RHEL6.4 建立 rsyslog 日志效劳 rsyslog+mysql+loganalyzer51CTO博客 - 威尼斯人

RHEL6.4 建立 rsyslog 日志效劳 rsyslog+mysql+loganalyzer51CTO博客

2019年02月28日15时17分11秒 | 作者: 女孩 | 标签: 日志,效劳,文件 | 浏览: 2162

软件供给的功用:

1、rsyslog是RHEL或centos体系6.x版别的日志效劳,替代曾经体系的syslog效劳。在这个架构中rsyslog效劳主要是搜集日志的功用,把日志归类,写入数据库。

2、mysql是简略的数据库,在这个架构中主要使命是寄存搜集过来的日志信息,以便供给给loganalyzer软件来显示出来。

3、loganalyzer是一个日志剖析东西,比较简略。在这个架构中主要是从mysql数据库中提取数据依条形和图形直观的显示出来,供给挑选、查找、归类、计算等功用。

4、evtsys是运转在windows平台下,把体系搜集的日志发送到mysql中,保存起来。


整个环境需求的条件:

在整个结构中,rsyslog、mysql、http、php等运用体系自带的rpm包

loganalyzer是从网上下载的源码包文件,地址: http://download.adiscon.com/loganalyzer/loganalyzer-3.6.3.tar.gz。

整个日志效劳是树立在LAMP架构之上的,需求对LAMP有所了解。

两台RHEL6.4体系的主机,一个是server一个是client,把iptables和selinux封闭。

树立过程:

1、先在server上来验证一下LAMP架构。

a、初始化mysql效劳,进入mysql数据库,履行 "mysql -u 用户名 -D 数据库名 -p 暗码" 进行验证mysql是否存在问题;

b、敞开httpd效劳,翻开浏览器,输入本机IP地址,验证httpd效劳。找到DirectoryIndex关键字,增加index.php。

c、修正httpd.conf装备文件,在/var/www/html/增加测验index.php页面。进行LAMP的全体测验。



vi /var/www/html/index.php 
<?php 
$link=mysql_connect(localhost,root,123456);    (主机名,用户名,暗码) 
if(!$link) echo "失利!"; 
else echo "成功!"; 
mysql_close(); 
?>
Rsyslog的装备文件:
vim /etc/rsyslog.conf

 MODULES 日志的模块 
$ModLoad imuxsock   #imuxsock是模块名,支撑本地体系日志的模块 
$ModLoad imklog     #imklog是模块名, 支撑内核日志的模块 
#$ModLoad immark    #immark是模块名,支撑日志符号 
#$ModLoad imudp     #imupd是模块名,支撑udp协议 
#$UDPServerRun 514  #答应514端口接纳运用UDP和TCP协议转发过来的日志 
#$ModLoad imtcp     #imtcp是模块名,支撑tcp协议 
#$InputTCPServerRun 514
# GLOBAL DIRECTIVES #界说大局日志格局的指令 
$ActionFileDefaultTemplate RSYSLOG_TraditionalFileFormat #界说日志格局默许模板 
$IncludeConfig /etc/rsyslog.d/*.conf   #载入rsyslog.d文件中一切以conf结束的文件 
 RULES  
*.info;mail.none;authpriv.none;cron.none    /var/log/messages 
#记载一切日志类型的info等级以及大于info等级的信息到/var/log/messages,可是mail邮件信息,authpriv验证方面的信息和cron时刻#使命相关的信息在外 
authpriv.*             /var/log/secure 
#authpriv验证相关的一切信息寄存在/var/log/secure 
mail.*                -/var/log/maillog 
#邮件的一切信息寄存在/var/log/maillog; 这里有一个-符号, 表明是运用异步的方法记载, 由于日志一般会比较大 
cron.*                /var/log/cron 
计划使命有关的信息寄存在/var/log/cron 
*.emerg                * (*表明一切用户) 
#记载一切的大于等于emerg等级信息, 以wall方法发送给每个登录到体系的人 
uucp,news.crit        /var/log/spooler 
记载uucp,news.crit等寄存在/var/log/spooler 
local7.*              /var/log/boot.log 
本地效劳器的发动的一切日志寄存在/var/log/boot.log中 
#rsyslog.conf#中日志规矩的界说的格局 
facitlity.priority          Target 
#facility: 日志设备(能够理解为日志类型): 
 
auth         #pam发生的日志,认证日志 
authpriv     #ssh,ftp等登录信息的验证信息,认证授权认证 
cron         #时刻使命相关 
kern         #内核 
lpr          #打印 
mail         #邮件 
mark(syslog) #rsyslog效劳内部的信息,时刻标识 
news         #新闻组 
user         #用户程序发生的相关信息 
uucp         #unix to unix copy, unix主机之间相关的通讯 
local 1~7    #自界说的日志设备 
= 
#priority: 等级日志等级: 
= 
debug           #有调式信息的,日志信息最多 
info            #一般信息的日志,最常用 
notice          #最具有重要性的一般条件的信息 
warning, warn   #正告等级 
err, error      #过错等级,阻挠某个功用或许模块不能正常作业的信息 
crit            #严峻等级,阻挠整个体系或许整个软件不能正常作业的信息 
alert           #需求马上修正的信息 
emerg, panic    #内核溃散等严峻信息 
#从上到下,等级从低到高,记载的信息越来越少,假如设置的日志内性为err,则日志不会记载比err等级低的日志,只会记载比err更高等级的日志,也包括err自身的日志。 
= 
Target: 
#文件, 如/var/log/messages 
#用户, root,*(表明一切用户) 
#日志效劳器,@172.16.22.1
#管道        | COMMAND

