mysql+rsyslog+LogAnalyzer安装

安装环境CentOS 6.0

删除老版本MySQL
#  rpm -qa | grep mysql
mysql-libs-5.1.47-4.el6.i686
[root@syslogserver ~]#  rpm -e mysql-libs-5.1.47-4.el6.i686 --nodeps

安装新版本MySQL
# rpm -ihv  MySQL-server-5.5.17-1.el6.i686.rpm
Preparing...                ########################################### [100%]
   1:MySQL-server           ########################################### [100%]

PLEASE REMEMBER TO SET A PASSWORD FOR THE MySQL root USER !
To do so, start the server, then issue the following commands:

/usr/bin/mysqladmin -u root password 'new-password'
/usr/bin/mysqladmin -u root -h syslogserver password 'new-password'

Alternatively you can run:
/usr/bin/mysql_secure_installation

which will also give you the option of removing the test
databases and anonymous user created by default.  This is
strongly recommended for production servers.

See the manual for more instructions.

Please report any problems with the /usr/bin/mysqlbug script!

安装MySQL开发库
# rpm -ihv  MySQL-devel-5.5.17-1.el6.i686.rpm
Preparing...                ########################################### [100%]
   1:MySQL-devel            ########################################### [100%]
  
# rpm -ihv  MySQL-shared-5.5.17-1.el6.i686.rpm
Preparing...                ########################################### [100%]
   1:MySQL-shared           ########################################### [100%]
  
安装MySQL客户端
# rpm -ihv   MySQL-client-5.5.17-1.el6.i686.rpm
Preparing...                ########################################### [100%]
   1:MySQL-client           ########################################### [100%]

启动mysql
#service mysql start

修改MySQL root口令
/usr/bin/mysqladmin -u root password 'new-password'

5.更改MySQL数据目录
MySQL默认的数据文件存储目录为/var/lib/mysql。假如要把目录移到/home/data下需要进行下面几步:

把MySQL服务进程停掉:
  mysqladmin -u root -p shutdown

home目录下建立data目录
  cd /home
  mkdir data

把/var/lib/mysql整个目录移到/home/data
  mv /var/lib/mysql  /home/data/
  这样就把MySQL的数据文件移动到了/home/data/mysql下

找到my.cnf配置文件
  如果/etc/目录下没有my.cnf配置文件,请到/usr/share/mysql/下找到*.cnf文件,拷贝其中一个到/etc/并改名为my.cnf)中。命令如下:
   # cp /usr/share/mysql/my-medium.cnf   /etc/my.cnf

编辑MySQL的配置文件/etc/my.cnf
  为保证MySQL能够正常工作,需要指明mysql.sock文件的产生位置。 修改socket=/var/lib/mysql/mysql.sock一行中等号右边的值为:/home/mysql/mysql.sock 。操作如下:
   vi  my.cnf    (用vi工具编辑my.cnf文件,找到下列数据修改之)
   # The MySQL server
    [mysqld]
    port   = 3306
   #socket  = /var/lib/mysql/mysql.sock(原内容,为了更稳妥用“#”注释此行)
    socket  = /home/data/mysql/mysql.sock   (加上此行)

修改MySQL启动脚本/etc/rc.d/init.d/mysql
  最后,需要修改MySQL启动脚本/etc/rc.d/init.d/mysql,把其中datadir=/var/lib/mysql一行中,等号右边的路径改成你现在的实际存放路径:home/data/mysql。
  # vi /etc/rc.d/init.d/mysql
  #datadir=/var/lib/mysql    (注释此行)
  datadir=/home/data/mysql   (加上此行)

=========================MySQL 安装完成==========下面安装rsyslog===============================

配置 MySQL,增加一个只写的账号和一个只读的账号,只写的账号是给rsyslog往mysql里面写日志,只读的账号是前端web页面用的
GRANT INSERT ON Syslog.* TO 'rsyslog_write'@'localhost' IDENTIFIED BY 'password_123456';
GRANT SELECT ON Syslog.* TO 'rsyslog_read'@'localhost' IDENTIFIED BY 'password_234567';

#rpm -ihv zlib-devel-1.2.3-25.el6.i686.rpm
#rpm -ihv MySQL-shared-compat-5.5.17-1.el6.i686.rpm

#mv rsyslog-5.8.6.tar.gz  /usr/local/src
#cd /usr/local/src
#tar zxvf   rsyslog-5.8.6.tar.gz
#cd rsyslog-5.8.6
#./configure --prefix=/usr/local/rsyslog5.8.6 --enable-mysql 
#make install

