rsyslog+loganalyzer配置日志监控服务器收集(linux+windows)日志

文章描述:-2022年4月13日发(作者:雍陶)系统要求:mysqlmysql-develmysql-serverphpphp-mysqlphp-pdophp-commonphp-gdhttpd系统要求按照:root#yuminstallmysqlmysql-develmysql-serverphpphp-mysqlphp-pdophp-commonphp-gdhttpdMysql数据库的安装配置:1.安装

-

rsyslog+loganalyzer配置日志监控服务器收集(linux+windows)日志
2022年4月13日发
(作者:雍陶)

系统要求:mysqlmysql-develmysql-serverphpphp-mysqlphp-pdophp-commonphp-gdhttpd

系统要求按照:root#yuminstallmysqlmysql-develmysql-serverphpphp-mysqlphp-pdo

php-commonphp-gdhttpd

Mysql数据库的安装配置:

1.安装mysql1.1执行安装$sudoyum-yinstallmysql-server1.2注意mysql和mysql-server有区别,只需作为client,执行yuminstallmysql.

2.服务和配置2.1开机启动$sudo/sbin/chkconfig--addmysqld$sudo/sbin/chkconfigmysqldon$sudo/sbin/servicemysqldstart2.2设置root密码$sudomysqladmin-urootpassword'1234'

3.连接mysql$mysql-hlocalhost-uroot-p1234

2、下载rsyslog+loganalyzerrsyslog下载地址:/download/Logandale下载地址:/downloads

3、前期环境部署yum-yinstallmysql-devel这个不安装的话,在编译rsyslog时会出错的。

4、解压,进入按照目录安装rsyslog

Cdrsyslog-x.x.x

./configure--enable-mysql

make&&makeinstall

/etc#此文件在编译目录下

5、vim/etc/#修改配置文件

#ifyouexperienceproblems,check

#/troubleshootforassistance

#rsyslo3:loadinputmodules

#Ifyoudonotloadinputs,nothinghappens!

#Youmayneedtosetthemoduleloadpathifmodulesarenotfound.

$ModLoadimmark#provides--MARK--messagecapability

$ModLoadimuxsock#providessupportforlocalsystemlogging(ger

command)

$ModLoadimklog#kernellogging(formerlyprovidedbyrklogd)

=================新增下面2行================

$ModLoadommysql

*.*:ommysql:localhost,Syslog,root,mysql#注localhost字节是database-server#Syslog是数据中database-name#root是database-userid#mysql是root用户登录mysql的密码#该行的格式

#*.*:ommysql:database-server,database-name,database-userid,database-password#同样要注意的是database-name必须和

/usr/share/doc/rsyslog-mysql-[version]/中的相同

============================================主要是加载mysql数据库。

#Logallkernelmessagestothecole.

#Loggingmuchelsecluttersupthescreen.

#kern.*/dev/cole

#Loganything(exceptmail)oflevelinfoorhigher.

#Don'tlogprivateauthenticationmessages!

*.info;;;-/var/log/messages

#Theauthprivfilehasrestrictedaccess.

authpriv.*/var/log/secure

#Logallthemailmessagesinoneplace.

mail.*-/var/log/maillog

#Logcrtuff

cron.*-/var/log/cron

#Everybodygetsemergencymessages

*.emerg*

#Savenewserrorsoflevelcritandhigherinaspecialfile.

uucp,-/var/log/spooler

#

local7.*/var/log/

#RemoteLogging(weuseTCPforreliabledelivery)

#emotehostis

#down,messagesarespooledtodiskandsentwhenitisupagain.

#$WorkDirectory/rsyslog/spool#wheretoplacespoolfiles

#$ActionQueueFileameuniqame#uniquenameprefixforspoolfiles

#$ActionQueueMaxDiskSpace1g#1gbspacelimit(useasmuchaspossible)

#$ActionQueueSaveOnShutdownon#savemessagestodiskhutdown

#$ActionQueueTypeLinkedList#runasynchronously

#$ActionResumeRetryCount-1#infiniteretriesifhostisdown

#remotehostis:name/ip:port,e.g.192.168.0.1:514,portoptional

#*.*@@remote-host:514

##ReceivingMessagesfromRemoteHosts

###TCPSyslogServer:

#providesTCPsyslogreceptionandGSS-API(ifcompiledtosupportit)

