syslog日志管理工具的安装

LogAnalyzer 是一款syslog日志和其他网络事件数据的Web前端。它提供了对日志的简单浏览、搜索、基本分析和一些图表报告的功能。数据可以从数据库或一般的syslog文本文件中获取，所以LogAnalyzer不需要改变现有的记录架构。基于当前的日志数据，它可以处理syslog日志消息，Windows事件日志记录，支持故障排除，使用户能够快速查找日志数据中看出问题的解决方案。
LogAnalyzer 获取客户端日志会有两种保存模式，一种是直接读取客户端/var/log/目录下的日志并保存到服务端该目录下，一种是读取后保存到日志服务器数据库中，推荐使用后者。
LogAnalyzer 采用php开发，所以日志服务器需要php的运行环境，本文采用LAMP

系统环境
Server IP 192.168.10.130
Rsyslog版本 rsyslog-5.8.10-8.el6.i686
logAnalyzer版本LogAnalyzer3.6.5
LAMP
Selinux=disabled
Rsyslog Client IP：192.168.0.128
LAMP yum源安装

yum -y install httpd mysql php

启动Apache

/etc/init.d/httpd start

chkconfig httpd on

启动数据库

/etc/init.d/mysqld start

chkconfig mysqld on

3.3 设置MySQL root 密码

mysqladmin -uroot password 'abc123'

测试php运行环境

cd /var/www/html/

[root@TS html]# cat > index.php <

phpinfo(); 
?> 
EOF

检查是否安装rsyslog软件
[root@localhost html]# rpm -qa | grep rsyslog
安装rsyslog连接MySQL数据库的模板
[root@localhost html]# yum -y install rsyslog-mysql
配置服务器端
[root@localhost html]# cd /usr/share/doc/rsyslog-mysql-5.8.10/
导入数据库
[root@localhost rsyslog-mysql-5.8.10]# mysql -uroot -p < createDB.sql
Enter password:
查看做的哪些操作
mysql> show databases;
+--------------------+
| Database |
+--------------------+
| information_schema |
| Syslog //新添加的数据库 |
| mysql |
| test |
| test2 |
+--------------------+
导入数据库操作创建了Syslog 库并在该库中创建了两张空表SystemEvents 和SystemEventsProperties。
创建rsyslog用户在MySQL下的相关权限
mysql> grant all on Syslog.* to rsyslog@localhost identified by '123456';
Query OK, 0 rows affected (0.00 sec)
mysql> flush privileges;
配置服务端支持rsyslog-mysql模板，并开启UDP服务端口获取网内其他Linux系统日志

vi /etc/rsyslog.conf

$ModLoad ommysql 
. :ommysql:localhost,Syslog,rsyslog,123456
在 #### MODULES #### 下添加上面两行。
说明：localhost 表示本地主机，Syslog 为数据库名，rsyslog 为数据库的用户，123456为该用户密码。

开启相关日志模板

vi /etc/rsyslog.conf

$ModLoad immark    #immark是模块名，支持日志标记
$ModLoad imudp    #imupd是模块名，支持udp协议
$UDPServerRun 514    #允许514端口接收使用UDP和TCP协议转发过来的日志
重启rsyslog
[root@localhost ~]# service rsyslog restart
关闭系统日志记录器：[确定]
启动系统日志记录器：[确定]
配置客户端
检查是否安装rsyslog
修改配置文件
[root@localhost ~]# vi /etc/rsyslog.conf
最后添加
.@192.168.10.130 #将客户端日志发送到服务端192.168.10.130
重启rsyslog
[root@localhost ~]# /etc/init.d/rsyslog restart
关闭系统日志记录器：[确定]
启动系统日志记录器：[确定]
编辑/etc/bashrc将客户端执行的所有命令写入系统日志/var/log/messages

vi /etc/bashrc

在文件尾部增加一行
export PROMPT_COMMAND='{ msg=$(history 1 | { read x y; echo $y; });logger "[euid=$(whoami)]":$(who am i):[pwd]"$msg"; }'
设置其生效
#source /etc/bashrc
客户端配置完毕
测试Rsyslog server 是否可以正常接受client端日志

server端帧测

安装logAnalyzer
[root@localhost log]# wget http://download.adiscon.com/loganalyzer/loganalyzer-3.6.5.tar.gz
[root@localhost tmp]# tar zxf loganalyzer-3.6.5.tar.gz
[root@localhost tmp]# cd loganalyzer-3.6.5
[root@localhost loganalyzer-3.6.5]# mkdir -p /var/www/html/loganalyzer
[root@localhost loganalyzer-3.6.5]# rsync -a src/* /var/www/html/loganalyzer/
在浏览器安装向导中安装loganalyzer
http://192.168.10130/loganalyzer

解决方法
进到解压后目录的contrib目录，将configure.sh脚本拷贝到软件安装目录/var/www/html/loganalyzer
并对/var/www/html/loganalyzer/configu 分配可执行的权限
执行[root@localhost loganalyzer]# ./configure.sh
再在浏览器重新检测一下
执行