建站
咨詢
售后
建站咨詢
新聞中心
本文主要給大家介紹rsyslog日志分析講義,希望可以給大家補充和更新些知識,如有其它問題需要了解的可以持續(xù)在創(chuàng)新互聯(lián)行業(yè)資訊里面關(guān)注我的更新文章的。
創(chuàng)新互聯(lián)建站于2013年創(chuàng)立,先為寧河等服務(wù)建站,寧河等地企業(yè),進行企業(yè)商務(wù)咨詢服務(wù)。為寧河企業(yè)網(wǎng)站制作PC+手機+微官網(wǎng)三網(wǎng)同步一站式服務(wù)解決您的所有建站問題。
1、安裝Apache
[root@localhost ~]# yum -y install httpd
# 開機自啟動
[root@localhost ~]# chkconfig httpd on
# 啟動httpd 服務(wù)
[root@localhost ~]# service httpd start
### 安裝apache 一些擴展,如果業(yè)務(wù)不需要可以不添加
[root@localhost ~]# yum -y install httpd-manual mod_ssl mod_perl mod_auth_MySQL
現(xiàn)在直接在瀏覽器鍵入http://localhost 或 http://本機IP ,應(yīng)該會看到Apache的測試頁面,這里需要注意iptables的設(shè)置。
2、安裝配置MySQL
# mysql 客戶端程序
# mysql-server 服務(wù)端程序
# mysql-devel 開發(fā)設(shè)計的庫
[root@localhost ~]# yum -y install mysql mysql-server mysql-devel
# 開機啟動
[root@localhost ~]# chkconfig mysqld on
# 啟動mysqld服務(wù)
[root@localhost ~]# service mysqld start
# 進行一些安全性配置,刪除匿名用戶設(shè)置mysql管理密碼之類的。
[root@localhost ~]# /usr/bin/mysql_secure_installation
root@localhost ~]# netstat -tulpn | grep -i mysql
tcp 0 0 0.0.0.0:3306 0.0.0.0:* LISTEN 1723/mysqld
OK, 我們看到mysqld已經(jīng)啟動,監(jiān)聽在3306端口上。
3、安裝php
安裝相關(guān)模塊:為了讓PHP支持MySQL,我們可以安裝php-mysql軟件包;也可使用以下命令搜索可用的php模塊
[root@localhost ~]# yum -y install php php-mysql
# 安裝php常用擴展
[root@localhost ~]# yum search php
[root@localhost ~]# yum -y install gd php-gd gd-devel php-xml php-common php-mbstring php-ldap php-pear php-xmlrpc php-imap
### 重啟httpd服務(wù),這一步很重要
[root@localhost ~]# service httpd restart
然后,我們提供php頁面,測試
[root@localhost ~]# cd /var/www/html/
[root@localhost html]# vi index.php
phpinfo();
?>
出現(xiàn)php的信息即可。LAMP安裝完畢。
接下來進行l(wèi)oganalyzer 的安裝。
1.下載loganalyzer.tar.gz
# wget http://download.adiscon.com/loganalyzer/loganalyzer-3.6.5.tar.gz
# tar xzf loganalyzer-3.6.5.tar.gz
2.在http中配置loganalyzer
# mv loganalyzer-3.6.5/src /var/www/html/loganalyzer
3.創(chuàng)建loganalyzer安裝的配置文件
# cd /var/www/html/loganalyzer
# touch config.php
# chown apache:apache config.php
# chmod 777 config.php
4.進入web界面進行installer
http://172.18.9.135/loganalyzer/
4.1 第一步就報錯了,別捉急 。
4.2
4.3Mysql 配置數(shù)據(jù)庫。
因為我們還沒有做數(shù)據(jù)庫的創(chuàng)建。所以先去配置數(shù)據(jù)庫在進行這一步的配置
Rsyslog MySQL Database: Syslog
