? ? ?作為一名系統(tǒng)運(yùn)維工程師，平時(shí)查看分析LINUX系統(tǒng)日志我覺得是我們每天必做的功課，但時(shí)間長了會發(fā)現(xiàn)每次查看站點(diǎn)日志都得挨個(gè)進(jìn)后臺，幾臺服務(wù)器還可以這么對付，但如果管理成百上千臺線上服務(wù)器，這種方法就捉襟見肘了。

? ? ?后來想了想能不能有一臺日志服務(wù)器集中管理日志，并以WEB形式將日志顯示到前臺方便查看，頓時(shí)碼字的想法油然而生，呵呵。

? ? ?本人有一個(gè)習(xí)慣，那就是會把群里或者網(wǎng)上看到的圈內(nèi)比較認(rèn)可的LINUX系統(tǒng)軟件先保存在備忘錄，等閑下來研究研究，剛好前段時(shí)間有位朋友提到rsyslog+loganalyzer集中管理日志，所以今天剛好就抽空研究了下，過程雖有曲折（網(wǎng)上的文檔各種坑跌),最后還是利用一天時(shí)間搞定，將自己的理解分享給搭建，僅供參考。

我的博客新站已經(jīng)建好，更多新的內(nèi)容即將在新站更新。。

歡迎訪問 ? ? http://www.showerlee.com

? ? ?本文檔是利用rsyslog+loganalyzer+mysql將網(wǎng)內(nèi)所有LINUX服務(wù)器的系統(tǒng)日志集中到日志服務(wù)器進(jìn)行管理，所有日志會保存在mysql數(shù)據(jù)庫表中

注：loganalyzer在獲取客戶端日志會有兩種保存模式，一種是直接讀取客戶端/var/log/目錄下的日志并保存到服務(wù)端該目錄下，一種是讀取后保存到日志服務(wù)器數(shù)據(jù)庫中，本文檔推薦后者

解決方案：

一.環(huán)境部署

操作系統(tǒng)： ? ? ? ?centos6.3 x64

rsyslog: ? ? ? ? ?系統(tǒng)默認(rèn)yum源

loganalyzer: ? ? ?loganalyzer-3.6.3 ?

LAMP: ? ? ? ? ? ? httpd-2.4.4，mysql-5.6.10，php-5.4.13

rsyslog server: 192.168.7.201 ? ?lamp.example.com

rsyslog client: 192.168.7.74 ? ? www2.example.com

1.安裝LAMP環(huán)境

本博傳送門：http://showerlee.blog.51cto.com/2047005/1174141

2.關(guān)閉iptables和SELINUX

# service iptables stop

注：這里若要開啟iptables服務(wù)增加系統(tǒng)安全性

服務(wù)端需添加rsyslog UDP 514端口以及l(fā)oganalyzer TCP 80端口通過規(guī)則

# iptables -A INPUT -p udp ?--dport 514 -j ACCEPT

# iptables -P OUTPUT ACCEPT

# iptables -A INPUT -p TCP --dport 80 -j ACCEPT

客戶端只需添加OUTPUT通過規(guī)則

# iptables -P OUTPUT ACCEPT

從規(guī)則可見，rsyslog server端為被動獲取數(shù)據(jù)，client端為主動發(fā)送數(shù)據(jù)

關(guān)閉iptables的朋友可以無視。。

# setenforce 0

# vi /etc/sysconfig/selinux

---------------

SELINUX=disabled

---------------

3.同步時(shí)間

# ntpdate asia.pool.ntp.org

二.安裝配置rsyslog

(rsyslog server)

# yum install rsyslog rsyslog-mysql -y

注：rsyslog-mysql為rsyslog將日志傳送到mysql數(shù)據(jù)庫的一個(gè)模塊，這里必須安裝

# cd /usr/share/doc/rsyslog-mysql-5.8.10/

# mysql -uroot -p123456 < createDB.sql

注：這里導(dǎo)入數(shù)據(jù)庫操作其實(shí)博主最后研究了下，就是創(chuàng)建了Syslog庫并在該庫中創(chuàng)建了兩張空表

創(chuàng)建rsyslog用戶在mysql下的相關(guān)權(quán)限

# mysql -uroot -p123456

> grant all privileges on Syslog.* to rsyslog@localhost ?identified by "123456";

> flush privileges;

> exit

配置服務(wù)端支持rsyslog-mysql模塊，并開啟UDP服務(wù)端口獲取網(wǎng)內(nèi)其他LINUX系統(tǒng)日志

# vi /etc/rsyslog.conf

在#### MODULES ####下添加這兩行

------------------

$ModLoad ommysql.so ?

*.* :ommysql:localhost,Syslog,rsyslog,123456

------------------ ?

注:localhost表示本地主機(jī)，Syslog為數(shù)據(jù)庫名，rsyslog為數(shù)據(jù)庫的用戶，123456為該用戶密碼

取消下面三行注釋

-----------------

$ModLoad immark ?

