loganalyzer搭建过程

loganalyzer搭建过程

试验准备：主机A和主机B，IP地址分别为192.168.131.130和192.168.131.136，操作系统为RHEL6.4 x86_64，为最小化安装，两台服务器均关闭防火墙和SELINUX

1. 安装并设置LAMP环境
   1. 安装LAMP环境

      # yum -y install httpd mysql mysql-server php php-mysql mysql-devel

   2. 启动服务并加入开机启动

      启动apache

      # service httpd start

      # chkconfig httpd on

      启动mysql

      # service mysqld start

      # chkconfig mysqld on

   3. 设置mysql root密码

      # mysqladmin -uroot password '123456'

   4. 测试php运行环境

      # vim /var/www/html/index.php

      <?php

      phpinfo()

      ?>

打开浏览器访问http://192.168.131.130/，出现如下界面

1. 检查并安装服务器端软件

   1.检查是否安装rsyslog软件

# rpm -qa | grep rsyslog //默认系统都安装了该软件

2.安装rsyslog连接MySQL数据库的模块

# yum -y install rsyslog-mysql

注： rsyslog-mysql 为rsyslog 将日志传送到MySQL 数据库的一个模块，这里必须安装

1. 配置服务器端
   1. 导入rsyslog-mysql 数据库文件

      # cd /usr/share/doc/rsyslog-mysql-5.8.10/

      # mysql -uroot -p123456 < createDB.sql

查看做了哪些操作

# mysql -uroot -p123456

mysql> show databases;

mysql> use Syslog;

mysql> show tables;

导入数据库操作创建了Syslog 库并在该库中创建了两张空表SystemEvents 和SystemEventsProperties

1. 创建rsyslog 用户在mysql下的相关权限

   # mysql -uroot –p

   mysql> grant all on Syslog.* to 'rsyslog'@'localhost' identified by '123456';

   mysql> flush privileges; #刷新权限表

   mysql> exit

2. 配置服务端支持rsyslog-mysql 模块，并开启UDP服务端口获取网内其他LINUX系统日志

   # vim /etc/rsyslog.conf

   $ModLoad ommysql

   *.*:ommysql:localhost,Syslog,rsyslog,123456

   

   注：localhost 表示本地主机，Syslog 为数据库名，rsyslog 为数据库的用户，123456为该用户密码

3. 开启相关日志模块

   # vim /etc/rsyslog.conf

$ModLoad immark    #immark是模块名，支持日志标记

$ModLoad imudp    #imupd是模块名，支持udp协议

$UDPServerRun 514    #允许514端口接收使用UDP和TCP协议转发过来的日志

1. 重启rsyslog服务

   # service rsyslog restart

1. 配置客户端
   1. 检查rsyslog是否安装

      # rpm -qa | grep rsyslog

   2. 配置rsyslog客户端发送本地日志到服务端

      # vim /etc/rsyslog.conf

      *.* @192.168.131.130

      

      注：行尾新增上面这行内容，即客户端将本地日志发送到服务器

   3. 重启rsyslog服务

      # service rsyslog restart

   4. 编辑/etc/bashrc,将客户端执行的所有命令写入系统日志/var/log/message中

      在文件尾部增加一行

export PROMPT_COMMAND='{ msg=$(history 1 | { read x y; echo $y; });logger "[euid=$(whoami)]":$(who am i):[`pwd`]"$msg"; }'

# . !$ #加载/etc/bashrc

五、测试Rsyslog Server是否可以正常接受Client端日志

Client端测试

Server端侦测

注：说明接收正常，包括你重启机器的一些Log都可以查看到

1. 安装LogAnalyzer

   # yum -y install wget

   # wget http://download.adiscon.com/loganalyzer/loganalyzer-3.6.5.tar.gz

   # tar xf loganalyzer-3.6.5.tar.gz

   # cd loganalyzer-3.6.5

   # mkdir -p /var/www/html/loganalyzer

   # cp -a src/* /var/www/html/loganalyzer/

2. 在浏览器安装向导中安装LogAnalyzer

   打开浏览器输入：http://192.168.131.130/loganalyzer/

   

   提示没有配置文件，点击 here 利用向导生成

   1. 测试系统环境

      

点击"next",进入下一步

提示错误：缺少config.php 文件，并且权限要设置为666，可以使用contrib目录下的configure.sh 脚本生成

# cd /root/loganalyzer-3.6.5/contrib/

# cat configure.sh

# bash configure.sh

# dir

# cp -a config.php /var/www/html/loganalyzer/

做完上面的操作之后，执行 ReCheck 操作，config.php 文件可写，点击 Next 进入下一步。

1. 基础配置

   

在User Database Options 中，填入上面设置的参数，然后点击 "Next".

3.创建表

点击 Next 开始创建表

4.检查SQL结果

 

1. 创建管理用户

   

2. 创建第一个系统日志source

   

7．完成

1. 测试

   LogAnalyzer 首页

   

点击"Statistics"

登录测试

点击"Admin Center"在Admin Center 里可以进行一些系统设置