rsyslog+loganalyzer日志收集分析处理

       网上教程还是比较多的:

       这里推荐几篇并说下一些个注意的问题


NERV 百度空间

http://hi.baidu.com/dreamcast_sh/item/f7499786d2164cc8ef083db6

CentOS 6.3下利用Rsyslog+LogAnalyzer+MySQL部署日志服务器

http://www.linuxidc.com/Linux/2013-07/86956.htm


1.rpm包安装http后的配置文件修改:添加对index.php的支持。

添加:
AddType application/x-httpd-php .php
AddType application/x-httpd-php-source .phps

162247176.png

vim /etc/httpd/conf/httpd.conf          161155293.png


2,rsyslog rpm包安装后没有对mysql的支持

cd /lib64/rsyslog #rpm安装rsyslog后的so文件位置

这里需要用到mysql数据库,具体方法:

   a,yum install rsyslog-mysql

       安装后会在/lib64/rsyslog下生成ommysql.so等文件。

   b,卸载rsyslog rpm包后源码安装rsyslog

       注意备份配置文件  默认rsyslogd 启动读取/etc/rsyslog.conf


3,vim /etc/rsyslog.conf   这3行下面添加
$ModLoad immark   # provides --MARK-- message capability
$ModLoad imuxsock # provides support for local system logging (e.g. via logger command)
$ModLoad imklog   # kernel logging (formerly provided by rklogd)
=====下面这2行是要添加的====
$ModLoad ommysql  # 这行是有ommsql.so文件 ,启动rsyslog后注意/var/log/message日志有无报错
*.*       :ommysql:ip,database,user,passwd
=====去掉下面2行的注释,主要是接收客户的日志====
$ModLoad imudp.so  # provides UDP syslog reception
$UDPServerRun 514 # start a UDP syslog server at standard port 514
保存退出,开启防火墙的UDP 514端口,重启防火墙



4,安装loganalyzer
tar zxvf loganalyzer-3.2.1.tar.gz
mkdir /var/www/html/syslog
cd /root/loganalyzer-3.2.1/src
cp -r * /var/www/html/syslog
cd /root/loganalyzer-3.2.1/contrib
cp * /var/www/html/syslog
cd /var/www/html/syslog
chmod 755 *.sh
./configure.sh
./secure.sh
chmod 666 config.php
chown -R daemon.daemon *
登录web安装,http://ip地址/syslog  推荐使用Firefox浏览器,本人在IE浏览器打开有意外错误Firefox正常
这里说注意点,在按步骤一步步点下去的时候,注意看一下信息,一定要注意数据库名字为Syslog,表名称为SystemEvents,在这里我刚开始没注意到(注意大小写)


5,客户端设置,

   a,开启udp514端口:去掉前面#$ModLoad imudp;#$USPServerRun#

   b,插入*.info;mail.none;authpriv.none;cron.none    @server-ipaddr

   c, [root@客户端 ~]# vim /etc/sysconfig/rsyslog

   # Options to syslogd
   # syslogd options are deprecated since rsyslog v3
   # if you want to use them, switch to compatibility mode 2 by "-c 2"
   SYSLOGD_OPTIONS="-r -x"

   d,[root@服务端 ~]# vim /etc/sysconfig/rsyslog

   # Options to syslogd
   # syslogd options are deprecated since rsyslog v3
   # if you want to use them, switch to compatibility mode 2 by "-c 2"
   SYSLOGD_OPTIONS="-m 0 -r"

可以测试下 在客户端logger 'logger information'看看server端/var/log/message是否有信息

如果有其他问题,注意rsyslog的日志,更多问题欢迎垂询












你可能感兴趣的:(rsyslog,loganalyzer,日志收集分析处理)