LogAnalyzer简介
LogAnalyzer 是一个syslog和其他网络事件数据的Web前端工具,提供简单易用的日志浏览、搜索和基本分析以及图表显示,PHP语言开发。官方地址
LogAnalyzer在RHEL6上的安装
RHEL系列从RHEL6开始日志服务器,缺省的由原来RHEL5的syslog改为rsyslog。关于rsyslog和syslog的优缺点可以查看链接,ryslog有很多优势,因此本文以rsyslog为例。rsyslog支持TCP/UDP协议,并且可以将日志直接写入到数据库中,如Mongodb、MySQL,本文将以MySQL为例。
ryslog优势:
- 支持Multi-threading功能,处理效率比传统的syslog服务器更高
- 提供SSL加密功能,提高syslog传输安全性
- 提供数据库输出功能<MySQL、Mongodb … …>
- 提供过滤功能,可自定义相关的过滤条件
中心日志服务器配置
Log Server端配置
安装rsyslog、rsyslog-mysql
1
| yum install rsyslog rsyslog-mysql -y
|
安装MySQL和Apache
1
2
| yum install mysql-server
yum install httpd php php-mysyql php-gd
|
导入rsyslog写入数据需要的MySQL库文件,默认安装好之后会在目录/usr/share/doc/rsyslog-mysql-x.x.x/createDB.sql有该文件,rsyslog-mysql的版本不同,具体的位置也相应的不同
1
| mysql -u root -p < /usr/share/doc/rsyslog-mysql-5.8.10/createDB.sql
|
如果导入正常的话,MySQL会生成Syslog库
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
| mysql> use Syslog
Reading table information for completion of table and column names
You can turn off this feature to get a quicker startup with -A
Database changed
mysql> show tables;
+------------------------+
| Tables_in_Syslog |
+------------------------+
| SystemEvents |
| SystemEventsProperties |
| charts |
| config |
| dbmappings |
| fields |
| groupmembers |
| groups |
| savedreports |
| searches |
| sources |
| users |
| views |
+------------------------+
13 rows in set (0.00 sec)
mysql>
|
赋权,这里新增用户给insert权限即可,可参考rsyslog_mysql
1
2
3
4
5
6
7
| mysql> grant insert on Syslog.* to 'sysloguser'@'localhost' identified by '123321';
Query OK, 0 rows affected (0.34 sec)
mysql> flush privileges;
Query OK, 0 rows affected (0.08 sec)
mysql>
|
修改rsyslog配置文件/etc/rsyslog.conf,添加mysql支持
1
2
3
| $ModLoad ommysql.so
*.* :ommysql:localhost,Syslog,sysloguser,123321
#*.* :ommysql:database-server,database-name,database-userid,database-password
|
修改rsyslog配置文件/etc/rsyslog.conf,配置udp和tcp接受监听
1
2
3
4
5
6
| $ModLoad imudp
$UDPServerRun 514
$ModLoad imtcp
$InputTCPServerRun 514
$AllowedSender UDP, 127.0.0.1, 10.2.0.0/16 #10.2.0.0为接受某个网段发来的IP
$AllowedSender TCP, 127.0.0.1, 10.2.0.0/16
|
完成以上步骤之后重新启动rsyslog即可
1
| /etc/init.d/rsyslog restart
|
这时登陆MySQL执行mysql> select * from Syslog.SystemEvents;就可以看到rsyslog日志内容了
Log Client端配置
安装rsyslog
修改rsyslog配置文件/etc/rsyslog.conf,添加如下内容
1
| *.* @@Server_ip #Server_ip为Log Server端的ip
|
完成以上步骤之后重新启动rsyslog即可
1
| /etc/init.d/rsyslog restart
|
安装LogAnalyzer
下载解压
1
2
3
4
5
6
7
| wget http://download.adiscon.com/loganalyzer/loganalyzer-3.6.3.tar.gz
tar xf loganalyzer-3.6.3.tar.gz
cd loganalyzer-3.6.3
mkdir /var/www/html/rsyslog
cp -r contrib/* src/* /var/www/html/rsyslog #拷贝到web家目录下
chown apache:apache -R /var/www/html/rsyslog
bash /var/www/html/rsyslog/configure.sh
|
浏览器打开http://web_url/rsyslog
Next1,点击here执行安装
Next2
Next3
在Server端创建一个用户管理库和一个用户,然后输入到web中,开启使用数据库管理用户选项
1
2
3
4
5
6
7
8
9
10
| mysql> create database loganalyzer;
Query OK, 1 row affected (0.02 sec)
mysql> grant all on loganalyzer.* to 'loganalyzer'@'localhost' identified by '123321';
Query OK, 0 rows affected (0.00 sec)
mysql> flush privileges;
Query OK, 0 rows affected (0.00 sec)
mysql>
|
Next4
Next5
Next6
添加登陆用户
Next7
选择数据库类型,并且添加相关数据库用户,修改用户权限如下:
1
2
| mysql> grant all on Syslog.* to 'sysloguser'@'localhost' identified by '123321';
mysql> flush privileges;
|
如果只是日志写入到数据库中,那么只需要insert权限即可。如果使用loganlyzer,那么安装过程需要额外的权限,可以新增用户,也可先给sysloguser所有的权限,安装完成之后,再次恢复权限如下:
1
2
| mysql> grant insert,select on Syslog.* to 'sysloguser'@'localhost' identified by '123321'; #loganlyzer安装完成后需要使用select权限查询输出到页面,因此这里赋予select权限
mysql> flush privileges;
|
Next8安装成功
登陆,输入之前的用户名和密码即可:
登陆之后页面如下:
–EOF–