (0.00 sec)
从数据库中可以看到已经多出了十几个表了,说明已经成功执行了,接下来点击next进行下一步:
图上会显示让你创建一个主账号,你可以随便填写,接着点击next进行下一步:
图上显示的是数据来源,需要修改的是把数据来源类型改为数据库,然后会出现数据库类型操作,要把数据库的名改为Syslog,数据库的表改为SystemEvents(注意大小写),数据的管理员改为你添加的管理用户,这里是rsyslog,密码是你设置管理用户的密码,这里密码是123456,修改完成后点击next进行下一步,结果如下图所示:
从图上可以看出你已配置完成,然后点击next进行下一步
我们可以看到已安装配置成功了。
(2)配置Linux主机
配置Linux的主机的IP地址为192.168.2.101,配置完后查看结果如下所示:
[root@huangzhong ~]# ifconfig
eth1 Link encap:Ethernet HWaddr 00:0C:29:61:85:06
inet addr:192.168.2.100 Bcast:192.168.2.255 Mask:255.255.255.0
inet6 addr: fe80::20c:29ff:fe61:8506/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:40 errors:0 dropped:0 overruns:0 frame:0
TX packets:39 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:4655 (4.5 KiB) TX bytes:5011 (4.8 KiB)
编辑本机的日志文件,使其本机的日志指向日志服务器,让日志服务器记录本机的日志信息,具体操作如下:
[root@server1 ~]# vim /etc/rsyslog.conf
10 #$ModLoad immark # provides --MARK-- message capability
11 *.* @192.168.2.1
12 # Provides UDP syslog reception
13 $ModLoad imudp
14 $UDPServerRun 514
蓝色部分为编辑部分,其中IP地址是日志服务器的IP地址
4、验证
在Linux主机上安装httpd并启动,查看日志信息如下所示:
转载于:https://blog.51cto.com/tyjhz/1396049
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
