安裝rsyslog

rpm -qa rsyslog                  #CentOS7預設會安裝rsyslog
yum install rsyslog-mysql -y     #rsyslog使用此模組將資料傳入MySQL資料庫，必須安裝

匯入rsyslog-mysql 資料庫檔案

匯入資料庫

# cd /usr/share/doc/rsyslog-7.4.7/
# mysql -uroot -p<mysql-createDB.sql
# Enter password:

設定使用者

# mysql -uroot –p
mysql> grant all on
 
 Syslog.* to [email protected] identified by '123456';
mysql> flush privileges;
mysql> exit

匯入資料庫操作建立了Syslog 庫並在該庫中建立了兩張空表SystemEvents 和SystemEventsProperties。

設定檔案

# vi /etc/rsyslog.conf                    #按如下進行更改   

#### MODULES ####    

$Modload ommysql    
$template MySQLInsert,"insert into SystemEvents (Message, Facility, FromHost,Priority, DeviceReportedTime, ReceivedAt, InfoUnitID, 
SysLogTag) values ('%msg
 
%', %syslogfacility%, '%fromhost-ip%', %syslogpriority%, '%timereported:::date-mysql%', '%timegenerated:::d
ate-mysql%', %iut%, '%syslogtag%')",SQL
*.* :ommysql:localhost,Syslog,rsyslog,123456;MySQLInsert     
##注意我使用了%fromhost-ip%，而不是%HOSTNAME%
#localhost 表示本地主機，Syslog 為資料庫名，rsyslog 為資料庫的使用者，MyNewPass4!為該使用者密碼。        
 

$ModLoad immark            # immark是模組名，支援日誌標記    
$ModLoad imudp             # imupd是模組名，支援udp協議    
$UDPServerRun 514          #允許514埠接收使用UDP和TCP協議轉發過來的日誌

網路裝置要配置

服務端修改
$ModLoad ommysql

local4.*  :ommysql:localhost,Syslog,rsyslog,123456;MySQLInsert 

注意我是local4來接受遠端的syslog

在交換機上的配置：

華為的：

info-center loghost 1.1.1.1 facility local4 //local4要和rsyslog.conf 裡配置的一致,1.1.1.1為你的syslog伺服器地址記得要改啊
 info-center loghost source Vlan-interface 11//你的網管VLAN介面，要改的
info-center source SHELL channel loghost log level notifications//我只想要操作日誌，其他的不關心，如果你想要更多，請更改

思科的：

logging   1.1.1.1（配置 syslog伺服器地址,可以定義多個） 
service timestamps debug datetime localtime show-timezone msec
service timestamps log datetime localtime show-timezone msec   （syslog 資訊包含時間戳）
logging facility local4   （定義 facility 級別,預設為local7,可以設定從 local0 到 local7）
logging trap warning   （定義severity 級別預設為 infor 級別）

到這裡，一切基本ok了，

到你的mysql伺服器是看看：

select * from SystemEvents

應該已經記錄有日誌了

配置伺服器客戶端

7.1 檢查客戶端有沒有安裝rsyslog
# rpm -qa rsyslog
7.2 配置rsyslog客戶端傳送本地日誌到服務端
# vi /etc/rsyslog.conf     
*.* @192.168.253.160        #在檔案結尾處增加此內容
7.3 重啟rsyslog服務
# systemctl restart rsyslog.service
7.4 編輯/etc/bashrc，將客戶端執行的所有命令寫入系統日誌/var/log/messages中
# vi /etc/bashrc     
export PROMPT_COMMAND='{ msg=$(history 1 | { read x y; echo $y; });logger "[euid=$(whoami)]":$(who am i):[`pwd`]"$msg"; }'                #在結尾處加上此內容
設定使其生效
# source /etc/bashrc

配置 顯示host ，ip

$template MySQLInsert,"insert into SystemEvents (Message, Facility, FromHost,Priority, DeviceReportedTime, ReceivedAt, InfoUnitID, 
SysLogTag,processid) values ('%msg%', %syslogfacility%, '%HOSTNAME%', %syslogpriority%, '%timereported:::date-mysql%', '%timegenera
ted:::date-mysql%', %iut%, '%syslogtag%', '%fromhost-ip%')",SQL
*.* :ommysql:localhost,Syslog,rsyslog,123456;MySQLInsert

用processid 顯示ip
然後再Admin center->FIELD—>processid->displayname
修改為IP

安裝LogAnalyzer

wget http://download.adiscon.com/loganalyzer/loganalyzer-3.6.6.tar.gz

tar zxf loganalyzer-3.6.5.tar.gz

cd loganalyzer-3.6.5

mkdir -p /var/www/html/loganalyzer

cp -a src/* /var/www/html/loganalyzer/
cp -a contrib/* /var/www/html/loganalyzer/

在瀏覽器安裝嚮導中安裝LogAnalyzer

提示沒有配置檔案，點選 here 利用嚮導生成。

第一步，測試系統環境

點選 “Next”，進入第二步。

提示錯誤：缺少config.php 檔案，並且許可權要設定為666，可以使用contrib目錄下的configure.sh 指令碼生成。

檢視configure.sh 檔案內容

需要在/var/www/html/loganalyzer/ 下建立config.php 檔案，並設定其許可權為666。

# touch /var/www/html/loganalyzer/config.php

# chmod 666 /var/www/html/loganalyzer/config.php

做完上面的操作之後，執行 ReCheck 操作，config.php 檔案可寫，點選 Next 進入下一步。

第三步，基礎配置

在User Database Options 中，填入上面設定的引數，然後點選 Next.

第四步，建立表

點選 Next 開始建立表。

第五步，檢查SQL結果

第六步，建立管理使用者

第七步，建立第一個系統日誌source.

注意SystemEvents大小寫

第八步，完成

測試

LogAnalyzer 首頁

點選任何一條記錄，檢視詳情。

檢視Statistics

登入測試

在Admin Center 裡可以進行一些系統設定。

日誌級別

在配置前，我們先來了解下日誌的level: local0～local7 16～23保留為本地使用
emerg 0 系統不可用
alert 1 必須馬上採取行動的事件
crit 2 關鍵的事件
err 3 錯誤事件
warning 4 警告事件
notice 5 普通但重要的事件
info 6 有用的資訊
debug 7 除錯資訊