1. 树叶云首页
  2. 技术资讯

CentOS 6.7搭建Rsyslog日志服务器

运维技术资讯

前言:

随着机房内的服务器和网络设备增加,日志管理和查询就成了让系统管理员头疼的事。

系统管理员遇到的常见问题如下:

1、日常维护过程中不可能登录到每一台服务器和设备上去查看日志;
2、网络设备上的存储空间有限,不可能存储日期太长的日志,而系统出现问题又有可能是很久以前发生的某些操作造成的;
3、在某些非法入侵的情况下,入侵者一般都会清除本地日志,清除入侵痕迹;
4、zabbix等监控系统无法代替日志管理,无法监控如系统登录、计划任务执行等项目。

基于上述原因,在当前的网络环境中搭建一台用于日志集中管理的Rsyslog日志服务器就显得十分有必要了。

Rsyslog服务的优点如下:

1、Rsyslog服务器可以大多数的网络设备支持,在网络设备的系统设备选项中大多都有远程日志服务的配置选项。只需要填写上IP地址和端口(大多数设备已经默认是514了),然后确定就可以了;
2、Linux服务器只需要在本地的Rsyslog服务配置中加入简单的一行就可以将日志发送到日志服务器,布署和配置起来十分简单;
3、通过软件(如evtsys)也可以支持Windows服务器,布署和配置也不是很难,但是有些软件是要收费的;
4、搭配前端的loganalyzer等软件,可以轻松实现图形化管理和查询日志。

一、Rsyslog服务器的安装与配置

1、清空iptabels, 关闭selinux避免安装过中报错

清空iptables

iptables -F
service iptables save

关闭selinux

setenforce 0
vim /etc/selinux/conifg

将配置文件中的
SELINUX=enforcing
修改为:
SELINUX=disabled

2、yum安装LAMP环境及rsyslog、rsyslog mysql支持模块
yum install -y mysql-server mysql-devel libcurl-devel net-snmp-devel php php-gd php-xml php-mysql httpd rsyslog rsyslog-mysql
3、设置mysqld和httpd开机启动,并启动服务
chkconfig mysqld on
chkconfig httpd on

service mysqld start
service httpd start
4、修改mysql的root密码
mysqladmin -u root password "你的密码"

修改密码后就可以使用如下命令登录mysql

mysql -u root -p
5、修改mysql的配置文件,支持uft8

因为通过 yum安装的mysql是不支持uft8的,在收集Windows服务器的日志和某些支持中文的设备的情况下,收集到的日志无法正确显示,因此需要修改mysql配置文件支持中文显示。

配置文件全文如下:

[mysqld]
datadir=/var/lib/mysql
socket=/var/lib/mysql/mysql.sock
user=mysql
# Disabling symbolic-links is recommended to prevent assorted security risks
symbolic-links=0
character_set_server=utf8
init_connect='SET NAMES utf8'default-character-set=utf8

[mysql]
default-character-set=utf8

[mysql.server]
default-character-set=utf8

[mysqld_safe]
log-error=/var/log/mysqld.log
pid-file=/var/run/mysqld/mysqld.pid
default-character-set=utf8

[client]
default-character-set=utf8

重启mysqld服务

service mysqld restart
6、导入Rsyslog数据库到mysql

Rsyslog的mysql数据库默认文件是:

/usr/share/doc/rsyslog-mysql-5.8.10/createDB.sql

在rsyslog-mysql相应版本的文件夹中
你可以使用下列命令中查询到:

echo  $(rpm -ql rsyslog-mysql | grep sql$)

使用如下命令将文件导入到mysql:

mysql -u root -p< $(rpm -ql rsyslog-mysql| grep sql$)

随后输入你在第3步中设置的mysql密码就可以导入数据库了,数据库名为:Syslog

7、设置Rsyslog数据库的字符集

上一步导入的数据库只有二个表: SystemEvents 和 SystemEventsProperties
Syslog数据库及这二个表的默认字符集也不是uft8,需要进行修改

#修改Syslog数据库的字符集
mysql> ALTER DATABASE `Syslog` DEFAULT CHARACTER SET utf8 COLLATE utf8_general_ci;

#修改相应数据表的字符集
mysql> alter table SystemEvents  default character set =utf8;

mysql> alter table SystemEventsPorperties  default character set =utf8;

查看修改后的效果:

#查看数据库的字符集设置
mysql> show variables like 'character%';

#查看Systlog数据库所有表的字符集设置
mysql> useSyslog;
mysql> show table status from Syslog\G;
8、创建Rsyslog数据库用户

