linux 日志服务器的构建

日志服务器的介绍：     

 系统日志是记录系统中硬件、软件和系统问题的信息，同时还可以监视系统中发生的事件。用户可以通过它来检查错误发生的原因，或者寻找受到攻击时攻击者留下的痕迹。系统日志包括系统日志、应用程序日志和安全日志。

原理：

      在Linux系统中，有三个主要的日志子系统： 连接时间日志--由多个程序执行，把纪录写入到/var/log/wtmp和/var/run/utmp，login等程序更新wtmp和utmp文件，使系统管理员能够跟踪谁在何时登录到系统。 进程统计--由系统内核执行。当一个进程终止时，为每个进程往进程统计文件（pacct或acct）中写一个纪录。进程统计的目的是为系统中的基本服务提供命令使用统计。 错误日志--由syslogd（8）执行。各种系统守护进程、用户程序和内核通过syslog（3）向文件/var/log/messages报告值得注意的事件

实验环境：操作系统centos-6.5  所需的安装包我直接从光盘上装的

httpd  mysql-server  mysql php php-gd php-xml  

loganalyzer-3.6.5.tar

安装包

[root@new ~]# yum --disablerepo=\* --enablerepo=c6-media install httpd mysql-server mysql php php-gd php-xml -y

启动mysql 数据库

[root@new ~]# service mysqld start

将MySQLd chkconfig 开启

[root@new ~]# chkconfig mysqld on
开启Apache
[root@new ~]# service httpd start
[root@new ~]# chkconfig httpd on

为MySQL添加管理员账户和密码

[root@new ~]# mysqladmin -u root -p  password '123'

安装rsyslog的数据库的包rsyslog-mysql

[root@new ~]# yum --disablerepo=\* --enablerepo=c6-media install rsyslog-mysql -y
[root@new ~]# rpm -ql rsyslog-mysql
/lib/rsyslog/ommysql.so
/usr/share/doc/rsyslog-mysql-5.8.10
/usr/share/doc/rsyslog-mysql-5.8.10/createDB.sql

把rsyslog的数据库导入到MySQL数据库中去

[root@new ~]# mysql -u root -p </usr/share/doc/rsyslog-mysql-5.8.10/createDB.sql 
Enter password:

查看MySQL已经有了rsyslog的库

mysql> show databases;
+--------------------+
| Database           |
+--------------------+
| information_schema |
| Syslog             |
| mysql              |
| test               |
+--------------------+
4 rows in set (0.01 sec)

把rsyslog 库下的所有 交给用户rsyslog 管理 密码123456

mysql> grant all privileges on Syslog.* to rsyslog@localhost identified by '123456';

刷新一下

mysql> flush privileges;
Query OK, 0 rows affected (0.00 sec)

关闭防火墙测试

[root@new ~]# service iptables stop
[root@new ~]# chkconfig iptables off
[root@new ~]# setenforce

编辑PHP页面测试PHP与Apache的结合

[root@new ~]# cd /var/www/html/
[root@new html]# vim index.php

测试PHP与数据库的结合

[root@new html]# vim index1.php

成功输出OK，否则not

连接成功

拆解日志管理器的PHP页面的包，到当前目录

[root@new ~]# tar -zxvf loganalyzer-3.6.5.tar.gz

进入目录cd，将src目录放到、站点主目录

[root@new loganalyzer-3.6.5]# mv src/ /var/www/html/loganalyzer

拷贝文件

[root@new loganalyzer-3.6.5]# cp contrib/configure.sh /var/www/html/loganalyzer/

修改可执行权限，并执行

[root@new loganalyzer]# chmod a+x configure.sh 
[root@new loganalyzer]# ./configure.sh

*************************************************************

下面就是通过web的方式来配置了

输入web站点地址

查看数据表，这一步一定要成功。

mysql> show tables;
+------------------------+
| Tables_in_Syslog       |
+------------------------+
| SystemEvents           |
| SystemEventsProperties |
| logcon_charts          |
| logcon_config          |
| logcon_dbmappings      |
| logcon_fields          |
| logcon_groupmembers    |
| logcon_groups          |
| logcon_savedreports    |
| logcon_searches        |
| logcon_sources         |
| logcon_users           |
| logcon_views           |
+------------------------+
13 rows in set (0.02 sec)

输入管理账户和密码

千万不要改错了，表的名字第一个

接下来输入管理账户和密码就行了

修改配置文档，让日志往服务器传送

[root@new ~]# vim /etc/rsyslog.conf 

输入udp/tcp端口打开

 13 $ModLoad imudp
 14 $UDPServerRun 514
 15 
 16 # Provides TCP syslog reception
 17 $ModLoad imtcp
 18 $InputTCPServerRun 514

32 插入
 33 $modload ommysql
 34 *.* :ommysql:localhost,Syslog,rsyslog,123456
 35

[root@new ~]# service rsyslog restart

********主机测试**********

另一台centos主机系统6.4，主要配置如下

重启service rsyslog restart

setenforce 0

再查看日志服务器，正常情况应该有数据了

**附**

华为防火墙日志输出命令

info-center loghost 192.168.3.100