搭建rsyslog日志服务器和loganalyzer日志分析工具.docx

上传人：夺命阿水

文档编号：979562

上传时间：2024-02-20

格式：DOCX

页数：30

大小：176.95KB

《搭建rsyslog日志服务器和loganalyzer日志分析工具.docx》由会员分享，可在线阅读，更多相关《搭建rsyslog日志服务器和loganalyzer日志分析工具.docx（30页珍藏版）》请在课桌文档上搜索。

1、rsyslogQ志效劳器和IOgalIaIyZer目志分析工具一、rsyslog的介绍3rsyslog目志效劳器的优势：3rsyslog的新功能：3rsyslog的软件包3rsyslog配建devnul2devnull11trueendscript)三、rsyslog的存储途径a日志存储在指定的文件中rootjiel#vimetcrsyslog.conf#=注释掉两行，然后添加一行#*.info;mail.none;authpriv.none;cron.nonevarlogmessages*.*/systemlog/jie.logftauthpriv.*varlogsecure#varlogm

2、essages#*.info;mail.none;authpriv.none;cron.none=#这行表示，所有facitlity（设施）的info消息记录，及info级别以上的记录都会保存到varlogmessages文件中，除了邮件的所有信息，认证授权的所有信息，方案任务的所有信息。#authpriv.*varlogsecure=#这行表示认证授权的所有信息，都会保存在varlogSeCUre文件中*.*systemlogjie.log=#添加的这行表示所有设施的所有信息都会保存在systemlogjie.log文件中，而且此文件不必自己创立，启动rsyslog效劳时系统会自动创立，而且

3、权限都是600b日志存储在指定的rsyslog效静器中rsyslog客户端的配置：rootjie3#vimetcrsyslog.conf#*.info;mail.none;authpriv.none;cron.nonevarlogmessages*.*172.16.22.1#添加此行，注释掉其他两行ftauthpriv.*varlogsecure#rootjie3servicersyslogrestartShuttingdownsystemlogger:OKStartingsystemlogger:OKrsyslog效劳器的配置：rootjiel#grep-vA#etcrsyslog.conf

4、grep-vA$#修改配置文件只需开启两个模块和协议支持的端口SModLoadimusock#providessupportforlocalsystemlogging(e.g.vialoggercommand)SModLoadimklog#provideskernelloggingsupport(previouslydonebyrklogd)SModLoadimudp#开启支持UPd的模块$UDPServerRun514#允许接收udp514的端口传来的日志ModLoadimtcp#开启支持tcp的模块JlnputTCPServerRun514#允许接收tcp514的端口传来的日志SActio

5、nFiIeDefauItTempIateRSYSLOGJTraditionaIFiIeFormatJlncIudeConfigetcrsyslog.d*.conf*.info;mail.none;authpriv.none;cron.nonevarlogmessagesauthpriv.*varlogsecuremail.*varlogmaillogcron.varlogcron.emerguucpznews.critvarlogspoolerIocal7.*varlogboot.logStemplateSpiceTmpI,%TIMES7AMP%.%TIMESlAMP:date-subseco

6、nds%syslogtag%syslogseverity-text%:%msg:sp-if-no-lst-sp%msg:drop-last-lf%nprogramname,Startswithz,spice-vdagentvarlogSPiCe-Vdagent.log;SPiCeTmPl#rootjiel#servicersyslogrestartShuttingdownsystemlogger:OKStartingsystemlogger:OK思路:1、安装mysql效劳器，且要安装rsyslog连接mysql的驱动2、解决生成rsyslog效劳器的日志特定的格式，3、在rsyslog配置文

7、件中加载连接mysql的模块，把日志存储到mysql中rsyslog+Mysql效劳器端的配置：rootjiellog#yum-yinstallmysql-serverrsyslog-mysqlmysql# 安装mysql效劳器和rsyslog连接mysql的驱动rootjiel#rpm-qlrsyslog-mysql# 查看rsyslog-mysql安装生成了那些文件lib64rsyslogommysql.soroot()jielservicemysqldstartStartingmysqld:OKrootjielmysqladmin-urootpasswordredhat# 设置mysql

8、的密码rootjiel#mysql-uroot-pEnterpassword:#登录mysql效劳器mysqlshowdatabases;#显示数据库效劳器中没有日志的数据库+IDatabase|Iinformation_schemaImysqlIItestI+3 rowsinset(0.00sec)mysqlqByerootjiel#日志文件Sql脚本的路径rootjielrsyslog-mysql-5.8.10#IscreateDB.sqlroot()jielrsyslog-mysql-5.8.10#mysql-uroot-pshowdatabases;+IDatabase+Iinform

9、ation_schemaISyslogImysqlItest4 rowsinset(0.01sec)mysqluseSyslog;#Syslog即是记录日志文件的数据库ReadingtableinformationforcompletionoftableandcolumnnamesYoucanturnoffthisfeaturetogetaquickerstartupwith-ADatabasechangedmysqlshowtables;+ITables_in_SyslogISystemEventsISystemEventsProperties2rowsinset(0.00sec)mysql

10、grantallonSyslog.*to,syslogroot,127.0.0.1,identifiedby,syslogpass,;#设置用户访问数据库效劳器中Syslog数据库的用户名和密码QueryOK,0rowsaffected(0.00sec)mysqlgrantallonSyslog.*to,syslogroot,(),172.16.22.1,identifiedbysyslogpass,;QueryOK,0rowsaffected(0.04sec)mysqlflushprivileges;#重读授权表，及时生效QueryOK,0rowsaffected(0.00sec)mysql