Rsyslog MySQL Username: rsyslog
Rsyslog MySQL Password: MYSQLPASSWORD
4.3.1 檢查是否安裝了rsyslog軟件
# rpm -qa|grep rsyslog //默認系統(tǒng)都安裝了該軟件
4.3.2 安裝rsyslog 連接MySQL數(shù)據(jù)庫的模塊
# yum install rsyslog-mysql –y
rsyslog-mysql 為rsyslog 將日志傳送到MySQL 數(shù)據(jù)庫的一個模塊,這里必須安裝。
配置rsyslog連接msyql
vi /etc/rsyslog.conf
$ModLoad ommysql
*.* :ommysql:localhost,Syslog,rsyslog,123456
在 #### MODULES #### 下添加上面兩行。
開啟相關(guān)日志模塊
# vi /etc/rsyslog.conf
$ModLoad immark #immark是模塊名,支持日志標(biāo)記
$ModLoad imudp #imupd是模塊名,支持udp協(xié)議
$UDPServerRun 514 #允許514端口接收使用UDP和TCP協(xié)議轉(zhuǎn)發(fā)過來的日志
4.3.3 配置數(shù)據(jù)庫
導(dǎo)入rsyslog-mysql 數(shù)據(jù)庫文件
# cd /usr/share/doc/rsyslog-mysql-5.8.10/
# mysql -uroot -pmysqlpassword < createDB.sql
查看做了哪些操作
# mysql -uroot –p
mysql> show databases;
mysql> show tables;
導(dǎo)入數(shù)據(jù)庫操作創(chuàng)建了Syslog 庫并在該庫中創(chuàng)建了兩張空表SystemEvents 和SystemEventsProperties。
創(chuàng)建rsyslog 用戶在mysql下的相關(guān)權(quán)限
# mysql -uroot –p
mysql> grant all on Syslog.* to rsyslog@localhost identified by '123456';
mysql> flush privileges;
mysql> exit
4.4 創(chuàng)建表
4.5 檢測sql結(jié)果
4.5創(chuàng)建管理員
創(chuàng)建完成以后就可以登錄了。大功告成。NO!
還有幾個比較難解決的報錯等著我們。這幾個報錯有些基本在baidu是收不到答案的。經(jīng)過諸多嘗試終于讓我解決了。下面就貼出來供大家參考。
1. No syslog records found - Error Details
解決方法:
1.1修改/var/www/html/loganalyzer/config.php
$CFG['Sources']['Source1']['DBTableName'] = 'systemevents'; 為
$CFG['Sources']['Source1']['DBTableName'] = "SystemEvents";
1.2 更新數(shù)據(jù)庫配置
Mysql -uroot -p
Use Syslog;
mysql>update logcon_sources set DBTableName='SystemEvents' where ID=1;
mysql> flush privileges;
2.這個錯誤
這個錯誤是沒有配置rsyslog對mysql的連接。進行連接即可。參考4.3.2
可以做一個客戶端行為監(jiān)控的小玩意兒。就是在日志中看到所有用戶執(zhí)行了什么命令做了什么操作。
編輯/etc/bashrc,將客戶端執(zhí)行的所有命令寫入系統(tǒng)日志/var/log/messages中。
# vi /etc/bashrc
在文件尾部增加一行
export PROMPT_COMMAND='{ msg=$(history 1 | { read x y; echo $y; });logger "[euid=$(whoami)]":$(who am i):[`pwd`]"$msg"; }'
設(shè)置其生效
# source /etc/bashrc
配置完畢。這樣用戶的行為會被寫到messages中去。在loganalyzer中也可以看到。
看了以上關(guān)于rsyslog日志分析講義,希望能給大家在實際運用中帶來一定的幫助。本文由于篇幅有限,難免會有不足和需要補充的地方,如有需要更加專業(yè)的解答,可在官網(wǎng)聯(lián)系我們的24小時售前售后,隨時幫您解答問題的。
文章題目:rsyslog日志分析講義
網(wǎng)頁鏈接:http://www.ef60e0e.cn/article/pgggoh.html
