环境:最小化centos6.2
准备:rsyslog-4.6.1.tar.gz loganalyzer-3.6.3.tar.gz
wget http://download.adiscon.com/loganalyzer/loganalyzer-3.6.3.tar.gz
开始安装:
yum -y install rsyslog rsyslog-mysql mysql mysql-devel mysql-server php php-mysql php-pdo php-common php-gd httpd gcc make wget
tar xf rsyslog-4.6.1.tar.gz
./configure --enable-mysql
make
make install
cp /root/rsyslog-4.6.1/rsyslog.conf /etc/
vi /etc/rsyslog.conf
=================新增下面2行================
$ModLoad ommysql
*.* :ommysql:localhost,Syslog,root,lixiuli
============================================
=====去掉下面2行的注释,主要是接收客户的日志====
$ModLoad imudp.so # provides UDP syslog reception
$UDPServerRun 514 # start a UDP syslog server at standard port 514
============================================
service iptables stop
service mysqld start
service httpd start
mysqladmin -uroot password lixiuli;
mysql -uroot -p </root/rsyslog-4.6.1/plugins/ommysql/createDB.sql
service rsyslog restart
检查数据库是否有相应数据
mysql -uroot -p
use Syslog;
select * from Syslog.SystemEvents;
如果有数据,则表示成功。
grant all on Syslog.* to syslog@'localhost' identified by 'syslog';
flush privileges;
tar zxvf loganalyzer-3.2.1.tar.gz
mkdir /var/www/html/syslog
cd loganalyzer-3.0.4
mv src/* /var/www/html/syslog
mv contrib/* /var/www/html/syslog
chmod u+x /var/www/html/syslog/*.sh
./configure.sh
./secure.sh
chmod 666 config.php
chown -R daemon.daemon *
setenforce 0
登录web安装,http://ip地址/syslog
这里说注意点,在按步骤一步步点下去的时候,一定要注意数据库名字为Syslog,表名称为SystemEvents(注意大小写)
linux客户端部署:
vim /etc/syslog.conf
在最后面添加:*.* @server端ip地址
保存退出,重启syslog服务
service syslog restart
此时在server服务器上就可以看到相关服务器的日志信息了
故障分析,一开始,我host列显示的全都是bogon,纠结了很长时间是为什么,后来发现是两台主机的名称是相同的,更改客户端的主机名,然后服务器端host列显示正常(能区分来自哪个ip地址)