日志管理-rsyslog日志服务器及loganalyzer

一，日志基础

日志：记录时间，地点，任务，事件

格式：日期时间 主机 进程[pid]: 事件内容

rsyslog 特性：

多线程，UDP, TCP, SSL, TLS, RELP，MySQL, PGSQL, Oracle实现日志存储

强大的过滤器，可实现过滤记录日志信息中任意部分，自定义输出格式

日志分类：facility（不同类存放于不同文件）

auth, authpriv, cron, daemon,ftp,kern, lpr, mail, news, security(auth), user, uucp, local0-local7（自定义）, syslog

配置自定义的日志设施：

在某程序配置文件内调整

SyslogFacility local0

然后在 /etc/rsyslog.conf 配置

local0.* /var/log/xxxx.log

重启rsyslogd 和该程序

日志优先级：

debug, info, notice, warn(warning), err(error), crit(critical), alert, emerg(panic)

配置文件：/etc/rsyslog.conf，/etc/rsyslog.d/.conf，库文件：/lib64/rsyslog/* .so

配置文件的格式（三部分）：

MODULES：相关模块配置

GLOBAL DIRECTIVES：全局配置

RULES：日志记录相关的规则配置

rules 配置格式： facility.priority; facility.priority… target

priority :

*: 所有级别

none PRIORITY =PRIORITY：仅记录指定级别的日志信息

target

文件路径：通常在/var/log/，文件路径前的-表示异步写入 用户：将日志事件通知给指定的用户，* 表示登录的所有用户 日志服务器：@host，把日志送往至指定的远程服务器记录 @@走tcp 管道： | COMMAND，转发给其它命令处理

启用网络日志服务（接受日志的服务器打开）： 配置72服务器日志转储73

72：vim  /etc/rsyslog.conf  
authpriv.*       @192.168.36.72                               
73：
#### MODULES ####
# Provides UDP syslog reception
$ModLoad imudp
$UDPServerRun 514
# Provides TCP syslog reception
$ModLoad imtcp
$InputTCPServerRun 514
authpriv.*      /var/log/secure  #不变
#ssh  登陆72查看 /var/log/secure 
# logger "testxxx"  人为触发写入日志

其他日志文件：

/var/log/secure：系统安装日志，文本格式，应周期性分析
/var/log/btmp：当前系统上，用户的失败尝试登录相关的日志信息，二进制格
式，lastb命令进行查看
/var/log/wtmp：当前系统上，用户正常登录系统的相关日志信息，二进制格
式，last命令可以查看
/var/log/lastlog:每一个用户最近一次的登录信息，二进制格式，lastlog命令
可以查看
/var/log/dmesg：系统引导过程中的日志信息，文本格式,文本查看工具查看,专用命令dmesg查看
/var/log/messages ：系统中大部分的信息

日志管理journalctl：

指定时间的日志：

journalctl --since="2017-10-30 18:10:30"

journalctl --since "20 min ago"

journalctl --since yesterday

journalctl --since "2017-01-10" --until "2017-01-11 03:00"

journalctl --since 09:00 --until "1 hour ago"

尾部 20 条日志 journalctl -n 20

journalctl -f 实时滚动日志显示

二，实验：rsyslog 记录到服务器数据库

1，数据库创建账户

grant all on Syslog.* to 'loguser'@'192.168.36.% ' identified by "redhat";

2,yum -y install rsyslog-mysql

3，为syslog创建数据库表

mysql < /usr/share/doc/rsyslog-8.24.0/mysql-createDB.sql (rpm -ql rsyslog-mysql )

4,配置rsyslog将日志保存到mysql中

vim /etc/rsyslog.conf

#加载模块以便rsyslog与数据库连接

$ModLoad ommysql

facility.priority   :ommysql:192.168.36.73 ,Syslog,loguser, redhat （地址，databasename,user,passwd）

systemctl restart rsyslogd

5, 在72安装httpd+php

yum install httpd php php-mysql php-gd

wget http://download.adiscon.com/loganalyzer/loganalyzer-4.1.7.tar.gz

cp -a loganalyzer-4.1.5/src /var/www/html/loganalyzer

cd /var/www/html/loganalyze

touch config.php

chmod 666 config.php

访问首页