RHEL 6.x 搭建rsyslog日志服务器和loganalyzer 日志分析工具

RHEL 6.x 搭建rsyslog日志服务器和loganalyzer日志分析工具

===============================================

rsyslog的介绍

logrotate日志滚动的介绍

rsyslog的存储途径

基于web的loganalyzer日志分析工具的搭建

======================================================

一、rsyslog的介绍

Linux的日志记录了用户在系统上一切操作，看日志去分析系统的状态是运维人员必须掌握的基本功。

rsyslog日志服务器的优势：

1、日志统一，集中式管理

2、日志实时传送到一个更加安全的远端服务器上，真正记录用户行为，使日志的2次更改可能性大大降低，从而能够对日志进行真实回放，便于问题追踪。

rsyslog的新功能：

rsyslog是一个加强版的syslog，具有各种各样的新功能，典型的有：

1、直接将日志写入到数据库。

2、日志队列（内存队列和磁盘队列）。

3、灵活的模板机制，可以得到多种输出格式。

4、插件式结构，多种多样的输入、输出模块。

5、可以把日志存放在Mysql ，PostgreSQL，Oracle等数据库中

rsyslog的软件包

rsyslog配置文件(

/etc/rsyslog

.conf)

的详解

二、logrotate日志滚动的介绍

所有的日志文件都会随着时间的推移和访问次数的增加而迅速增长，因此必须对日志文件进行定期清理以免造成磁盘空间的不必要的浪费，同时也加快了管理员查看日志所用的时间。因而logrotate就非常有存在的必要了，Redhat系统中已经默然安装logrotate且利用logrotate设置了相关对rsyslog日志迅速增长的设置。

logrotate的执行由crond服务实现。在/etc/cron.daily目录中，有个文logrotate，它实际上是个shell script，用来启动logrotate。

logrotate程序每天由cron在指定的时间（/etc/crontab）启动。

logrotate的软件包

logrotate的配置文件（/etc/logrotate.conf）详解

三、rsyslog的存储途径

a）日志存储在指定的文件中









b）日志存储在指定的rsyslog服务器中





rsyslog客户端的配置：

rsyslog服务器的配置：









c）日志存储在指定的数据库服务器中





思路：

1、安装mysql服务器，且要安装rsyslog连接mysql的驱动

2、解决生成rsyslog服务器的日志特定的格式，

3、在rsyslog配置文件中加载连接mysql的模块，把日志存储到mysql中

rsyslog+Mysql服务器端的配置：

rsyslog客户端的配置：

验证客户端的日志文件存放位置：

1）验证是否存放在客户端本地





2）验证是否存在服务器的/var/log/messages里面





3）验证是否存放在服务器的mysql数据库中





虽然日志存放在mysql数据库服务器中，是解决了日志集中管理，但是存放在mysql服务器中让管理人员头疼的是不便于查看这些大量的日志，于是乎搭建一个日志分析工具就非常的有必要性了。

四、基于web的loganalyzer日志分析工具的搭建

本环境是针对上面的日志存放在mysql服务器中不方便查看，配置loganalyzer日志分析工具来分析查看日志

rsyslog服务器的配置步骤：

1、安装httpd,php,php-gd,php-mysql

httpd用来提供web服务

php使apache支持php，因为loganalyzer是用php编写

php-mysql用于loganalyzer连接数据库

php-gd用于绘图

2、下载loganalyzer源码包

3、执行脚本

4、修改httpd的配置文件，新建一个虚拟主机

5、重启服务，创建loganalyzer的数据库，并授权

6、安装loganalyzer