分类: 开源技术
syslog-ng是基于syslog协议的Unix和类Unix系统的开源软件。它基于原来syslogd的模型,扩展了富的过滤功能,灵活的配置选项,添加了重要的功能,如使用TCP进行传输系统日志。
logzilla 是一个 syslog 和其他网络事件数据的 Web 前端工具,提供简单易用的日志浏览、搜索和基本分析以及图表显示。
本文环境为CENTOS 6.5平台部署SYSLOG-NG+LOGZILLA,其中logzilla 2.99o为最后一免费版本。
CENTOS 6.5 X64
http://www.balabit.com/downloads/files?path=/syslog-ng/open-source-edition/3.3.5/source/ eventlog_0.2.12.tar.gz
syslog-ng_3.3.5.tar.gz
http://www.balabit.com/downloads/files?path=/libol/0.3/
libol-0.3.15.tar.gz
http://blog.liuts.com/attachment.php?fid=340
logzilla_v2.9.9o.tgz
#hwclock --set --date="2014/06/04 19:49"
#hwclock -hctosys
#mkdir /mnt/cdrom
#mount /dev/cdrom /mnt/cdrom
#cd /etc/yum.repos.d/
#mv rhel-source.repo rhel-source.repo.bak
#vi media.repo
[media]
name=media
baseurl=file:///mnt/cdrom
enabled=1
gpgcheck=0
# service iptables stop
# setenforce 0
# vi /etc/sysconfig/selinux
---------------
SELINUX=disabled
# yum install mysql-server mysql-devel libcurl-devel net-snmp-devel php php-gd php-xml php-mysql httpd
创建安装目录
#mkdir /etc/eventlog
将安装文件解压至安装目录
上传安装文件至/etc/eventlog下
#tar zxvf eventlog_0.2.12.tar.gz
编译安装
#cd /etc/eventlog/eventlog-0.2.12
#./configure --prefix=/etc/eventlog && make && make install
创建安装目录
# /mkdir /etc/libol
将安装文件解压至安装目录
上传安装文件至/etc/libol下
#tar xvf libol-0.3.15.tar
编译安装
#cd /etc/libol/libol-0.3.15
#./configure --prefix=/etc/libol && make && make install
创建安装目录
# mkdir /etc/syslogng
将安装文件解压至安装目录
上传安装文件至/etc/syslogng下
#tar zxvf syslog-ng_3.3.5.tar.gz
编译安装
#cd /etc/syslogng/syslog-ng-3.3.5
#export PKG_CONFIG_PATH=/etc/eventlog/lib/pkgconfig
#./configure --prefix=/etc/syslogng --with-libol=/etc/libol&& make && make install
configure: error: Cannot find eventlog version >= 0.2: is pkg-config in path? (若出现这个错误,基本上是由于前面的PKG_CONFIG_PATH变量没指定好)
#cp contrib/init.d.RedHat /etc/init.d/syslog-ng
#cd /etc/syslogng/etc/
#mv syslog-ng.conf syslog-ng.conf.bak
#vi syslog-ng.conf
@version:3.3.5
options {
long_hostnames(off);
log_msg_size(8192);
flush_lines(1);
log_fifo_size(20480);
time_reopen(10);
use_dns(yes);
dns_cache(yes);
use_fqdn(yes);
keep_hostname(yes);
chain_hostnames(no);
perm(0644);
stats_freq(43200);
};
source s_internal {
internal();
};
source s_local {
unix-stream("/dev/log" max-connections(50));
file("/proc/kmsg" program_override("kernel: "));
};
#使用514端口会与服务器本身的RSYSLOG产生冲突,建议可直接关闭RSYSLOG,配置SYSLOGNG同时接受服务器日志。
source s_src {
