安裝rsyslog
rpm -qa rsyslog #CentOS7默認會安裝rsyslogyum install rsyslog-MySQL -y #rsyslog使用此模塊將數(shù)據(jù)傳入MySQL數(shù)據(jù)庫,必須安裝導入rsyslog-mysql 數(shù)據(jù)庫文件
導入數(shù)據(jù)庫
# cd /usr/share/doc/rsyslog-7.4.7/# mysql -uroot -p<mysql-createDB.sql# Enter passWord:設(shè)置用戶
# mysql -uroot –pmysql> grant all on Syslog.* to rsyslog@localhost identified by '123456';mysql> flush PRivileges;mysql> exit導入數(shù)據(jù)庫操作創(chuàng)建了Syslog 庫并在該庫中創(chuàng)建了兩張空表SystemEvents 和SystemEventsProperties。
設(shè)置文件
# vi /etc/rsyslog.conf #按如下進行更改 #### MODULES #### $Modload ommysql $template MySQLInsert,"insert into SystemEvents (Message, Facility, FromHost,Priority, DeviceReportedTime, ReceivedAt, InfoUnitID, SysLogTag) values ('%msg%', %syslogfacility%, '%fromhost-ip%', %syslogpriority%, '%timereported:::date-mysql%', '%timegenerated:::date-mysql%', %iut%, '%syslogtag%')",SQL*.* :ommysql:localhost,Syslog,rsyslog,123456;MySQLInsert ##注意我使用了%fromhost-ip%,而不是%HOSTNAME%#localhost 表示本地主機,Syslog 為數(shù)據(jù)庫名,rsyslog 為數(shù)據(jù)庫的用戶,MyNewPass4!為該用戶密碼。 $ModLoad immark # immark是模塊名,支持日志標記 $ModLoad imudp # imupd是模塊名,支持udp協(xié)議 $UDPServerRun 514 #允許514端口接收使用UDP和TCP協(xié)議轉(zhuǎn)發(fā)過來的日志網(wǎng)絡設(shè)備要配置
服務端修改$ModLoad ommysqllocal4.* :ommysql:localhost,Syslog,rsyslog,123456;MySQLInsert 注意我是local4來接受遠程的syslog在交換機上的配置:華為的:info-center loGhost 1.1.1.1 facility local4 //local4要和rsyslog.conf 里配置的一致,1.1.1.1為你的syslog服務器地址記得要改啊 info-center loghost source Vlan-interface 11//你的網(wǎng)管VLAN接口,要改的info-center source SHELL channel loghost log level notifications//我只想要操作日志,其他的不關(guān)心,如果你想要更多,請更改思科的:logging 1.1.1.1(配置 syslog服務器地址,可以定義多個) service timestamps debug datetime localtime show-timezone msecservice timestamps log datetime localtime show-timezone msec (syslog 信息包含時間戳)logging facility local4 (定義 facility 級別,缺省為local7,可以設(shè)置從 local0 到 local7)logging trap warning (定義severity 級別缺省為 infor 級別)到這里,一切基本ok了,
到你的mysql服務器是看看:
select * from SystemEvents
應該已經(jīng)記錄有日志了
配置服務器客戶端
7.1 檢查客戶端有沒有安裝rsyslog# rpm -qa rsyslog7.2 配置rsyslog客戶端發(fā)送本地日志到服務端# vi /etc/rsyslog.conf *.* @192.168.253.160 #在文件結(jié)尾處增加此內(nèi)容7.3 重啟rsyslog服務# systemctl restart rsyslog.service7.4 編輯/etc/bashrc,將客戶端執(zhí)行的所有命令寫入系統(tǒng)日志/var/log/messages中# vi /etc/bashrc export PROMPT_COMMAND='{ msg=$(history 1 | { read x y; echo $y; });logger "[euid=$(whoami)]":$(who am i):[`pwd`]"$msg"; }' #在結(jié)尾處加上此內(nèi)容設(shè)置使其生效# source /etc/bashrc配置 顯示host ,ip
$template MySQLInsert,"insert into SystemEvents (Message, Facility, FromHost,Priority, DeviceReportedTime, ReceivedAt, InfoUnitID, SysLogTag,processid) values ('%msg%', %syslogfacility%, '%HOSTNAME%', %syslogpriority%, '%timereported:::date-mysql%', '%timegenerated:::date-mysql%', %iut%, '%syslogtag%', '%fromhost-ip%')",SQL*.* :ommysql:localhost,Syslog,rsyslog,123456;MySQLInsert用processid 顯示ip 然后再Admin center->FIELD—>processid->displayname 修改為IP
安裝LogAnalyzer
wget http://download.adiscon.com/loganalyzer/loganalyzer-3.6.6.tar.gztar zxf loganalyzer-3.6.5.tar.gzcd loganalyzer-3.6.5mkdir -p /var/www/html/loganalyzercp -a src/* /var/www/html/loganalyzer/cp -a contrib/* /var/www/html/loganalyzer/在瀏覽器安裝向?qū)е邪惭bLogAnalyzer
打開瀏覽器訪問:http://192.168.1.107/loganalyzer/
提示沒有配置文件,點擊 here 利用向?qū)伞?/p>
第一步,測試系統(tǒng)環(huán)境
點擊 “Next”,進入第二步。
提示錯誤:缺少config.php 文件,并且權(quán)限要設(shè)置為666,可以使用contrib目錄下的configure.sh 腳本生成。
查看configure.sh 文件內(nèi)容
需要在/var/www/html/loganalyzer/ 下創(chuàng)建config.php 文件,并設(shè)置其權(quán)限為666。
# touch /var/www/html/loganalyzer/config.php# chmod 666 /var/www/html/loganalyzer/config.php做完上面的操作之后,執(zhí)行 ReCheck 操作,config.php 文件可寫,點擊 Next 進入下一步。
第三步,基礎(chǔ)配置
在User Database Options 中,填入上面設(shè)置的參數(shù),然后點擊 Next.
第四步,創(chuàng)建表
點擊 Next 開始創(chuàng)建表。
第五步,檢查SQL結(jié)果
第六步,創(chuàng)建管理用戶
第七步,創(chuàng)建第一個系統(tǒng)日志source.
注意SystemEvents大小寫
第八步,完成
測試
LogAnalyzer 首頁
點擊任何一條記錄,查看詳情。
查看Statistics
登錄測試
在Admin Center 里可以進行一些系統(tǒng)設(shè)置。
日志級別
在配置前,我們先來了解下日志的level: local0~local7 16~23保留為本地使用 emerg 0 系統(tǒng)不可用 alert 1 必須馬上采取行動的事件 crit 2 關(guān)鍵的事件 err 3 錯誤事件 warning 4 警告事件 notice 5 普通但重要的事件 info 6 有用的信息 debug 7 調(diào)試信息
