搭建日志服务器

日志功能对于操作系统是相当重要的，在使用中，无论是系统还是应用等等，出了任何问题，我们首先想到的便是分析日志，查找问题原因。
自 CentOS 6 开始，我们的 CentOS 便开始使用 rsyslog 做为日志收集服务了，相对于之前的 syslog 它能够支持多线程，数据库存储，支持更多的传输协议等优点。
而 LogAnalyzer 则是一款基于PHP 开发的 syslog 日志和其他网络事件数据的Web 前端。它提供了对日志的简单浏览、搜索、基本分析和一些图表报告的功能。

将他们整合起来，我们就能够搭建一个日志收集管理服务器，用来应对小型的日志数据收集分析。

环境准备

系统 ： Centos 7. x 64位

1、配置 LAMP环境
1.1安装mariadb ,apache ,php 环境
# yum -y install mariadb-server httpd httpd-devel php php-devel php-fpm php-xml php-mysql php-gd
启动mariadb 和 apache服务，并设置它们开机自行启动服务。

2、Syslog服务器端配置
2.1 检查并安装服务端软件
检查是否安装了rsyslog软件
# rpm -qa rsyslog                  #CentOS7默认会安装rsyslog
安装rsyslog 连接MySQL数据库的模块
# yum install rsyslog-mysql -y     #rsyslog使用此模块将数据传入MySQL数据库，必须安装

2.2 MYSQL 数据库配置
2.2.1 导入rsyslog-mysql 数据库文件
# cd /usr/share/doc/rsyslog-8.24.0/
#  mysql -u root -p < mysql-createDB.sql

mysql-createDB.sql这个数据库脚本是安装rsyslog-mysql时候生成的，导入脚本后，会自动生成一个名字叫Syslog的数据库，有两张表：SystemEvents 和SystemEventsProperties

2.2.2 在mysql下创建rsyslog用户并授权

# mysql -u root -p mysql> use mysql;
mysql> grant all privileges on Syslog.* to rsyslog@'%' identified by 'lcyyang100.aa' with grant option;
mysql> flush privileges;

2.3 配置服务端支持rsyslog-mysql 模块，并开启UDP服务端口获取网内其他LINUX系统日志;
# vi /etc/rsyslog.conf                    #按如下进行更改
#### MODULES ####
$Modload ommysql
*.*  :ommysql:localhost,Syslog,rsyslog,lcyyang100.aa # 若这个地方配置不对，loganalyzer装完报错no syslog records found
#localhost 表示本地主机，Syslog 为数据库名，rsyslog 为数据库的用户，lcyyang100.aa 为该用户密码。
$ModLoad immark            # immark是模块名，支持日志标记
$ModLoad imudp             # imupd是模块名，支持udp协议
$UDPServerRun 514          #允许514端口接收使用UDP和TCP协议转发过来的日志

重启rsyslog服务
# systemctl restart rsyslog.service
# systemctl enable rsyslog

2.4 安装LogAnalyzer
从LogAnalyzer官方网站下载LogAnalyzer程序源码
# wget http://download.adiscon.com/loganalyzer/loganalyzer-4.1.6.tar.gz
# tar zxvf loganalyzer-4.1.6.tar.gz
# mkdir /var/www/html/loganalyzer
# cp -r loganalyzer-4.1.6/src/* /var/www/html/loganalyzer/
# cp -r loganalyzer-4.1.6/contrib/* /var/www/html/loganalyzer/
在浏览器中进行安装LogAnalyzer
访问http://ip:xxxx/loganalyzer/
进行安装
点击 here，进入安装向导
点击 next
提示config.php文件不存在，我们可以进入LogAnalyzer程序目录执行sh configure.sh来生成config.php文件并设置好文件的权限。 若系统开启selinux，则不能完成文件的创建。

按向导提示完成安装。

3、Syslog客户端配置
# yum install rsyslog -y
# vi /etc/rsyslog.conf
在文件末尾添加
*.* @180.97.220.213
修改配置文件后，记得重启rsyslog服务使得配置生效。
注: 180.97.220.213为日志服务器端IP地址。

4、效果测试
比如我在客户端机器 centos-169-200上执行了几条命令操作

我们可以在LogAnalyzer上看到操作日志记录