loganalyzer搭建過程

loganalyzer搭建過程

試驗准備：主機A和主機B，IP地址分別為192.168.131.130和192.168.131.136，操作系統為RHEL6.4 x86_64，為最小化安裝，兩台服務器均關閉防火牆和SELINUX

1. 安裝並設置LAMP環境
   1. 安裝LAMP環境

      # yum -y install httpd mysql mysql-server php php-mysql mysql-devel

   2. 啟動服務並加入開機啟動

      啟動apache

      # service httpd start

      # chkconfig httpd on

      啟動mysql

      # service mysqld start

      # chkconfig mysqld on

   3. 設置mysql root密碼

      # mysqladmin -uroot password '123456'

   4. 測試php運行環境

      # vim /var/www/html/index.php

      <?php

      phpinfo()

      ?>

打開瀏覽器訪問http://192.168.131.130/，出現如下界面

1. 檢查並安裝服務器端軟件

   1.檢查是否安裝rsyslog軟件

# rpm -qa | grep rsyslog //默認系統都安裝了該軟件

2.安裝rsyslog連接MySQL數據庫的模塊

# yum -y install rsyslog-mysql

注： rsyslog-mysql 為rsyslog 將日志傳送到MySQL 數據庫的一個模塊，這里必須安裝

1. 配置服務器端
   1. 導入rsyslog-mysql 數據庫文件

      # cd /usr/share/doc/rsyslog-mysql-5.8.10/

      # mysql -uroot -p123456 < createDB.sql

查看做了哪些操作

# mysql -uroot -p123456

mysql> show databases;

mysql> use Syslog;

mysql> show tables;

導入數據庫操作創建了Syslog 庫並在該庫中創建了兩張空表SystemEvents 和SystemEventsProperties

1. 創建rsyslog 用戶在mysql下的相關權限

   # mysql -uroot –p

   mysql> grant all on Syslog.* to 'rsyslog'@'localhost' identified by '123456';

   mysql> flush privileges; #刷新權限表

   mysql> exit

2. 配置服務端支持rsyslog-mysql 模塊，並開啟UDP服務端口獲取網內其他LINUX系統日志

   # vim /etc/rsyslog.conf

   $ModLoad ommysql

   *.*:ommysql:localhost,Syslog,rsyslog,123456

   

   注：localhost 表示本地主機，Syslog 為數據庫名，rsyslog 為數據庫的用戶，123456為該用戶密碼

3. 開啟相關日志模塊

   # vim /etc/rsyslog.conf

$ModLoad immark    #immark是模塊名，支持日志標記

$ModLoad imudp    #imupd是模塊名，支持udp協議

$UDPServerRun 514    #允許514端口接收使用UDP和TCP協議轉發過來的日志

1. 重啟rsyslog服務

   # service rsyslog restart

1. 配置客戶端
   1. 檢查rsyslog是否安裝

      # rpm -qa | grep rsyslog

   2. 配置rsyslog客戶端發送本地日志到服務端

      # vim /etc/rsyslog.conf

      *.* @192.168.131.130

      

      注：行尾新增上面這行內容，即客戶端將本地日志發送到服務器

   3. 重啟rsyslog服務

      # service rsyslog restart

   4. 編輯/etc/bashrc,將客戶端執行的所有命令寫入系統日志/var/log/message中

      在文件尾部增加一行

export PROMPT_COMMAND='{ msg=$(history 1 | { read x y; echo $y; });logger "[euid=$(whoami)]":$(who am i):[`pwd`]"$msg"; }'

# . !$ #加載/etc/bashrc

五、測試Rsyslog Server是否可以正常接受Client端日志

Client端測試

Server端偵測

注：說明接收正常，包括你重啟機器的一些Log都可以查看到

1. 安裝LogAnalyzer

   # yum -y install wget

   # wget http://download.adiscon.com/loganalyzer/loganalyzer-3.6.5.tar.gz

   # tar xf loganalyzer-3.6.5.tar.gz

   # cd loganalyzer-3.6.5

   # mkdir -p /var/www/html/loganalyzer

   # cp -a src/* /var/www/html/loganalyzer/

2. 在瀏覽器安裝向導中安裝LogAnalyzer

   打開瀏覽器輸入：http://192.168.131.130/loganalyzer/

   

   提示沒有配置文件，點擊 here 利用向導生成

   1. 測試系統環境

      

點擊"next",進入下一步

提示錯誤：缺少config.php 文件，並且權限要設置為666，可以使用contrib目錄下的configure.sh 腳本生成

# cd /root/loganalyzer-3.6.5/contrib/

# cat configure.sh

# bash configure.sh

# dir

# cp -a config.php /var/www/html/loganalyzer/

做完上面的操作之后，執行 ReCheck 操作，config.php 文件可寫，點擊 Next 進入下一步。

1. 基礎配置

   

在User Database Options 中，填入上面設置的參數，然后點擊 "Next".

3.創建表

點擊 Next 開始創建表

4.檢查SQL結果

 

1. 創建管理用戶

   

2. 創建第一個系統日志 source

   

7．完成

1. 測試

   LogAnalyzer 首頁

   

點擊"Statistics"

登錄測試

點擊"Admin Center"在Admin Center 里可以進行一些系統設置