loganalyzer系統(tǒng)日志分析

facility: 設(shè)施 信道 (具體名稱可man logger)

**auth,authpriv mail cron daemon kern lpr mark news security user uucp syslog **local0-local7

priority: 日志等級(jí)

debug,info,notice,warn(warning),err(error),crit(critcal),alert,emerg(panic)

rsyslog服務(wù)的配置文件(/etc/rsyslog.conf)規(guī)則說(shuō)明

[RULES]段格式
    facility.priority   target   
                facility：
                    *：所有的facility；
                    f1,f2,f3,...：列表中給定的所有facility代咸；
                        auth,authpriv,security.info
                    f1.p1;f2,p2;f3.p3;...：列表中給定的所有facility；
                        auth.info;authpriv.notic;security,warn;

                priority：
                    *：所有級(jí)別
                    none：沒(méi)有級(jí)別瓤的，不記錄日志；
                    PRIORITY：此級(jí)別（含）及其以上的所有級(jí)別吞歼；
                    =PRIORITY：僅指定的級(jí)別圈膏；

                target：
                    文件：將日志信息記錄到指定的文件中；文件路徑之前的“-”表示異步寫(xiě)入之意篙骡；
                    用戶：將日志事件通知給指定的用戶本辐；一般指登錄到當(dāng)前系統(tǒng)上的所有用戶的終端桥帆；
                    日志服務(wù)器：@rsyslog_server医增，把日志信息發(fā)往指定的日志服務(wù)器慎皱；
                    管道：|COMMAND

配置rsyslog服務(wù)器

配置rsyslog服務(wù)器(/etc/rsyslog.conf)：
#### modules ####
…………
# Provides UDP syslog reception
$ModLoad imudp
$UDPServerRun 514

        # Provides TCP syslog reception
        $ModLoad imtcp
        $InputTCPServerRun 514

其它幾個(gè)日志文件：
last, lastb - show listing of last logged in users
-num, -n num

            /var/log/btmp：登錄當(dāng)前系統(tǒng)的所有的失敗的嘗試；
            /var/log/wtmp：所有成功登錄至當(dāng)前系統(tǒng)的相關(guān)信息叶骨；

        lastlog - reports the most recent login of all users or of a given user


        /var/log/dmesg：系統(tǒng)引導(dǎo)過(guò)程中的日志信息茫多；
            文本查看工具；
            也可以使用dmesg命令忽刽；

rsyslog記錄日志于mysql：

前提：準(zhǔn)備好msql server或mariadb server天揖；
在/etc/my.conf里添加兩行內(nèi)容:
    skip_name_resolve=ON
    innodb_file_per_table=ON
(1) 安裝rsyslog連接至mysql(mariadb) server的驅(qū)動(dòng)模塊；
    # yum install rsyslog-mysql

rsyslog-mysql包生成的兩個(gè)文件

ommysql.so --> rsyslog輸出時(shí)用到的模塊,需要在/etc/rsyslog.conf配置文件里進(jìn)行配置
mysql-createDB.sql --> 幫我們生成rsyslog所依賴的數(shù)據(jù)(表,字段,表結(jié)構(gòu)等等)的sql腳本

(2) 在mysql server準(zhǔn)備rsyslog專用的用戶賬號(hào)(數(shù)據(jù)庫(kù)名叫Syslog是有原因的!查看第3步)
     GRANT ALL ON Syslog.* TO 'rsyslog'@'127.0.0.1' IDENTIFIED BY 'rsyslogpass';    
     GRANT ALL ON Syslog.* TO 'rsyslog'@'local' IDENTIFIED BY 'rsyslogpass';
     flush privileges;

(3) 生成所需要的數(shù)據(jù)庫(kù)和表跪帝；
    mysql -ursyslog -h127.0.0.1 -prsyslogpass <  /usr/share/doc/rsyslog-7.4.7/mysql-createDB.sql

第3步生成的數(shù)據(jù)庫(kù)Syslog

Syslog里的兩張表

(4) 配置rsyslog使用ommysql模塊
        #### MODULES ####
        ......
        $ModLoad ommysql

(5) 配置RULES今膊，將所期望的日志信息記錄于mysql中；
    facility.priority       :ommysql:DBHOST,DB,DBUSER,DBUSERPASS

配置rsyslog配置文件的RULES段,將日志記錄于指定的數(shù)據(jù)庫(kù)文件中

(6) 重啟rsyslog服務(wù)伞剑；
    systemctl restart rsyslog.service

loganalyzer 日志分析(軟件loganalyzer-3.6.6.tar.gz)

    WebGUI的程序, 運(yùn)行amp環(huán)境中斑唬；
    (a) 準(zhǔn)備amp環(huán)境
    # yum -y install httpd php php-mysql php-gd
    # systemctl start httpd.service
        (b) 安裝loganalyzer  # 更具體的內(nèi)容可以查看loganalyzer目錄中的INSTALL文件.
        # tar xf loganalyzer-VERSION.tar.gz
        # cd loganalyzer-VERSION
        # cp -a src  /var/www/html/loganalyzer-VERSION
        # cd /var/www/html
        # ln -sv loganalyzer-VERSION log
                # cd -; cp contrib/* /var/www/html/log
        # cd /var/www/html/log
                # touch config.php
        # chmod 666 config.php    # 通過(guò)web瀏覽器進(jìn)行配置一路下一步配置生成配置文件
        打開(kāi)瀏覽器，配置黎泣；
        MySQL Native, Syslog Field
        Table Type："Monitorware“
        # chmod 644 config.php   # 配置完畢后注意要縮小配置文件權(quán)限

這時(shí)在瀏覽器端即可用LogAnalyzer來(lái)查看存儲(chǔ)于服務(wù)器數(shù)據(jù)庫(kù)中的rsyslog日志數(shù)據(jù)了,如下圖所示:

LogAnalyzer日志查看與分析頁(yè)面1

LogAnalyzer日志查看與分析頁(yè)面2