登录mysql创建Rsyslog的数据库用户logger

#登录mysql
mysql -u root -p

#创建用户 
mysql> grant all privileges on Syslog.* to 'rsyslog'@'localhost' identified by '147258'; 
mysql> flush privileges; 
mysql> exit;
9、修改rsyslog配置文件
vim /etc/sysconfig/rsyslog

配置文件如下:

# Options for rsyslogd# Syslogd options are deprecated since rsyslog v3.# If you want to use them, switch to compatibility mode 2 by "-c 2"# See rsyslogd(8) for more details
SYSLOGD_OPTIONS="-c 2 -r -x -m 180"
KLOGD_OPTIONS="-x"

各参数详解:
-c 指定运行兼容模式。
-r 指定监听端口。 默认514
-x 在接收客户端消息时,禁用DNS查找。需和-r参数配合使用。
-m 标记时间戳。单位是分钟,为0时,表示禁用该功能。

10、配置服务端支持rsyslog-mysql模块,并开启UDP服务端口
vim /etc/rsyslog.conf

在#### MODULES ####下添加这两行

$ModLoad ommysql.so
*.* :ommysql:localhost,Syslog,rsyslog,147258

注:localhost表示本地主机,Syslog为数据库名,rsyslog为数据库的用户,147258为该用户密码

取消下面三行注释

$ModLoad immark
$ModLoad imudp
$UDPServerRun514

重启rsyslog服务:

service rsyslog restart
11、添加服务端iptables防火墙规则

如果服务端有需要配置iptables规则的话,执行如下命令开放TCP和UDP的514端口

iptables -I INPUT -p tcp --dport 514-j ACCEPT

iptables -I INPUT -p udp --dport 514-j ACCEPT

service iptables save

二 、Loganalyzer安装与配置

1、下载Loganalyzer

从Loganalyzer官网下载安装文件到/usr/local/src目录下
最新版本是4.1.3 稳定版本是:3.6.6

2、解压文件并复制源代码到apache的loganalyzer目录
cd /usr/local/src
tar -zxvf loganalyzer-4.1.3.tar.gz
cd loganalyzer-4.1.3
mkdir -p /var/www/html/loganalyzer/
cp -r src/* /var/www/html/loganalyzer/ cp -r contrib/* /var/www/html/loganalyzer/
3、生成空的配置文件并设置权限
cd /var/www/html/loganalyzer/
touch config.php
chmod 666 config.php
4、修改php环境

为配合LogAnalyzer对php环境的要求,请修改/etc/php.ini中的内容为:

memory_limit = 512M max_execution_time = 120
5、创建apache日志目录
# mkdir -p /var/log/httpd/loganalyzer
6、配置apache

这部分,请根据apache实际情况操作。以默认系统为例,虚拟主机配置文件都放在/etc/httpd/conf/httpd.conf

配置文件修改如下:

Listen 80
ServerAdmin root@localhost
ServerName log_server:80
DocumentRoot"/var/www/html/loganalyzer"<Directory />Options FollowSymLinks
    AllowOverrideAll</Directory><Directory "/var/www/html/loganalyzer">Options Indexes FollowSymLinks
    AllowOverrideAllOrder allow,deny
    Allow from all</Directory>ErrorLog /var/log/httpd/loganalyzer/error.log
LogLevel warn
CustomLog /var/log/httpd/loganalyzer/access_log combined
ServerSignatureOn

重启httpd服务

service httpd restart
7、Loganalyzer初始化配置

在浏览器输入网址,进入安装向导
访问http://serverip:80
一共8个步骤,这里只将需要修改的步骤列出,其余只需要”Next”即可

第3步:”Enable User Database”选择“Yes”;

第4、5二个步骤是指定用户数据库信息(数据库指定为:Syslog)和创建用户

第7步:”Source Type” 选择 “MYSQL Native”并在下载配置数据库信息

第8步Finish后,完成安装就可登录并查看日志信息了。

三 、Linux客户端配置

CentOS默认都会安装rsyslog。

1、确认rsyslog服务是否启动
chkconfig | grep rsyslog

如果没有设置为开机启动,执行如下命令:

chkconfig rsyslog on
service rsyslog start
2、配置Rsyslog客户端发送本地日志到服务端
vim /etc/rsyslog.conf

在末行添加一行:

*.* @192.168.7.201

注:192.168.7.201 为日志服务器端IP地址

3、重启Rsyslog服务
service rsyslog restart

这时在服务端刷新就可以看到相关日志信息了。

四 、Windows客户端配置

Loganalyzer官网推荐在Winodws上使用Winsyslog来实现日志数据的收集和发送,但是这个软件是收费的。这里用一个开源的软件Evtsys,但这个软件也有个问题无法在Server 2012以上的系统中使用,在Server 2008中是没有问题的