日志翻滚效劳:一切的日志文件都会跟着时刻的推移和拜访次数的增加而迅速增长,因此有必要对日志文件进行定时整理,避免形成磁盘空间的不必要的糟蹋,一起也加快了管理员检查日志所用的时刻。因此logrotate就十分有存在的必要了,Redhat体系默然装置logrotate,运用 logrotate设置了相关对rsyslog日志迅速增长的设置。logrotate的履行由crond效劳完成。在/etc/cron.daily目 录中,有个logrotate,是个shellscript,用来发动logrotate。

logrotate程序每天由cron在指定的时刻 (/etc/crontab)发动。


sed -e /^#/d  -e /^$/d /etc/logrotate.conf 
weekly      #每周整理一次日志文件 
rotate 4    #保存四个轮换日志 
create      #铲除旧日志的一起,创立新的空日志文件 
dateext     #运用日期为后缀的回滚文件  #能够去/var/log目录下看看 
include /etc/logrotate.d  #包括/etc/logrotate.d目录下的一切装备文件 
/var/log/wtmp {      #对/var/log/wtmp这个日志文件依照下面的设定日志回滚 
monthly                    #每月轮转一次 
create 0664 root utmp      #设置wtmp这个日志文件的权限,属主,属组 
minsize 1M                 #日志文件有必要大于1M才会去轮换(回滚) 
rotate 1                   #保存一个轮换日志 
} 
/var/log/btmp { 
missingok                #假如文件丢掉不报错 
monthly 
create 0600 root utmp 
rotate 1
} 

[root@demo ~]# cat /etc/logrotate.d/syslog 
/var/log/cron    #这些文件是rsyslog.conf文件中大局装备界说中指定的Target的途径 
/var/log/maillog 
/var/log/messages 
/var/log/secure 
/var/log/spooler 
{ 
sharedscripts 
postrotate   # 轮换之后重启rsyslog效劳 
/bin/kill -HUP `cat /var/run/syslogd.pid 2> /dev/null` 2> /dev/null || true
endscript 
}
sed -e /^#/d  -e /^$/d /etc/logrotate.conf 
weekly      #每周整理一次日志文件 
rotate 4    #保存四个轮换日志 
create      #铲除旧日志的一起,创立新的空日志文件 
dateext     #运用日期为后缀的回滚文件  #能够去/var/log目录下看看 
include /etc/logrotate.d  #包括/etc/logrotate.d目录下的一切装备文件 
/var/log/wtmp {      #对/var/log/wtmp这个日志文件依照下面的设定日志回滚 
monthly                    #每月轮转一次 
create 0664 root utmp      #设置wtmp这个日志文件的权限,属主,属组 
minsize 1M                 #日志文件有必要大于1M才会去轮换(回滚) 
rotate 1                   #保存一个轮换日志 
} 
/var/log/btmp { 
missingok                #假如文件丢掉不报错 
monthly 
create 0600 root utmp 
rotate 1
} 

[root@demo ~]# cat /etc/logrotate.d/syslog 
/var/log/cron    #这些文件是rsyslog.conf文件中大局装备界说中指定的Target的途径 
/var/log/maillog 
/var/log/messages 
/var/log/secure 
/var/log/spooler 
{ 
sharedscripts 
postrotate   # 轮换之后重启rsyslog效劳 
/bin/kill -HUP `cat /var/run/syslogd.pid 2> /dev/null` 2> /dev/null || true
endscript 
}

rsyslog 树立:

    装置rsyslog效劳包,rsyslog-mysql的rpm包需求装上去,是日志和数据库结合的包

    装备/etc/rsyslog.conf文件

vi /etc/rsyslog.conf 
SYSLOGD_OPTIONS="-c 2 -r -x -m 180"    增加, 
KLOGD_OPTIONS="-x"                     增加, 
$ModLoad immark.so                     查找,并把注释符号去掉。 
$ModLoad imudp.so                      查找,并把注释符号去掉。 
$UDPServerRun 514                      查找,并把注释符号去掉。

参数描绘如下:

-c指定运转兼容形式。
-r指定监听端口。默许514
-x在接纳客户端音讯时,禁用DNS查找。需和-r参数合作运用。
-m符号时刻戳。单位是分钟,为0时,表明禁用该功用。

修正完保存装备文件后重启rsyslog效劳。


客户端:

vi /etc/rsyslog.conf 
*.*    @172.16.2.240     增加改行,@ 之后是server端ip地址。 
vi  /etc/bashrc          可选项,会记载:那台主机由谁在什么目录履行什么指令 
export PROMPT_COMMAND={ msg=$(history 1 | { read x y; echo $y; });logger "[euid=$(whoami)]":$(who am i):[`pwd`]"$msg"; }    增加 
source /etc/bashrcce     履行后当即收效

修正、保存装备文件后重启rsyslog效劳。


第一阶段验证测验。

a、在客户端输入logger-pinfo“测验信息”;

b、在客户端的/var/log/messager文件中去检查是否有履行的这条指令和输入的成果。


版权声明
本文来源于网络,版权归原作者所有,其内容与观点不代表威尼斯人立场。转载文章仅为传播更有价值的信息,如采编人员采编有误或者版权原因,请与我们联系,我们核实后立即修改或删除。

猜您喜欢的文章