rsyslog+mariadb+loganalyzer实现日志服务器搭建
一、概述
Linux的日志记录了用户在系统上一切操作,包括系统自身运作产生的日志,这些日志是应使用者了解服务器的情况最好的资料。Rsyslog 是系统的一部分,能够实时的写日志,并且还可以将日志选择性的发送到远程日志服务器。
rsyslog的特性:
- 日志统一,集中式管理
- 多线程
- 强大的过滤功能,能实现过滤日志信息中的任何部分内容
- 自定义输出格式
LogAnalyzer 是一款syslog日志和其他网络事件数据的Web前端。它提供了对日志的简单浏览、搜索、基本分析和一些图表报告的功能。LogAnalyzer 获取客户端日志会有两种保存模式,一种是直接读取客户端/var/log/目录下的日志并保存到服务端该目录下,一种是读取后保存到日志服务器数据库中,本次试验采用将日志保存到数据库的方式,在企业规模不大
,机器数量不多
的情况下,LogAnalyzer 是一个不错的选择。
LogAnalyzer 采用php开发,所以日志服务器需要php的运行环境,本文采用LAMP。
二、配置文件
rsyslog程序环境:
- rsyslog的程序包为:rsyslog,为系统自带,无需安装
- 其主要配置文件为:/etc/rsyslog.conf和/etc/rsyslog.d/*.conf
- 主程序:/usr/sbin/rsyslogd
- CentOS 6:service rsyslogs {start |stop |restart | status}
- CentOS 7:/usr/lib/systemd/system/rsyslog.service
配置文件格式由三部分组成:
- MODULES:模块配置
- GLOBAL DIRECTIVES:全局配置
- RULES:日志记录相关的配置
RULES
部分配置介绍如下:
配置格式:facility.priority target
facility
*:所有的facility;
f1,f2,f3,...:指定的facility列表;
priority:
*:所有级别;
none:没有级别;
PRIORITY:指定级别(含)以上的所有级别;
=PRIORITY:仅记录指定级别的日志信息;
target:
文件:将日志信息记录到指定的文件中;文件路径前的-表示异步写入;
用户:将日志事件通知给指定的用户;
日志服务器:@host,把日志通过网络送往指定的服务器记录,而非由本地记录;
管道:| COMMAND
如果要配置rsyslog成为日志服务器,需要在MODULES部分加载TCP或UDP模块:
#### MODULES ####
# Provides UDP syslog reception
$Modload imudp
$UDPServerRun 514
# Provides TCP syslog reception
$ModLoad imtcp
$InputTCPServerRun 514
其他日志文件:
/var/log/secure:系统安装日志,应该周期性分析;
/var/log/btmp:当前系统上,用户的失败尝试登陆相关的日志信息,lastb命令进行查看;
/var/log/wtmp:当前系统上,用户正常登陆系统的相关日志信息,last命令可以查看;
lastlog命令:用于查看当前系统上每一个用户最近一次的登陆信息;
/var/log/messages:系统日志信息;
/var/log/dmesg:系统引导过程中的日志信息;
可以使用文本查看工具查看;
也可以使用专用命令dmesg查看;
下面开始我们的安装
三、安装和配置
配置rsyslog将日志记录于MySQL中:
(1)准备MySQL Server:yum install mariadb
(2)在在mysql server上授权rsyslog能连接至当前服务器;
MariaDB [(none)]> GRANT ALL ON Syslog.* TO 'loguser'@'127.0.0.1' IDENTIFIED BY 'admin@123';
注意:我的实验环境是rsyslog和mysql在同一台机器上面,所以使用的地址是127.0.0.1
(3)安装rsyslog 连接MySQL数据库的模块;
yum install rsyslog-mysql
(4)为rsyslog创建数据库及表
mysql -uloguser -hlocalhost -pmagedu</usr/share/doc/rsyslog-7.4.7/mysql-createDB.sql
查看生成的表:
MariaDB [(none)]> use Syslog;
Reading table information for completion of table and column names
You can turn off this feature to get a quicker startup with -A
Database changed
MariaDB [Syslog]> show tables;
+------------------------+
| Tables_in_Syslog |
+------------------------+
| SystemEvents |
| SystemEventsProperties |
+------------------------+
2 rows in set (0.00 sec)
MariaDB [Syslog]>
(5)配置rsyslog将日志保存到mysql中;
#### MODULES ####
$ModLoad ommysql
#### RULES ####
*.info;mail.none;authpriv.none;cron.none :ommysql:127.0.0.1,Syslog,loguser,admin@123
(6)重启rsyslog服务;
[root@node1 ~]# systemctl restart rsyslog.service
这样,日志文件就不再记录于/var/log/messages下了,而是记录在数据库中。
通过loganalyzer展示数据库中的日志:
(1)准备amp或nmp组合:这里我使用的是lamp;
yum install httpd php php-mysql php-gd
(2)安装LogAnalyzer:
tar xf loganalyzer-3.6.5.tar.gz
cp -a loganalyzer-3.6.5/src /var/www/html/mylog
cd /var/www/html/mylog
touch config.php
chmod 666 config.php
(3)配置loganalyzer:
systemctl start httpd.service
- 在浏览器中输入http://172.16.47.101/mylog/
- 点击Click
here
to Install Adiscon LogAnalyzer!继续 - 接着一路next
- 到这里需要修改了
- 改成如下
- 点击完成
- 报错了
看提示,可能是表名写错了,于是去配置文件[root@node1 /var/www/html/mylog]# vim config.php看看,找到如下位置,果然是写错了,'SystemEvents '多了一个空格,囧~
- 修改完后,重启httpd,我们要的页面出来了
(4)最后为了安全,别忘记修改一下config.php权限
#chmod 644 config.php
至此,一台日志服务器搭建完成。