rsyslog+loganalyzer 安装配置

1. 环境简介

l 前期部署lnmp环境

l 操作系统版本：RedHat5.4 x32

 

Rsyslog server：192.168.10.250

Syslog client：192.168.10.1

l 所需软件：

 

rsyslog-6.2.2.tar.gz

loganalyzer-3.6.3.tar.gz

libestr-0.1.5.tar.gz

libee-0.4.1.tar.gz

 2. 安装rsyslog依赖包

2.1 安装libestr-0.1.5

1. tar zxvf libestr-0.1.5.tar.gz

2. cd libestr-0.1.5

3. autoreconf -vfi

4. ./configure --libdir=/usr/lib --includedir=/usr/include

5. make

6. make install

 

2.2 安装libee-0.4.1

1. tar zxvf libee-0.4.1.tar.gz

2. cd libee-0.4.1

3. autoreconf -vfi

4. ./configure --libdir=/usr/lib --includedir=/usr/include

5. make

6. make install

3. 安装配置rsyslog

3.1 编译安装rsyslog

1. tar zxvf rsyslog-6.2.2.tar.gz

2. cd rsyslog-6.2.2

3. ./configure --enable-mysql

4. 如果报错：mysql_config not found，执行如下操作:

 

ln -s /usr/local/mysql/bin/mysql_config /usr/local/bin/mysql_config

将mysql_confi从你的安装目录链接到/usr/local/bin目录下，这样就可以在任意目录下访问了（也可以放到/usr/bin）

5. make

6. make install

 

3.2 编辑配置文件

1. cp rsyslog.conf /etc

2. vi /etc/rsyslog.conf

3. 查找如下几行：

 

$ModLoad immark # provides --MARK--message capability $ModLoad imuxsock# provides support for local system logging (e.g. via logger command) $ModLoad imklog # kernel logging (formerly provided by rklogd)

 4.在上面几行下面添加如下几行：

$ModLoad ommysql

*.*:ommysql:localhost,Syslog,root,mima

$ModLoad ommysql 

 

 

注：

Syslog：rsyslog所使用的database-name

root：登录数据库的用户名

mima：root用户登录mysql的密码

该行完整的格式

 

*.* :ommysql:database-server,database-name,database-userid,database-password

 

database-name必须和后续步骤creatDB.sql中的相同

 

5. 去掉下面2行的注释，用于接收客户的日志

 

$ModLoad imudp.so # provides UDP syslog reception $UDPServerRun514 # start a UDP syslog server at standard port 514

 

3.3 建立rsyslog启动脚本

1. ln -s /usr/local/sbin/rsyslogd /sbin/rsyslogd

2. cp -rp /etc/init.d/syslog /etc/init.d/rsyslog

3. sed -i 's/syslog/rsyslog/g' /etc/init.d/rsyslog

4. 停止自带的syslog日志服务

 

service syslog stop

3.4 导入数据库

1. cd <rsyslog-6.2.2_dir>/plugins/ommysql

2. mysql–uroot -p <createDB.sql

3. 密码：root用户密码

4. 启动rsyslog

 

service rsyslog start

5. 检查数据库是否有相应数据

mysql –uroot -p

use Syslog;

select * from SystemEvents;

如果查询成功，则表示成功

6. 创建syslog用户访问Syslog

grant all on Syslog.* to syslog@'localhost'identified by 'syslog';

刷新权限

flush privileges;

密码是syslog

4. 安装loganalyzer

1. mkdir –p /var/www/html/syslog

2. tar zxvf loganalyzer-3.6.3.tar.gz

3. cd loganalyzer-3.6.3/src

4. cp -r * /var/www/html/syslog

5. cd ../contrib

6. cp * /var/www/html/syslog

7. cd /var/www/html/syslog

8. chmod -R 777 /var/www/html/syslog

9. ./configure.sh

10. 登录web安装,http://ip地址/syslog

 

 

11. Click here

 

 

12. Next

 

 

13. Enable User Database选择Yes，如果选择no将没有管理页面。

 

填写如下信息：

Database Host：localhost

Database Port：3306

Database Name ：Syslog

Table prefix：logcon_

Database User：syslog

Database Password：syslog

14. Next

 

 

15. Next

 

设置登录用户名和密码。

16. Next

 

Source type：mysql native

Database host：localhost

Database name：Syslog

Database Tablename：SystemEvents

Database User：root

Database Password：●●●●●

正确填写以上信息，注意大小写，一定和createDB.sql中的信息一致。

17. Next

 

 

18. Finish!

19. 登录

 

5. linux客户端部署

1. vi/etc/syslog.conf

2. 在最后面添加：*.* @192.168.10.250

3. 保存退出，重启syslog服务

4. service syslog restart

5. 此时在服务器上就可以看到相关服务器的日志信息了\

6. 修改LogAnalyzer进阶设定

6.1 删除LogAnalyzer初始化安装档

完成初始化LogAnalyzer环境设定之后，建议删除初始化安装档install.php，或者设定该档案权限为「只读」，以免有人再次连结到初始化安装档案重新进行设定，藉此破坏原本的环境设定。

6.2 关闭分析页面中赞助信息

在LogAnalyzer分析页面中，基本上不管切换到哪一页，都会看到分析页面最上方有一个赞助LogAnalyzer计划的捐献（Donate）按钮，如下图:

觉得这个赞助信息有点碍眼，可以透过修改LogAnalyzer函数配置文件（functions_common.php）来关闭。

vi /var/www/html/syslog/include/functions_common.php

将下行改为false

$content['SHOW_DONATEBUTTON'] = false; // Default = true!

6.3 更换分析页面首页图示（Logo）

1. 首先将准备好的logo放至images/main目录下。

2. 编辑include/functions_common.php

3. 修改如下路径：

 

$content['EXTRA_PHPLOGCON_LOGO'] = $content['BASEPATH'] .

"images/main/Header-Logo.png";

6.4 关闭分析页面中窗口弹出功能（Detail Popups）

1. 在LogAnalyzer初始化环境设定步骤三时，若当时「Show message details

popup」选项选择「Yes」，则在LogAnalyzer分析页面内，只要鼠标移动到日志信息（Message字段）中任何一笔记录，页面便会立即弹出窗口，显示该日志的详细内容，如图所示。若觉得这样的弹出功能会造成困扰，可以将其关闭。关闭自动弹出窗口功能后，若想查看该笔日志信息的详细内容时，只要点选该日志信息即可。

2. 编辑主配置文件/var/www/html/syslog/config.php，将自动弹出窗口功能ViewEnableDetailPopups参数值，由预设的「启用（1，Enable）」修改为「禁用（0，Disable）」。

3. $CFG['ViewEnableDetailPopups'] = 1;

6.5 调整分析日志字段（Select View）

LogAnalyzer在预设情况下仅支持Syslog、EventLog、Webserver三种类型的日志字段显示，若想要自行定义显示字段也可以进行修改。

例如建立一个名称为Mylog的日志名称，并且只显示日期（Date）、主机名（Host）、日志类型（Syslogtag）、日志种类（MessageType）、日志信息（Message）等五个字段。

Vi /var/www/html/syslog/config.php

去掉如下两行的注释号//

$CFG['ShowMessage'] = true;

$CFG['Columns'] = array ( SYSLOG_DATE, SYSLOG_FACILITY, SYSLOG_SEVERITY, SYSLOG_HOST, SYSLOG_SYSLOGTAG, SYSLOG_MESSAGETY

PE, SYSLOG_MESSAGE );