centos6.5 x86_64下搭建rsyslog服务

用centos6.5 系统自带的rsyslog服务创建日志服务器

rsyslog在获取客户端日志会有两种保存模式，一种是直接读取客户端/var/log/目录下的日志并保存到服务端该目录下，一种是读取后保存到日志服务器mysql数据库中，本文是后者的实现。

1、搭建前的准备工做

安装lamp（可选）

配置好网络服务（DNS和NTP），有助于提升日志记录工做的精确性。

# yum install -y ntp

# service ntpd start

# /usr/sbin/ntpdate asia.pool.ntp.org

# hwclock –systohc

2、日志服务器安装

# yum -y install rsyslog rsyslog-mysql

配置

# vi /etc/rsyslog

添加如下几行

$ModLoad immark   # provides --MARK-- message capability 

$ModLoad ommysql 

*.*       :ommysql:localhost,Syslog,rsyslog,password

$ModLoad imudp.so  # provides UDP syslog reception 

$UDPServerRun 514  # start a UDP syslog server at standard port 514 

注：*.*       :ommysql:localhost,Syslog,rsyslog,password

localhost 为mysql主机地址

Syslog    为记录日志建的mysql数据库

rsyslog      为日志数据库的mysql用户名

password      为mysql用户rsyslog的密码

$UDPServerRun 514  UDP端口，接受客户端日志

导入数据库

# mysql -u root -p < /usr/share/doc/rsyslog-mysql-5.8.10/createDB.sql

# mysql -u root -p 输入密码

GRANT ALL PRIVILEGES ON Syslog.* to rsyslog@localhost IDENTIFIED BY 'password';

FLUSH PRIVILEGES;

exit;

注:createDB.sql 文件里有自动建立Syslog数据库,该数据库包含两表SystemEvents和SystemEventsProperties。。

3、启动rsyslog日志服务器

# /etc/init.d/rsyslog start     启动rsyslog日志

service rsyslog start/stop/restart  也行

将rsyslog设置开机启动

# chkconfig --level 3 rsyslog on  启用rsyslog开机启动

4、安装loganalyzer服务器

# wget http://download.adiscon.com/loganalyzer/loganalyzer-3.6.6.tar.gz

# tar zxvf loganalyzer-3.6.6.tar.gz

# mkdir -p /var/www/html/loganalyzer

# cp -rf /root/loganalyzer-3.6.6/src/* /var/www/html/loganalyzer/ 或者 rsync -a src/* /var/www/html/loganalyzer/

注:/var/www/html/为web服务器目录

# cd /var/www/html/loganalyzer

建立config.php配置文件

# touch config.php

# chmod 666 config.php

启动nginx

# service nginx restart

iptables -I INPUT -p udp –dport 514 -j ACCEPT

在IE里输入http://YOUR SERVER IP/loganalyzer 进行loganalyzer配置

按提示下一步.下一步操做便可

注:注意数据库表名分大小写.应该写为 SystemEvents

5、日志服务器客户端安装

# rpm -qa |grep ntp 通常是安装了滴

在/etc/ntp.conf后加上一行

server YOURSERVERIP

# service ntpd start

# ntpq -p

# yum install rsyslog

# vi /etc/rsyslog.conf

添加以下内容

*.*   @YOUR SERVER IP

注:YOURSERVER IP为日志服务器端IP地址

日志服务器也能收集交换机和路由器的日志，有待尝试。。

本文参考

http://litaotao.blog.51cto.com/6224470/1283871

http://www.cnblogs.com/mchina/p/linux-centos-rsyslog-loganalyzer-mysql-log-server.html  

http://www.linuxidc.com/Linux/2013-07/86956.htm