Centos6.3下利用rsyslog+loganalyzer+mysql部署日志服务器

作为一名系统运维工程师，平时查看分析LINUX系统日志我觉得是我们每天必做的功课，但时间长了会发现每次查看站点日志都得挨个进后台，几台服务器还可以这么对付，但如果管理成百上千台线上服务器，这种方法就捉襟见肘了。

后来想了想能不能有一台日志服务器集中管理日志，香港空间，并以WEB形式将日志显示到前台方便查看，顿时码字的想法油然而生，呵呵。

本人有一个习惯，那就是会把群里或者网上看到的圈内比较认可的LINUX系统软件先保存在备忘录，等闲下来研究研究，刚好前段时间有位朋友提到rsyslog+loganalyzer集中管理日志，所以今天刚好就抽空研究了下，过程虽有曲折（网上的文档各种坑跌),最后还是利用一天时间搞定，将自己的理解分享给搭建，仅供参考。

本文档是利用rsyslog+loganalyzer+mysql将网内所有LINUX服务器的系统日志集中到日志服务器进行管理，所有日志会保存在mysql数据库表中

# yum install rsyslog -y

配置rsyslog客户端发送本地日志到服务端

# vi /etc/rsyslog.conf

末行添加如下内容

——————-

*.* @192.168.7.201

——————-

注:192.168.7.201 为日志服务器端IP地址

重启服务：

# service rsyslog restart

三.安装loganalyzer

# wget

# tar zxvf loganalyzer-3.6.3.tar.gz

# cd loganalyzer-3.6.3

# mkdir -p /usr/local/apache2/htdocs/loganalyzer

复制loganalyzer源代码到apache的DocumentRoot下loganalyzer目录

# cp -r src/* /usr/local/apache2/htdocs/loganalyzer

# cp -r contrib/* /usr/local/apache2/htdocs/loganalyzer

# chown -R daemon.daemon /usr/local/apache2/htdocs/loganalyzer

通过web向导安装loganalyzer前，必须先执行以下两个脚本

# cd /usr/local/apache2/htdocs/loganalyzer/

# sh configure.sh

# sh secure.sh

注：该脚本实际上是创建该目录下的config.php，并配置该文件权限。

在浏览器输入网址，进入安装向导

1.提示没有配置文件，点击here利用向导生成

注：点击NEXT时若报错，后台执行如下命令后继续

# ln -s /var/lib/mysql/mysql.sock /tmp/mysql.sock

4.开始写入数据库，NEXT

8.完成配置,FINISH

然后将该语句复制到后台手动执行，看报什么错误

# mysql -uroot -p123456;

> INSERT INTO logcon_users (username, password, is_admin) VALUES ('admin', '00a1f187721cxxxxxxx6bf791e69382c', 1);

ERROR 1364 (HY000): Field 'last_login' doesn't have a default value

提示'last_login'栏不能为空值

OK，直接登录navicat,将这栏设置为允许空值保存即可

重新利用该账号即可成功登录loganalyzer web后台

看来是mysql在执行该语句时，发现last_login栏默认为非空，所以拒绝这条insert语句执行，解决办法就是将该栏设置为允许空值即可

博主在线上老版本mysql-5.0.56无需进行上述手动操作，即可成功登录后台

但本篇出现的问题则是在mysql-5.6.10版本上

看来这应该不算是loganalyzer的BUG，应该是mysql在高版本执行insert语句提高了严谨性

这里给卡在这里的朋友点思路，仅供参考。

在此感谢longeleven11朋友的提点。。。。

2.安装rsyslog可谓是过程曲折，之前本想全部编译安装，香港虚拟主机，最后才发现网上的文档各种误导，香港服务器，编译rsyslog最后花了2个小时安装了其6个依赖包，全部找的老外的文档挨个测试，装完网上给出的文档又不能合理给出如何与系统自带的rsyslog共存保证不冲突，也就是编译的rsyslog的启动方法如何与系统自带的区别，索性就yum吧，实属无奈之举，还有吐槽下google各种间歇性抽风，至于原因，大家都懂的。。。

3.Windows客户端安装(win2008 server 64bit)

1.下载evtsys

2.解压文件将包内64-Bit文件夹下的所有文件复制C:\Windows\System32下

3.开启evtsys服务

运行- cmd

> cd c:\Windows\System32

> evtsys -i -s 10 -h 192.168.7.11 -p 514

> net start evtsys

4.验证效果

如图：

本文出自 “一路向北” 博客，请务必保留此出处

与其临渊羡鱼，不如退而结网。