mysql+rsyslog+LogAnalyzer
1.环境要求
两台PC机(系统版本CentOS-6.4-64位,分别充当日志服务器和邮件服务器)
一台交换机
一台H3C防火墙
2.软件包
loganalyzer-3.6.5.tar.gz
LogAnalyzer 是一个 syslog 和其他网络事件数据的 Web 前端工具,提供简单易用的日志浏览、搜索和基本分析以及图表显示。
3.实验拓扑图
两台PC机分别充当日志服务器和邮件服务器,还有一台H3C的防火墙,通过交换机连接。
4.具体实现步骤。
a)首先配置日志服务器信息
搭建LAMP(Linux+Apache+Mysql+PHP)环境。分别安装各个服务器。
启动apache和mysql服务。
实现开机自动启动该服务。
为mysql服务器创建账号和口令。
"Enter password"这一项是请输入旧的mysql密码,回车即可。
(千万不要将password习惯性敲成passwd,因为这我重做了3遍。)
进入mysql数据库中。
先看一下数据库具体内容,默认的就是这三个。所以我们要添加数据库。
退出。
先安装一个文件,这个文件是syslog与mysql之间的连接文件。
查询下安装位置及安装文件信息。createDB.sql可以看出创建了一个数据库。
可以看下createDB.sql的具体内容。学过数据库的都懂。(约束及其条件)
将新建的数据库导入到mysql中。
进入mysql中。
再看下数据库,多出了Syslog数据库。
选中这个库。
看一下里面的表格。包含两个表格:系统事件和系统事件的属性。
创建一个额外的账号来管理Syslog这个数据库。授予所有权限。
刷新下权限。
上传loganalyzer-3.6.5.tar.gz。
解压。
切换到解压的目录。具体细节步骤可以参看INSTALL文件说明。
将src下的所有文件拷贝到apache服务器默认的站点下。
先创建一个loganalyzer的目录,访问apache服务器时要这样访问
http://192.168.1.210/loganalyzer (192.168.1.210是日志服务器IP地址)
在contrib下还有两个脚本,也全部拷到loganalyzer中。
切到loganalyzer目录。
改变loganalyzer的所属组和所有者。
看下两个脚本。
执行configure.sh这个脚本。文件也已产生。
修改/etc/rsyslog.conf配置文件.
修改13和14行,打开UDP模块及其相应端口。
添加第10和11行,调用ommysql模块。
重启rsyslog服务。
通过本地浏览器访问日志服务器。
成功访问(如果无法访问,建议把防火墙和SELinux关闭)。
点击"here"进入下一步。
第三步输入主机名,数据库名和数据库管理者。
提示,数据库已经成功创建表格了。
进入数据库看一下。
增加了很多表格。
添加管理员。
管理员已添加到数据库中。
创建第一个数据源。
日志服务器上自身的日志。
b)下面我们来配置邮件服务器的信息。
编辑配置文件,添加邮件的日志到日志服务器。
测试邮件服务器和日志服务器的连通性。
重启rsyslog服务。
刷新本地浏览器,查看日志信息。已接收到来自邮件服务器的日志。
c)配置H3C防火墙信息
配置端口IP,日志主机地址。
刷新本地浏览器,查看日志信息。已接收到来自H3C防火墙的日志。
实验大功告成。