日志服务rsyslog简述

【日志的概念】

日志是按照时间序列,将发生的事予以记录的信息集合。

【日志的内容】

日志记录:事件发生的时间,事件内容

日志级别:事件的关键程度

【设施分类】

auth 认证相关

authpriv 认证授权相关

cron 计划任务相关

daemon 守护进程相关

kern 内核相关

lpr 打印相关

mail 邮件相关

mark 防火墙标记相关

news 新闻组相关

security        安全相关

syslog 系统相关

user 用户相关

【级别】

debug 调试

info 信息

notice 通知

warn 警告

err 错误

crit 蓝色警戒

alert 橙色警戒

emerg,panic 红色警戒

【日志信息及配置文件】

日志保存路径 /var/log/messages

日志服务主配置文件 /etc/rsyslog.conf

【日志信息格式】

时间  主机  进程(PID)  事件

【日志服务实现的分类】

1.本机日志服务

2.“服务端-客户端”的日志服务

3.“服务端(数据库)-客户端”的日志服务

4.WebGUI的日志显示服务

------------------------------------------------------------

下面我们就除本机日志以外的三种进行简要配置说明:

============================================================

【配置环境】

服务端IP:192.168.200.1

客户端IP:192.168.200.2

------------------------------------------------------------

【创建日志服务器】

1.修改服务端的日志系统服务器功能

#vim /etc/rsyslog.conf

      #### MODULES ####

      #Provides UDP syslog reception

          $ModLoad imudp

          $UDPServerRun 514

      #Provides TCP syslog reception

          $ModLoad imtcp

          $InputTCPServerRun 514

2.启动服务端日志服务器

      #service rsyslog restart

      #ss -tnlp

          514号端口

3.配置客户端日志系统客户端

      #vim /etc/rsyslog.conf

      #### RULES ####

          *.info;mail.none;authpriv.none;cron.none                @192.168.200.1

4.启动客户端日志服务器

      #service rsyslog restart

5.关闭防火墙,确保日志传输不会受阻

      #iptables -F

6.测试日志服务器

      (1)在客户端安装任意软件

          #yum -y install tree 

      (2)在服务器端,查看日志文件

          #tail /var/log/messages

============================================================

【使用mysql保存日志】

1.服务端安装mysql数据库

      #yum -y install mysql-server

2.服务端安装rsyslog-mysql

      #yum -y install rsyslog-mysql

3.服务端编辑日志服务器的配置文件

      #vim /etc/rsyslog.conf

          #### MODULES ####

          #event's log to MySQL

              $ModLoad ommysql //启用模块

          #### RULES ####

              *.info;mail.none;authpriv.none;cron.none :ommysql:127.0.0.1,Syslog,rsysloguser,rsyslogpass //指定连接数据库的表,用户,密码

4.服务端启动mysql服务器,并为日志服务器授权

      #mysql < /usr/share/doc/rsyslog-mysql-5.8.10/createDB.sql

      #mysql

      >SHOW DATABASES;

      >use Syslog;

      >SHOW TABLES;

      >GRANT ALL ON Syslog.* TO [email protected] IDENTIFIED BY 'rsyslogpass';

      >GRANT ALL ON Syslog.* TO rsysloguser@localhost IDENTIFIED BY 'rsyslogpass';

      >FLUSH PRIVILEGES;

5.服务端重启日志服务器

      #service rsyslog restart

6.客户端安装软件测试

      #yum -y install bind

7.服务端查看数据库

      #mysql

      >use Syslog;

      >SELECT * FROM SystemEvents;

============================================================

【通过WebGUI展示日志信息】

1.安装启动LAMP平台及相关库

      #yum -y install httpd php php-mysql mysql-server gd php-gd

      #service httpd start

      #service mysqld start

2.下载并loganalyzer-3.6.5.tar.gz包

      #tar xf loganalyzer-3.6.5.tar.gz -C /var/www/html/

      #cd /var/www/html/

      #mv loganalyzer-3.6.5 loganalyzer

      #mkdir log/

      #mv /loganalyzer/src/* log

      #mv /loganalyzer/contrid/* /log

      #cd log/

      #chmod +x configure.sh secure.sh

      #./configure.sh

      #./secure.sh

      #chmod 666 config.php

      #chown -R apache:apache ./*

3.在浏览器上测试使用

      http://192.168.200.1/log/install.php

      按页面指示操作

============================================================


你可能感兴趣的:(rsyslog,loganalyzer)