#mysql -u root -p < ./plugins/ommysql/createDB.sql      # 导入数据库结构
#cp rsyslog.conf /etc/                                  # 配置文件

配置rsyslog
在/etc/rsyslog.conf最上面加上 $ ModLoad ommysql 载入mysql支持的模块

去掉/etc/rsyslog.conf内以下两行前的#号,打开udp监听端口
$ ModLoad imudp.so  # provides UDP syslog reception
$ UDPServerRun 514  # start a UDP syslog server at standard port 514

增加/etc/rsyslog.conf下面两行,将local7和user的日志写到mysql中
local7.*  :ommysql:127.0.0.1,Syslog,rsyslog_write,password_123456
user.*    :ommysql:127.0.0.1,Syslog,rsyslog_write,password_123456

(去掉链接错的日志示例
:msg, contains, "error: connect"  ~)  没有

替换 syslog 为rsyslog
a. 由于rsyslog没有附带启动脚本,我做了如下修改
b. Cp /etc/init.d/syslog /etc/init.d/syslogd  #保留老的的syslog启动文件,以备要恢复时使用
c. 编辑 /etc/init.d/syslog 将里面路径有关的全改成/usr/local/rsyslog/sbin/rsyslogd 如果你上面3.g这一步做了链接,就可以只把syslog改为rsyslogd
d. 这样修改完后就是先停掉老的syslog,再启用新的rsyslog了
e. /etc/init.d/syslogd  stop;  # 停掉系统自带的
f. /etc/init.d/syslog start      # 启用新的 rsyslog


修改 iptables ,增加udp514端口出入
#vi/etc/sysconfig/iptables
-A INPUT -s 1.2.0.0/255.255.0.0 -p udp -m udp --dport 514 -j ACCEPT
-A INPUT -s 1.2.0.0/255.255.0.0 -p tcp --dport 80 -j ACCEPT #打开http 80端口

=======================安装apache,php,LogAnalyzer==========================

安装apache httpd
# rpm -ihv  httpd-2.2.15-5.el6.centos.i686.rpm
warning: httpd-2.2.15-5.el6.centos.i686.rpm: Header V3 RSA/SHA256 Signature, key ID c105b9de: NOKEY
Preparing...                ########################################### [100%]
   1:httpd                  ########################################### [100%]
# service httpd start
 
安装PHP5
#rpm -ihv php-common-5.3.2-6.el6.i686.rpm
#rpm -ihv php-cli-5.3.2-6.el6.i686.rpm
#rpm -ihv php-5.3.2-6.el6.i686.rpm
#rpm -ihv   php-pdo-5.3.2-6.el6.i686.rpm
#rpm -ihv libXpm-3.5.8-2.el6.i686.rpm
#rpm -ihv  php-gd-5.3.2-6.el6.i686.rpm

安装mysql时,移动了mysql的位置,这里修改php.ini里mysql的配置
[MySQL]
....
;mysql.default_socket =
mysql.default_socket = /home/data/mysql/mysql.sock
....
#service httpd restart       #重启httpd

安装LogAnalyzer 
http://loganalyzer.adiscon.com/downloads 上下载最新版本
#mv loganalyzer-3.2.3.tar.gz  /usr/local/src
#cd /usr/local/src
#tar zxvf   loganalyzer-3.2.3.tar.gz
#cd loganalyzer-3.2.3
#cd src
#cp -R  /usr/local/src/loganalyzer-3.2.3/src/*  /var/www/html/          #把src中的文件包括子目录,都拷贝到httpd的根目录
#cp /usr/local/src/loganalyzer-3.2.3/contrib/*   /var/www/html/        #把contrib中的configure.sh 和 secure.sh 拷到 httpd的根目录
#cd /var/www/html/
#chmod u+x configure.sh secure.sh
#./configure.sh                    #运行这个文件,会创建一个每个人都有写权限的空的 configure.php文件
用浏览器访问网站,在页面上按指令执行。

访问 http://127.0.0.1/install.php 安装,填上 mysql的账号和密码就行了,其他选项都默认。
注意:rsyslog中的建库建表脚本中,数据库名Syslog和表名SystemEvents是大小写敏感的。
如果不对,LogAnalyzer可以修改/var/www/html/config.php中的配置。

配置日志客户端
在web服务器上echo 'kern.*;user.*  @1.2.3.4' >> /etc/syslog.conf
/etc/init.d/syslog reload #重启syslogd

至此已做完所有工作,检验一下,访问 http://127.0.0.1/