tcp(ip(0.0.0.0) port(514));
udp(ip(0.0.0.0) port(514));
};
destination d_syslognglog {
file("/var/log/syslog-ng.log");
};
destination d_mysql {
program("/usr/bin/mysql-usyslogadmin -psyslogadmin syslog"
template("INSERT INTO logs (host, facility, priority, level, tag, fo, program, msg, seq)
VALUES ( '$HOST', '$FACILITY', '$PRIORITY', '$LEVEL', '$TAG', '$YEAR-$MONTH-$DAY $HOUR:$MIN:$SEC', '$PROGRAM', '$MSG', '$SEQ' );\n")
template-escape(yes));
};
#在服务器文件下保存信息,用于调试mysql接收到数据
#destination r_messages {
# file("/var/log/syslog-ng/$YEAR$MONTH$DAY/$HOST/messages"
# owner("root") group("root")
# perm(0640) dir_perm(0750)
# create_dirs(yes)
# );
#};
log {
source(s_internal);
destination(d_syslognglog);
};
log {
source(s_local);
destination(d_mysql);
# destination(r_messages);
};
log {
source(s_src);
destination(d_mysql);
# destination(r_messages);
};
#vi /etc/init.d/syslog-ng
开头添加
#!/bin/bash
#chkconfig: 2345 12 88
#Description: syslog-ng
修改PATH INIT_PROGINIT_OPTS
PATH=/bin:/sbin:/usr/bin:/usr/sbin:/etc/syslogng/bin:/etc/syslogng/sbin
INIT_PROG="/etc/syslogng/sbin/syslog-ng" # Full path to daemon
INIT_OPTS="-f /etc/syslogng/etc/syslog-ng.conf" # options passed to daemon
#chmod +x /etc/init.d/syslog-ng
#chkconfig --add syslog-ng
#service syslog-ng start
Starting syslog-ng: /usr/local/syslog-ng/sbin/syslog-ng: error while loading shared libraries: libevtlog.so.0: cannot open shared object file: No such file or directory
Starting Kernel Logger: 出现此错误是因为共享库链接没做好
#ln -s /etc/eventlog/lib/* /lib/
#ln -s /etc/eventlog/lib/* /lib64/
#service iptables start
/sbin/iptables -I INPUT -p tcp --dport 514 -j ACCEPT
/sbin/iptables -I INPUT -p udp --dport 514 -j ACCEPT
#/etc/init.d/iptables save
#/etc/init.d/iptables status
# service iptables stop
# setenforce 0
# vi /etc/sysconfig/selinux
---------------
SELINUX=disabled
# cd /var/www/html
# tar zxvf logzilla_v2.9.9o.tgz
#chown -R root.root php-syslog-ng
#service mysqld restart
#service httpd restart
为配合php-syslog-ng对php环境的要求,请修改/etc/php.ini中的内容为:
display_errors = On
magic_quotes_gpc = On
memory_limit =256M
max_execution_time = 90
# mkdir -p /var/log/httpd/php-syslog-ng
# mkdir -p /var/log/php-syslog-ng
这部分,请根据apache实际情况操作。以默认系统为例,虚拟主机配置文件都放在/etc/httpd/conf/httpd.conf,加入下面内容。
# PHP-SYSLOG-NG
<VirtualHost *:80>
ServerName zbserver
ServerAdmin [email protected]