$ModLoad imudp

$UDPServerRun 514

-----------------

重啟服務(wù)：

# service rsyslog restart

(rsyslog client)

# yum install rsyslog -y

配置rsyslog客戶端發(fā)送本地日志到服務(wù)端

# vi /etc/rsyslog.conf

末行添加如下內(nèi)容

-------------------

*.* ? @192.168.7.201

-------------------

注:192.168.7.201 為日志服務(wù)器端IP地址

重啟服務(wù)：

# service rsyslog restart

三.安裝loganalyzer

# wget http://download.adiscon.com/loganalyzer/loganalyzer-3.6.3.tar.gz

# tar zxvf loganalyzer-3.6.3.tar.gz

# cd loganalyzer-3.6.3

# mkdir -p /usr/local/apache2/htdocs/loganalyzer

復(fù)制loganalyzer源代碼到apache的DocumentRoot下loganalyzer目錄

# cp -r src/* ? /usr/local/apache2/htdocs/loganalyzer

# cp -r contrib/* ?/usr/local/apache2/htdocs/loganalyzer

# chown -R daemon.daemon /usr/local/apache2/htdocs/loganalyzer

通過web向?qū)О惭bloganalyzer前，必須先執(zhí)行以下兩個(gè)腳本

# cd /usr/local/apache2/htdocs/loganalyzer/

# sh configure.sh

# sh secure.sh

注：該腳本實(shí)際上是創(chuàng)建該目錄下的config.php，并配置該文件權(quán)限。

在瀏覽器輸入網(wǎng)址，進(jìn)入安裝向?qū)?/p>

http://192.168.7.201/loganalyzer

1.提示沒有配置文件，點(diǎn)擊here利用向?qū)?/p>

2.NEXT

3.按照如圖輸入配置，點(diǎn)擊NEXT：

注：點(diǎn)擊NEXT時(shí)若報(bào)錯(cuò)，后臺執(zhí)行如下命令后繼續(xù)

# ln -s /var/lib/mysql/mysql.sock /tmp/mysql.sock

4.開始寫入數(shù)據(jù)庫，NEXT

5.提示寫入成功，NEXT

6.設(shè)置管理員賬戶，配置完畢NEXT

7.設(shè)置監(jiān)控日志保存到mysql數(shù)據(jù)庫中，按照如圖配置后NEXT

8.完成配置,FINISH

9.進(jìn)入登陸界面：

10.進(jìn)入主界面：

查看loganalyzer是否獲取192.168.7.201和192.168.7.74系統(tǒng)日志

利用navicat查看rsyslog服務(wù)端和客戶端系統(tǒng)日志是否都寫入數(shù)據(jù)庫Syslog-SystemEvents表

---------- 大功告成------------

后記：

1.本人在loganalyzer安裝向?qū)渲玫膚eb后臺賬戶，在登陸界面無法登陸，提示賬號或密碼錯(cuò)誤，不知道是什么原因？最后是在向?qū)б惶幦サ舻顷懻J(rèn)證才勉強(qiáng)通過，有遇到相同問題的朋友望幫忙解答。

經(jīng)過一位朋友指點(diǎn)，終于找到了原因

首先利用以下命令守株待兔

# tail -f /usr/local/mysql/log/mysql.log

然后在loganalyzer向?qū)TEP6輸入web后臺賬號密碼后，點(diǎn)擊NEXT

查看到mysql.log日志里出現(xiàn)了一條INSERT語句

然后將該語句復(fù)制到后臺手動執(zhí)行，看報(bào)什么錯(cuò)誤

# mysql -uroot -p123456;

> INSERT INTO logcon_users (username, password, is_admin) VALUES ('admin', '00a1f187721cxxxxxxx6bf791e69382c', 1);

ERROR 1364 (HY000): Field 'last_login' doesn't have a default value

提示'last_login'欄不能為空值

OK，直接登錄navicat,將這欄設(shè)置為允許空值保存即可

從新執(zhí)行這條語句

> INSERT INTO logcon_users (username, password, is_admin) VALUES ('admin', '00a1f187721cxxxxxxx6bf791e69382c', 1);

Query OK, 1 row affected (0.06 sec)

顯示執(zhí)行成功

利用navicat 查看后臺該表，顯示成功插入一條記錄

重新利用該賬號即可成功登錄loganalyzer web后臺

看來是mysql在執(zhí)行該語句時(shí)，發(fā)現(xiàn)last_login欄默認(rèn)為非空，所以拒絕這條insert語句執(zhí)行，解決辦法就是將該欄設(shè)置為允許空值即可

博主在線上老版本mysql-5.0.56無需進(jìn)行上述手動操作，即可成功登錄后臺

但本篇出現(xiàn)的問題則是在mysql-5.6.10版本上

看來這應(yīng)該不算是loganalyzer的BUG，應(yīng)該是mysql在高版本執(zhí)行insert語句提高了嚴(yán)謹(jǐn)性

這里給卡在這里的朋友點(diǎn)思路，僅供參考。

在此感謝longeleven11朋友的提點(diǎn)。。。。

2.安裝rsyslog可謂是過程曲折，之前本想全部編譯安裝，最后才發(fā)現(xiàn)網(wǎng)上的文檔各種誤導(dǎo)，編譯rsyslog最后花了2個(gè)小時(shí)安裝了其6個(gè)依賴包，全部找的老外的文檔挨個(gè)測試，裝完網(wǎng)上給出的文檔又不能合理給出如何與系統(tǒng)自帶的rsyslog共存保證不沖突，也就是編譯的rsyslog的啟動方法如何與系統(tǒng)自帶的區(qū)別，索性就yum吧，實(shí)屬無奈之舉，還有吐槽下google各種間歇性抽風(fēng)，至于原因，大家都懂的。。。

3.Windows客戶端安裝(win2008 server 64bit)

1.下載evtsys

http://eventlog-to-syslog.googlecode.com/files/Evtsys_4.4.3_64-Bit.zip

2.解壓文件將包內(nèi)64-Bit文件夾下的所有文件復(fù)制C:\Windows\System32下

3.開啟evtsys服務(wù)

運(yùn)行- cmd

> cd c:\Windows\System32

> evtsys -i -s 10 -h 192.168.7.11 -p 514

> net start evtsys

4.驗(yàn)證效果

如圖：

轉(zhuǎn)載于:https://blog.51cto.com/showerlee/1231160

總結(jié)

以上是生活随笔為你收集整理的Centos6.3下利用rsyslog+loganalyzer+mysql部署日志服务器的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。