搭建rsyslog日志服务器和loganalyzer日志分析工具剖析.docx

搭建rsyslog日志服务器和loganalyzer日志分析工具一、rsyslog的介绍2rsyslog日志服务器的优势：2rsyslog的新功能：2rsyslog的软件包2rsyslog配置文件(/etc/rsyslog.conf)的详解3二、logrotate日志滚动的介绍5logrotate的软件包6logrotate的配置文件（/etc/logrotate.conf）详解6三、rsyslog的存储途径7a）日志存储在指定的文件中7b）日志存储在指定的rsyslog服务器中8rsyslog客户端的配置：9rsyslog服务器的配置：9rsyslog+Mysql服务器端的配置：11rsyslog客户端的配置：14验证客户端的日志文件存放位置：15四、基于web的loganalyzer日志分析工具的搭建16rsyslog服务器的配置步骤：161、安装httpd,php,php-gd,php-mysql162、下载loganalyzer源码包173、执行脚本174、修改httpd的配置文件，新建一个虚拟主机175、重启服务，创建loganalyzer的数据库，并授权186、安装loganalyzer18一、rsyslog的介绍Linux的日志记录了用户在系统上一切操作，看日志去分析系统的状态是运维人员必须掌握的基本功。rsyslog日志服务器的优势：1、日志统一，集中式管理2、日志实时传送到一个更加安全的远端服务器上，真正记录用户行为，使日志的2次更改可能性大大降低，从而能够对日志进行真实回放，便于问题追踪。rsyslog的新功能：rsyslog是一个加强版的syslog，具有各种各样的新功能，典型的有：1、直接将日志写入到数据库。2、日志队列（内存队列和磁盘队列）。3、灵活的模板机制，可以得到多种输出格式。4、插件式结构，多种多样的输入、输出模块。5、可以把日志存放在Mysql ，PostgreSQL，Oracle等数据库中rsyslog的软件包[root@jie1 ~]# rpm -qa | grep rsyslogrsyslog-5.8.10-6.el6.x86_64 #软件包系统默认已经安装[root@jie1 ~]# rpm -ql rsyslog #只显示了部分信息/etc/logrotate.d/syslog/etc/rsyslog.conf #rsyslog的配置文件/etc/sysconfig/rsyslog/lib64/rsyslog/imfile.so/lib64/rsyslog/imklog.so #rsyslog的模块，i开头的是输入模块/lib64/rsyslog/immark.so/lib64/rsyslog/impstats.so/lib64/rsyslog/imptcp.so/lib64/rsyslog/imtcp.so/lib64/rsyslog/imudp.so/lib64/rsyslog/imuxsock.so/lib64/rsyslog/lmnet.so/lib64/rsyslog/lmnetstrms.so/lib64/rsyslog/lmnsd_ptcp.so/lib64/rsyslog/lmregexp.so/lib64/rsyslog/lmstrmsrv.so/lib64/rsyslog/lmtcpclt.so/lib64/rsyslog/lmtcpsrv.so/lib64/rsyslog/lmzlibw.so/lib64/rsyslog/ommail.so #o开头的模块是输出模块/lib64/rsyslog/omprog.so/lib64/rsyslog/omruleset.so/lib64/rsyslog/omtesting.so/lib64/rsyslog/omuxsock.so/lib64/rsyslog/pmlastmsg.sorsyslog配置文件(/etc/rsyslog.conf)的详解#### MODULES 日志的模块####$ModLoad imuxsock #imuxsock是模块名，支持本地系统日志的模块$ModLoad imklog #imklog是模块名， 支持内核日志的模块#$ModLoad immark #immark是模块名，支持日志标记#$ModLoad imudp #imupd是模块名，支持udp协议#$UDPServerRun 514 #允许514端口接收使用UDP和TCP协议转发过来的日志#$ModLoad imtcp #imtcp是模块名，支持tcp协议#$InputTCPServerRun 514#### GLOBAL DIRECTIVES ####定义全局日志格式的指令$