loganalyzer：是一款syslog日誌和其他網絡事件數據的Web前端，提供對日誌的簡單瀏覽、搜索、基本分析和一些圖表報告的功能

準備環境

server：192.168.242.139 （接收日誌的服務器）

client：192.168.242.140 （發送日誌的客戶端，將產生的用戶登陸認證日誌發送給客戶端）

關閉防火墻以及selinux（兩臺都配置）

systemctl stop firewalld（關閉防火墻）
systemctl disable firewalld（禁用自啟動）

vim /etc/sysconfig/selinux
SELINUX=disabled(更改狀態)

client配置

修改client的rsyslog配置文件，將登陸認證日誌發向server

vim /etc/rsyslog.conf
#### RULES ####
authpriv.*                @192.168.242.139    （在規則配置項authpriv.*下添加，意為指向server）

重啟rsyslog

systemctl restart rsyslog

server配置

啟用udp514端口（分別去掉頭部註釋）

vim /etc/rsyslog.conf
$ModLoad imudp
$UDPServerRun 514

重啟rsyslog，觀察顯示514即可

ss -uapn | grep --color 514

”轉發成功“ 這裏僅測試轉發登陸日誌，更多使用方法請登陸官網進行查看http://www.rsyslog.com/

安裝loganalyzer

先安裝rsyslog-mysql模塊

yum -y install rsyslog-mysql

查看自帶的生成rsyslog需要庫表的工具

rpm -ql rsyslog-mysql
/usr/lib64/rsyslog/ommysql.so        （生成的模塊）
/usr/share/doc/rsyslog-8.24.0/mysql-createDB.sql        （需要導入的數據庫）

導入rsyslog所需的庫

mysql -uroot -p123 <  /usr/share/doc/rsyslog-8.24.0/mysql-createDB.sql

在mysql中創建rsyslog所需要的用戶

grant all on Syslog.* to 'systest'@'127.0.0.1' identified by '123';

啟動rsyslog中的udp514端口及ommysql.so模塊

vim /etc/rsyslog.conf
$ModLoad imuxsock    （去掉註釋）
$ModLoad imklog     （去掉註釋）
$ModLoad ommysql    （手動添加）
$ModLoad imudp        （去掉註釋）
$UDPServerRun 514        （去掉註釋）

定義將登陸信息寫入數據庫

vim /etc/rsyslog.conf
#### RULES ####
authpriv.*          :ommysql:127.0.0.1,Syslog,systest,123        （規則中寫入，對應為模塊，數據庫地址，數據庫，用戶，密碼）

需要LAMP平臺支持，這裏直接使用yum安裝

yum -y install httpd mysql-server mysql php php-mysql php-gd

cd /var/www/html
mkdir tool
pwd
/var/www/html/tool

下載loganalyzer

wget http://download.adiscon.com/loganalyzer/loganalyzer-3.6.5.tar.gz 
tar -xf loganalyzer-3.6.5.tar.gz
cp -r loganalyzer-3.6.5/src/* /var/www/html/tool
cp loganalyzer-3.6.5/contrib/* /var/www/html/tool
cd /var/www/html/tool/
chmod +x configure.sh secure.sh
./configure.sh
chown -R apache.apache ./*

瀏覽器訪問

http://IP/tool/install.php

到此即可查看到client的登陸日誌認證信息，還可以轉發更多日誌，請官網查看

rsyslog+loganalyzer簡單日誌分析