DocumentRoot /var/www/html/php-syslog-ng/html
<Directory />
Options FollowSymLinks
AllowOverride All
</Directory>
<Directory /var/www/html/php-syslog-ng/html>
# pcw No directory listings
# Options Indexes FollowSymLinks MultiViews
Options -Indexes FollowSymLinks MultiViews
AllowOverride All
Order allow,deny
allow from all
</Directory>
<Directory /var/www/html/php-syslog-ng/html/config>
Deny from all
</Directory>
ErrorLog /var/log/httpd/php-syslog-ng/error.log
# Possible values include: debug, info, notice, warn, error, crit,
# alert, emerg.
LogLevel warn
CustomLog /var/log/httpd/php-syslog-ng/access.log combined
ServerSignature On
</VirtualHost>
chmod 777 /var/www/html/php-syslog-ng/html/config
chmod 777 /var/www/html/php-syslog-ng/html/jpcache
chmod 777 /var/www/html/php-syslog-ng/html/config/config.php
#service httpd restart
在浏览器输入网址,进入安装向导
访问http://IP
查看协议:
配置数据库参数:
其中需要注意:
MySQL User Name:填入数据库管理用户,其必须有创建数据库和分派权限的能力;
MySQL Password:数据库管理用户的密码;
(可以使用 set password=password('密码');flush privileges;)
MySQL Database Name:php-syslog-ng使用的数据库命令,安装程序会使用上面的用户自动创建;
MySQL Port:数据库使用的端口
MySQL Table Prefix:表的前缀,但不要使用'old_',其代表备份表;
Syslog User Name:php-syslog-ng用这个用户读取数据库信息;
Syslog User Password:其密码;
Syslog Admin Name:php-syslog-ng用这个用户写入数据库信息;
Syslog Admin Password:其密码;
Drop Existing Tables:是否删除已存在的表;
Backup Old Tables:是否备份旧的表;
Install Sample Data:是否安装示例数据;
Install CEMDB Data:是否安装用于收集Cisco ERROR TABLE的数据。
如果你选择安装CEMDB数据,这需要花费一定的时间:
输入网页的标题:
输入php-syslog-ng的管理信息:
可输入管理员的Email地址,以及管理员密码。
php-syslog-ng会自动创建一个随机密码,及时修改。
安装完成,并会提示你管理员的信息:
至此Web部分已经完成。
但因为,syslog-ng还未把数据导向mysql,所以,此时网页中并没有数据的。
可能遇见报时区不正确,修改/etc/php.ini,添加
date.timezone = "Asia/Chongqing"
重启httpd服务
cd /var/www/html/php-syslog-ng/scripts
sh fixpaths.sh
注:若php-syslog-ng所在路径有html,需要修改脚本。
若使用php-syslog-ng对日志进行集中管理,其数据量可能是相当巨大的,必须考虑日志循环的问题。可以使用计划任务实现。
配置计划任务
使用crontab -e加入:
# PHP-Syslog-NG
@daily php /var/www/html/php-syslog-ng/scripts/logrotate.php >> /var/log/php-syslog-ng/logrotate.log
@daily find /var/www/html /php-syslog-ng/html/jpcache/ -atime 1 -exec rm-f '{}' ';'
0,5,10,15,20,25,30,35,40,45,50,55 * * * * php /var/www/html /php-syslog-ng/scripts/reloadcache.php >> /var/log/php-syslog-ng/reloadcache.log
※注意:
1、请把运行dbgen.pl的命令删除,该脚本只是用于产生演示数据,详见后面说明。
2、执行php脚本的时候可能会包oci8.so错误,后面也有说明。
3、原find语句存在Bug,请加入-type f选项,否则会报如下的错误:
rm: cannot remove `/var/www/html/php-syslog-ng/html/jpcache/': Is a directory
# cp /var/www/html/php-syslog-ng/scripts/contrib/system_configs/logrotate.d /etc/logrotate.d/php-syslog-ng
至此,php-syslog-ng已经全部配置完成
#service iptables start
/sbin/iptables -I INPUT -p tcp --dport 80 -j ACCEPT
#/etc/init.d/iptables save
#/etc/init.d/iptables status
Unable to open 'lpd_graph.jpeg' for writing: Permission denied in /var/www/html/php-syslog-ng/html/includes/blocks/graph-logs_per_day.php on line 164
调整权限/var/www/html/php-syslog-ng/html/lpd_graph.jpeg权限为777
JpGraph Error Font file "/usr/share/fonts/corefonts/verdana.ttf" is not readable or does not exist.