11、qByerootjielrsyslog-mysql-5.8.10#cd/rootjiel/#grep-vA$etcrsyslog.confgrep-v,ft#Vim/etc/ryslog.conf#SModLoadimusock$ModLoadimklog$ModLoadimudp#加载udp的模块JUDPServerRun514#允许接收Udp514的端口传来的日志$ModLoadimtcp#加载tcp的模块SlnputTCPServerRun514#允许接收tcp514的端口传来的日志SModLoadommysql#加载mysql的模块SActionFileDefaultTemplateR

12、sYSLOG-TraditionaIFiIeFormatJlncIudeConfigetcrsyslog.d*.conf*.*:ommysql:172.16.22.l,Syslogzsyslogrootzsyslogpass#添加这行，把其他行都注释掉，这行表示把所有的设施的所有日志都记录到数据库效劳器中的SySk)g数据库中，以Syslogroot用户，syslogpass密码访问数据库Iocal7.*varlogboot.logStemplateSpiceTmpl/%TIMESTAMP%.%TIMESTAMP:date-subseconds%syslogtag%syslogseverity

13、-tet%:%msg:sp-if-no-lst-sp%msg:drop-last-lf%n:PrOgramname,Startswithz,spice-vdagentvarlogspice-vdagent.IogjSpiceTmpI#rootjiel/#servicersyslogrestartShuttingdownsystemlogger:OKStartingsystemlogger:OKrsyslog客户端的配置：rootjie3sed-e7ScI,-e7A#/detcrsyslog.conf* #/etc/rsyslog.conf#SModLoadimusock#providessup

14、portforlocalsystemlogging(e.g.vialoggercommand)SModLoadimklog#provideskernelloggingsupport(previouslydonebyrklogd)SActionFiIeDefauItTempIateRSYSLOG_TraditionalFileFormatSlncIudeConfigetcrsyslog.d*.conf* .*172.16.22.1#添加这行用于和效劳器通信* .*:ommysql:172.16.22.1,Syslogzsyslogrootzsyslogpass#添加这行，把其他行都注释掉，这行表

15、示把所有的设施的所有日志都记录到数据库效劳器中的Syslog数据库中，以Syslogroot用户，syslogpass密码访问数据库StemplateSpiceTmplz%TIMESTAMP%.%TIMESTAMP:二date-subseconds%syslogtag%syslogseverity-tet%:%msg:sp-if-no-lst-sp%msg二:drop-last-lf%n:PrOgramname,Startswithz,spice-vdagentvarlogspice-vdagent.IogjSpiceTmpI#rootjie3servicersyslogrestartOK O

16、K Shuttingdownsystemlogger:Startingsystemlogger:验证客户端的日志文件存放位置:1）验证是否存放在客户端本地2）验证是否存在效劳器的varlogmessages里面3）验证是否存放在效劳器的mysql数据库中虽然日志存放在mysql数据库效劳器中，是解决了日志集中管理，但是存放在mysql效劳器中让管理人员头疼的是不便于查看这些大量的日志,于是乎搭建一个日志分析工具就非常的有必要性了。四、基于Web的Ioganalyzer日志分析工具的搭建本环境是针对上面的日志存放在mysql效劳器中不方便查看，配置Ioganalyzer日志分析工具来分析查看日志

17、rsyslog效当器的配置步骤：1、安装d,php,php-gd,php-mysqld用来提供web效劳php使叩ache支持php,因为Ioganalyzer是用php编写php-mysql用于Ioganalyzer连接数据库php-gd用于绘图rootjielyum-yinstalldphpphp-mysqlphp-gdrootjiel#mkdir-pvwebloganalyzer#存放Ioganalyzer的网页文件mkdir:createddirectorywebmkdir:createddirectorywebloganalyzer,2、下载Ioganalyzer源码包rootjie

18、lIsrootjiel#rootjielIsrootjielrootjielloganalyzer-3.6.4#IsChangeLogcontribCOPYINGdocINSTALLsrcrootjielloganalyzer-3.6.4#mvsrc*weblOganalyzer/#把SrC目录的所有文件移到存放Ioganalyzer的文件中root(三)jielloganalyzer-3.6.4#cdcontrib/rootjielcontrib#Isconfigure.shsecure.shrootjielcontrib#mv*.shwebloganalyzer#把脚本文件也移到Iogan

19、alyzer文件中3、执行脚本root()jielCOntrib#Cdwebloganalyzerrootjielloganalyzer#bashconfigre.sh4、修改d的配置文件，新建一个虚拟主机vim/etc/dconfd.conf#ServerName172.16.22.1:80#DocumentRootvarwwwhtml#注释掉默认存放网页文件的路径DocumentRootwebloganalyzer#指定存放IoganaIyZer网页文件的路径#5、重启效劳，创立IOganalyZer的数据库，并授权rootjielloganalyzer#servicedrestartSt

20、oppingd:OKStartingd:OKrootjielloganalyzer#mysql-uroot-pEnterpassword:mysqlcreatedatabaseloganalyzer;QueryOK,1rowaffected(0.04sec)mysqlgrantallonIoganalyzer.*tolyzeruser(),172.16.22.1,identifiedbyIyzeruser;QueryOK,Orowsaffected(0.00sec)mysqlflushprivileges;QueryOK,0rowsaffected(0.00sec)6、安装Ioganalyzer1.