#$#loadmodule

#$InputTCPServerRun514#startupTCPlisteneratport514

#UDPSyslogServer:

=====去掉下面2行的注释,主要是接收客户的日志====

$#providesUDPsyslogreception

$UDPServerRun514#startaUDPsyslogserveratstandardport514

保存退出,开启防火墙的UDP514端口,重启防火墙。

6、建立rsyslog启动脚本。

cp-rp/etc/init.d/syslog/etc/init.d/rsyslog

sed-i's/syslog/rsyslog/g'/etc/init.d/rsyslog

ln-s/usr/local/sbin/rsyslogd/sbin/rsyslogd

=====停止自带的syslog日志服务====

servicesyslogstop

7、导入数据库。

cd/root/syslog/rsyslog-5.8.1/plugins/ommysql

mysql-uroot-p<

密码:

启动rsyslog

servicersyslogstart

检查数据库是否有相应数据

mysql-uroot-p

useSyslog;

select*fromSystemEvents;

如果有数据,则表示成功。

8、安装loganalyzer并修改权限##cdloganalyzer-3.0.4#cp-rsrc//var/www/html/rsyslog#cp-rcontrib/*/var/www/html/rsyslog#chown-Rapache:apache/var/www/html/rsyslog

#cd/var/www/html/rsyslog

chmoda+x*sh

./#创建文件,并设置的属性http://192.168.*.*/rsyslog

1)here

2)next

3)EnableuserdatabaseYesDatabaseHostlocalhostDatabasePort3306DatabaseameSyslogTableprefix空DatabaseUserrootDatabasepassword....RequireusertobeloggedinYes

4)next

5)next

6)username:adminpassword:repeatpassword:

7)ameoftheSource:MySyslogSourceSourceType:MYSQLativeSelectView:SyslogFieldTabletype:MonitorWareDatabaseHost:localhostDatabaseame:SyslogDatabaseTablename:SystemEvents#注意大小写,否则登入以后提示talbes

不到,如提示不到tables,可以登录后到setup选项,更改DatabaseUser:rootDatabsespassword:EnableRowcountingYes

8)next

./修改文件属性

9、linux客户端部署:

客户端部署比较简单:

vim/etc/

在最后面添加:*.*@192.168.2.211

保存退出,重启syslog服务。

servicesyslogrestart

此时在服务器上就可以看到相关服务器的日志信息了。

10、windows下的客户端部署需要evtsys软件的支持下载evtsys软件地址:

/p/eventlog-to-syslog/downloads/list此软件分

23位和64位版本,请核实操作系统在下载,下载后解压,将复制到

C:windowssystem32目录下,在命令行下运行,evtsys-i-h192.168.*.*,(此ip为日志服务

器的ip地址)完成安装,在运行,netstartevtsys,启动evtsys服务,配置完成。

配置参数介绍为:

Evtsys-i-h192.168.10.120-l0

netstartevtsys

Version:4.4(32-bit)

Usage:-i|-u|-d[-hhost][-bhost][-ffacility][-pport]

[-sminutes][-llevel][-n]

-iInstallservice

-uUninstallservice

-dDebug:runascoleprogram

-hhostameofloghost

-bhostameofsecondaryloghost(optional)

-ffacilityFacilitylevelofsyslogmessage

",stderr);0=All/Verbose,1=Critical,2=Error,3=Warning,4=Info

-nIncludeonlythoseeventsspecifiedintheconfig

file.

-pportPortnumberofsyslogd

-qboolQuerytheDhcpservertoobtainthesyslog/portto

logto

(0/1=disable/enable)

-sminutesOptionalintervalbetweenstatusmessages.0=

Disabled

Defaultport:514

Defaultfacility:daemon

Defaultstatusinterval:0

Host(-h)requiredifinstalling.

11.登录日志服务器,http://192.168.*.*/Rsyslog,可以看到以主机名归类的服务器信息

-

rsyslog+loganalyzer配置日志监控服务器收集(linux+windows)日志

发布时间:2022-04-13 02:13:08
文章版权声明:除非注明,否则均为IT技术网-学习WEB前端开发等IT技术的网络平台原创文章,转载或复制请以超链接形式并注明出处。

发表评论

评论列表 (有 8 条评论,416人围观)