Evtsy官网由于是布署在google服务器上的因此现在无法访问,可以到网上去搜索下载。
下载后的文件解压将里面的evtsys.exe文件放到c:\windows\System32目录下,然后运行cmd执行下面的命令:

evtsys -i-s10-hlog-server-ip-p514 
net start evtsys

只要看到最后的安装成功即可。
以下附上命令的详细参数

Version: 4.4 (32-bit) 
Usage: evtsys.exe -i|-u|-d [-h host] [-b host] [-f facility] [-p port] 
       [-s minutes] [-l level] [-n] 
  -i Install service   -u Uninstall service   -d Debug: run as console program   -h host Name of log host   -b host Name of secondary log host (optional)   -f facility Facility level of syslog message   -l level Minimum level to send to syslog.\n", stderr);            0=All/Verbose, 1=Critical, 2=Error, 3=Warning, 4=Info 
  -n Include only those events specified in the config file.   -p port Port number of syslogd   -q bool Query the Dhcp server to obtain the syslog/port to log to                (0/1 = disable/enable) 
  -s minutes Optional interval between status messages. 0 = Disabled
Default port: 514 
Default facility: daemon 
Default status interval: 0 
Host (-h) required if installing.

这时在刷新Loganalyzer就可以看到相关日志了.

文章来源网络,作者:运维,如若转载,请注明出处:https://shuyeidc.com/wp/218176.html<

(0)
运维的头像运维
00
上一篇2025-04-13 12:50
下一篇 2025-04-13 12:51

相关推荐

  • 如何制作个人主题技术资讯

    个人主题怎么制作?

    制作个人主题是一个将个人风格、兴趣或专业领域转化为视觉化或结构化内容的过程,无论是用于个人博客、作品集、社交媒体账号还是品牌形象,核心都是围绕“个人特色”展开,以下从定位、内容规划、视觉设计、技术实现四个维度,详细拆解制作个人主题的完整流程,明确主题定位:找到个人特色的核心主题定位是所有工作的起点,需要先回答……

    运维的头像运维
    2025-11-20
    0
  • 如何管理社群营销技术资讯

    社群营销管理关键是什么?

    社群营销的核心在于通过建立有温度、有价值、有归属感的社群,实现用户留存、转化和品牌传播,其管理需贯穿“目标定位-内容运营-用户互动-数据驱动-风险控制”全流程,以下从五个维度展开详细说明:明确社群定位与目标社群管理的首要任务是精准定位,需明确社群的核心价值(如行业交流、产品使用指导、兴趣分享等)、目标用户画像……

    运维的头像运维
    2025-11-20
    0
  • 香港公司如何网站备案技术资讯

    香港公司网站备案需要什么材料?

    香港公司进行网站备案是一个涉及多部门协调、流程相对严谨的过程,尤其需兼顾中国内地与香港两地的监管要求,由于香港公司注册地与中国内地不同,其网站若主要服务内地用户或使用内地服务器,需根据服务器位置、网站内容性质等,选择对应的备案路径(如工信部ICP备案或公安备案),以下从备案主体资格、流程步骤、材料准备、注意事项……

    运维的头像运维
    2025-11-20
    0
  • 如何企业上云推广技术资讯

    如何企业上云推广

    企业上云已成为数字化转型的核心战略,但推广过程中需结合行业特性、企业痛点与市场需求,构建系统性、多维度的推广体系,以下从市场定位、策略设计、执行落地及效果优化四个维度,详细拆解企业上云推广的实践路径,精准定位:明确目标企业与核心价值企业上云并非“一刀切”的方案,需先锁定目标客户群体,提炼差异化价值主张,客户分层……

    运维的头像运维
    2025-11-20
    0
  • PS如何设计搜索框技术资讯

    PS设计搜索框的实用技巧有哪些?

    在PS中设计一个美观且功能性的搜索框需要结合创意构思、视觉设计和用户体验考量,以下从设计思路、制作步骤、细节优化及交互预览等方面详细说明,帮助打造符合需求的搜索框,设计前的规划明确使用场景:根据网站或APP的整体风格确定搜索框的调性,例如极简风适合细线条和纯色,科技感适合渐变和发光效果,电商类则可能需要突出搜索……

    运维的头像运维
    2025-11-20
    0

发表回复

您的邮箱地址不会被公开。必填项已用 * 标注