前期部署lamp环境 ,下载rsyslog+loganalyzer+evtsys
log服务器 CentOS 5.6 32位 ip:192.168.1.110
yum -y install httpd* mysql* php php-mysql php-common php-gd php-mbstring php-mcrypt php-devel php-xml gd*
整合Apache与PHP及系统初化配置
vi /usr/local/apache/conf/httpd.conf
添加:
AddType application/x-httpd-php .php
AddType application/x-httpd-php-source .phps
找到:
<IfModule dir_module>
DirectoryIndex index.html index.htm index.php
vi /var/www/html/phpinfo.php
<?php
phpinfo();
?>
安装rsyslog
rsyslog-5.9.0.tar.gz
cd rsyslog-5.9.0
./configure --enable-mysql
make && make install
ln -s /usr/local/sbin/rsyslogd /sbin/rsyslogd
cp rsyslog.conf /etc
vim /etc/rsyslog.conf 在下面3行下添加
$ModLoad immark # provides --MARK-- message capability
$ModLoad imuxsock # provides support for local system logging (e.g. via logger command)
$ModLoad imklog # kernel logging (formerly provided by rklogd)
=====需要添加的2行====
$ModLoad ommysql
*.* :ommysql:localhost,Syslog,root,1234
=====去掉下面2行的注释,主要是接收客户的日志====
$ModLoad imudp.so # provides UDP syslog reception
$UDPServerRun 514 # start a UDP syslog server at standard port 514
保存退出,开启防火墙的UDP 514端口,重启防火墙
==================================================================================
解释下这句话的含义:
*.* :ommysql:localhost,Syslog,root,1234
Syslog 是数据中database-name
root 是database-userid
1234 是root用户登录mysql的密码
该行的格式
*.* :ommysql:database-server,database-name,database-userid,database-password
同样要注意的是database-name 必须和/root/rsyslog-5.9.0/plugins/ommysql/creatDB.sql 中的相同
==================================================================================
建立rsyslog启动脚本
cp -rp /etc/init.d/syslog /etc/init.d/rsyslog
sed -i 's/syslog/rsyslog/g' /etc/init.d/rsyslog
=====停止自带的syslog日志服务====
service syslog stop
导入数据库
cd /root/syslog/rsyslog-5.9.0/plugins/ommysql
mysql -uroot -p <createDB.sql
密码:
启动rsyslog
service rsyslog start
检查数据库是否有相应数据
mysql -uroot -p
use Syslog;
select * from SystemEvents;
如果有数据,则表示成功
创建syslog用户访问Syslog
grant all on Syslog.* to syslog@'localhost' identified by 'syslog';
flush privileges;
密码是syslog
安装loganalyzer
tar zxvf loganalyzer-3.2.1.tar.gz
mkdir /var/www/html/syslog
cd /root/loganalyzer-3.2.1/src
cp -r * /var/www/html/syslog
cd /root/loganalyzer-3.2.1/contrib
cp * /var/www/html/syslog
cd /var/www/html/syslog
chmod 755 *.sh
./configure.sh
./secure.sh
chmod 666 config.php
chown -R daemon.daemon *
登录web安装,http://192.168.1.110/syslog
这里说注意点,在按步骤一步步点下去的时候,一定要注意数据库名字为Syslog,表名称为SystemEvents(注意大小写)
linux客户端部署:
vim /etc/syslog.conf
在最后面添加:*.* @192.168.1.110
保存退出,重启syslog服务
service syslog restart
此时在服务器上就可以看到相关服务器的日志信息了
windows客户端部署:
evtsys下载地址:http://code.google.com/p/eventlog-to-syslog/;选择对应系统版本的文件
解压下载好的evtsys,复制所有文件到system32文件夹下(64位操作系统也是相同目录)
进入system32下 cd c:\windows\system32
安装evtsys为服务,指定日志服务器地址(其中192.168.1.110为日志服务器地址) evtsys.exe -i -h 192.168.1.110
手工启动服务, 或者使用命令:net start "eventlog to syslog"启动服务
如果多机器部署的话,可以将上述三个命令写到批处理中自动执行