原因是,新版的php-syslog-ng考虑到旧版字库版权的问题,使用了verdana.ttf字库。而当前系统目录该字库。
解决办法:从Windows\Fonts目录中拷贝到上述的路径即可;
mkdir -p /usr/share/fonts/truetype/msttcorefonts/
上传文件
图例:
Deprecated: Function split() is deprecated
将问题页面的plit("\n",$txt)方法替换为preg_split('/\n/',$txt)方法
Deprecated: Function ereg() is deprecated
将问题页面的ereg("\n",$txt)方法替换为preg_match('/\n/',$txt)方法
Deprecated: Function session_unregister()
替换为$_SESSION = NULL
对scripts目录中其他的文件讲解以下:
请留意,.sh结尾的是bash脚本,可直接执行;而.pl的是perl脚本,使用perl执行;而.php结尾的是php脚本,需使用php命令执行。
1、logrotate.php
对php-syslog-ng中的表进行日志循环,其与系统的logrotate不同。该脚本的执行结果,是把每天的日志表备份起来,并创建一个新的日志表供读写。在crontab下,每天自动执行一次。
2、syslog2mysql.sh
该脚本是用于创建mysql的pipe管道,让syslog-ng可通过该管道写入mysql中。在crontab下,系统系统的时候自动运行。
3、reloadcache.php
该脚本的作用是,当有新的host加入syslog-ng后,更新mysql中的信息。在crontab下,每5分钟运行一次。
4、resetusers.sh
用于重置用户表,当忘记admin密码的时候,可运行它。重置后,管理员用户名和密码都是admin。
5、drop-old-tables.php
当php-syslog-ng运行一段时间后,由logrotate.php可能会产生大量的旧日志表。使用这个脚本,可删除具有相同前缀的表,例如logs_*等,可方便管理。
6、dbgen.pl
logs表无数据,运行../php-syslog-ng/scripts/contrib/dbgen/dbgen.pl
# perl dbgen.pl
Can't locate Net/MySQL.pm in @INC (@INC contains: /usr/local/lib64/perl5 /usr/local/share/perl5 /usr/lib64/perl5/vendor_perl /usr/share/perl5/vendor_perl /usr/lib64/perl5 /usr/share/perl5 .) at dbgen.pl line 22.
BEGIN failed--compilation aborted at dbgen.pl line 22.
该脚本用于产生一些演示数据,在测试php-syslog-ng是否正常时可以运行,其会插入大量数据到mysql中。
因其使用perl编写,故需要使用Net::MySQL模块。
安装模块及运行:
# cp MySQL.pm /usr/lib64/perl5/Net/
#perl /var/www/html/php-syslog-ng/scripts/dbgen.pl
示例:
※注意:这个脚本只是演示而已,实际没什么用的。而官方提供的crontab文件里是每小时执行一次的,应把它删掉。
若您配置虚拟主机的时候,使用php-syslog-ng的根目录作为Web根目录,请小心scripts的安全问题。应增加类似:
<Directory "/var/www/phpsyslogng/scripts">
Deny from all
< /Directory>
< Directory "/var/www/phpsyslogng/config">
Deny from all
< /Directory>
报错信息如下:
# php /var/www/html/php-syslog-ng/scripts/reloadcache.php >> /var/log/php-syslog-ng/reloadcache.log
PHP Warning: PHP Startup: Unable to load dynamic library '/usr/lib/php/modules/oci8.so' - /usr/lib/php/modules/oci8.so: undefined symbol: OCINlsCharSetNameToId in Unknown on line 0
原因是oci8.so(php和Oracle的接口)不能在未定义前执行,这里也不会使用到该模块。
所以,请修改/etc/php.d/oci8.ini,改为:
; extension=oci8.so
重启httpd服务即可。
◎若一定要使用该模块,可把执行命令的报错信息去掉,即改为:
# php /var/www/html/php-syslog-ng/scripts/reloadcache.php >> /var/log/php-syslog-ng/reloadcache.log 2>/dev/null
但这样就不能看到错误信息了。
因PHP4与当syslog-ng版本,不能正常显示CISCO设备日志问题引起,将CEMDB.class.php替换成支持CISCO设备的旧文件。
解决方法:
由于search_cache表采用的是MEMORY存储引擎,有大小的限制,修改一下/etc/my.cnf,在[MYSQLD]添加:
tmp_table_size=1G
max_heap_table_size = 1G
再重启mysql就可以了。
效果图:
搭建完成后,还有一堆问题,这次试验参考了很多网上博客
http://blog.csdn.net/jsjwk/article/details/7942096
http://itnihao.blog.51cto.com/1741976/1176492
http://hi.baidu.com/leolance/item/862ffa5709eb8e9109be172e
感觉LOGZILLA这个2.99免费版本功能不是很完善,BUG很多,例如搜索页面很多的HOST等列表并不能自动刷新。。等等等。
这个版本感觉也就不建议使用在大型的生产系统上
本文出自 “渲染不变的昨天” 博客,谢绝转载!