软件提供的功能:
1、rsyslog是RHEL或centos系统6.x版本的日志服务,代替以前系统的syslog服务。在这个架构中rsyslog服务主要是收集日志的功能,把日志归类,写入数据库。
2、mysql是简单的数据库,在这个架构中主要任务是存放收集过来的日志信息,以便提供给loganalyzer软件来显示出来。
3、loganalyzer是一个日志分析工具,比较简单。在这个架构中主要是从mysql数据库中提取数据依条形和图形直观的显示出来,提供筛选、搜索、归类、统计等功能。
4、evtsys是运行在windows平台下,把系统收集的日志发送到mysql中,保存起来。
整个环境需要的条件:
在整个框架中,rsyslog、mysql、http、php等使用系统自带的rpm包
loganalyzer是从网上下载的源码包文件,地址: 。
整个日志服务是建立在LAMP架构之上的,需要对LAMP有所了解。
两台RHEL6.4系统的主机,一个是server一个是client,把iptables和selinux关闭。
搭建步骤:
1、先在server上来验证一下LAMP架构。
a、初始化mysql服务,进入mysql数据库,执行 “mysql -u 用户名 -D 数据库名 -p 密码” 进行验证mysql是否存在问题;
b、开启httpd服务,打开浏览器,,输入本机IP地址,验证httpd服务。找到DirectoryIndex关键字,添加index.php。
c、修改httpd.conf配置文件,在/var/www/html/添加测试index.php页面。进行LAMP的整体测试。
vi/var/www/html/index.php<?php$link=mysql_connect(localhost,root,123456);##(主机名,用户名,密码)if(!$link)echo”失败!”;elseecho”成功!”;mysql_close();?>Rsyslog的配置文件:vim/etc/rsyslog.conf####MODULES日志的模块####$ModLoadimuxsock#imuxsock是模块名,支持本地系统日志的模块$ModLoadimklog#imklog是模块名,支持内核日志的模块#$ModLoadimmark#immark是模块名,支持日志标记#$ModLoadimudp#imupd是模块名,支持udp协议#$UDPServerRun514#允许514端口接收使用UDP和TCP协议转发过来的日志#$ModLoadimtcp#imtcp是模块名,支持tcp协议#$InputTCPServerRun514#################GLOBALDIRECTIVES#################定义全局日志格式的指令$ActionFileDefaultTemplateRSYSLOG_TraditionalFileFormat#定义日志格式默认模板$IncludeConfig/etc/rsyslog.d/*.conf#载入rsyslog.d文件中所有以conf结尾的文件####RULES####*.info;mail.none;authpriv.none;cron.none/var/log/messages#####记录所有日志类型的info级别以及大于info级别的信息到/var/log/messages,但是mail邮件信息,authpriv验证方面的信息和cron时间#任务相关的信息除外authpriv.*/var/log/secure#####authpriv验证相关的所有信息存放在/var/log/securemail.*-/var/log/maillog#####邮件的所有信息存放在/var/log/maillog;这里有一个-符号,表示是使用异步的方式记录,因为日志一般会比较大cron.*/var/log/cron####计划任务有关的信息存放在/var/log/cron*.emerg*(*表示所有用户)###记录所有的大于等于emerg级别信息,以wall方式发送给每个登录到系统的人uucp,news.crit/var/log/spooler####记录uucp,news.crit等存放在/var/log/spoolerlocal7.*/var/log/boot.log####本地服务器的启动的所有日志存放在/var/log/boot.log中#############################rsyslog.conf###############中日志规则的定义的格式facitlity.priorityTarget#facility:日志设备(可以理解为日志类型):==============================================================auth#pam产生的日志,认证日志authpriv#ssh,ftp等登录信息的验证信息,认证授权认证cron#时间任务相关kern#内核lpr#打印mail#邮件mark(syslog)#rsyslog服务内部的信息,时间标识news#新闻组user#用户程序产生的相关信息uucp#unixtounixcopy,unix主机之间相关的通讯local1~7#自定义的日志设备===============================================================#priority:级别日志级别:=====================================================================debug#有调式信息的,日志信息最多info#一般信息的日志,最常用notice#最具有重要性的普通条件的信息warning,warn#警告级别err,error#错误级别,阻止某个功能或者模块不能正常工作的信息crit#严重级别,阻止整个系统或者整个软件不能正常工作的信息alert#需要立刻修改的信息emerg,panic#内核崩溃等严重信息###从上到下,级别从低到高,记录的信息越来越少,如果设置的日志内性为err,则日志不会记录比err级别低的日志,只会记录比err更高级别的日志,也包括err本身的日志。=====================================================================Target:#文件,如/var/log/messages#用户,root,*(表示所有用户)#日志服务器,@172.16.22.1#管道|COMMAND问候不一定要慎重其事,但一定要真诚感人
