rsyslog+loganalyzer簡單日誌分析
阿新 • • 發佈:2018-01-03
rsyslogloganalyzerrsyslog:是一個快速處理收集系統日誌的程序,提供了高性能、安全功能和模塊化設計。rsyslog 是syslog 的升級版,它將多種來源輸入輸出轉換結果到目的地
loganalyzer:是一款syslog日誌和其他網絡事件數據的Web前端,提供對日誌的簡單瀏覽、搜索、基本分析和一些圖表報告的功能
準備環境
server:192.168.242.139 (接收日誌的服務器)
client:192.168.242.140 (發送日誌的客戶端,將產生的用戶登陸認證日誌發送給客戶端)
關閉防火墻以及selinux(兩臺都配置)
systemctl stop firewalld(關閉防火墻) systemctl disable firewalld(禁用自啟動)
vim /etc/sysconfig/selinux SELINUX=disabled(更改狀態)
client配置
修改client的rsyslog配置文件,將登陸認證日誌發向server
vim /etc/rsyslog.conf #### RULES #### authpriv.* @192.168.242.139 (在規則配置項authpriv.*下添加,意為指向server)
重啟rsyslog
systemctl restart rsyslog
server配置
啟用udp514端口(分別去掉頭部註釋)
vim /etc/rsyslog.conf $ModLoad imudp $UDPServerRun 514
重啟rsyslog,觀察顯示514即可
ss -uapn | grep --color 514
”轉發成功“ 這裏僅測試轉發登陸日誌,更多使用方法請登陸官網進行查看http://www.rsyslog.com/
安裝loganalyzer
先安裝rsyslog-mysql模塊
yum -y install rsyslog-mysql
查看自帶的生成rsyslog需要庫表的工具
rpm -ql rsyslog-mysql /usr/lib64/rsyslog/ommysql.so (生成的模塊) /usr/share/doc/rsyslog-8.24.0/mysql-createDB.sql (需要導入的數據庫)
導入rsyslog所需的庫
mysql -uroot -p123 < /usr/share/doc/rsyslog-8.24.0/mysql-createDB.sql
在mysql中創建rsyslog所需要的用戶
grant all on Syslog.* to 'systest'@'127.0.0.1' identified by '123';
啟動rsyslog中的udp514端口及ommysql.so模塊
vim /etc/rsyslog.conf $ModLoad imuxsock (去掉註釋) $ModLoad imklog (去掉註釋) $ModLoad ommysql (手動添加) $ModLoad imudp (去掉註釋) $UDPServerRun 514 (去掉註釋)
定義將登陸信息寫入數據庫
vim /etc/rsyslog.conf #### RULES #### authpriv.* :ommysql:127.0.0.1,Syslog,systest,123 (規則中寫入,對應為模塊,數據庫地址,數據庫,用戶,密碼)
需要LAMP平臺支持,這裏直接使用yum安裝
yum -y install httpd mysql-server mysql php php-mysql php-gd
cd /var/www/html mkdir tool pwd /var/www/html/tool
下載loganalyzer
wget http://download.adiscon.com/loganalyzer/loganalyzer-3.6.5.tar.gz tar -xf loganalyzer-3.6.5.tar.gz cp -r loganalyzer-3.6.5/src/* /var/www/html/tool cp loganalyzer-3.6.5/contrib/* /var/www/html/tool cd /var/www/html/tool/ chmod +x configure.sh secure.sh ./configure.sh chown -R apache.apache ./*
瀏覽器訪問
http://IP/tool/install.php
到此即可查看到client的登陸日誌認證信息,還可以轉發更多日誌,請官網查看
rsyslog+loganalyzer簡單日誌分析