使用源生的mysql5.1和最新版syslog8.3以及前端展示平臺(tái)的loganalyzer搭建起來(lái)的簡(jiǎn)單日志收集系統(tǒng)迷帜。

centos 6.5

關(guān)閉防火墻碧浊，關(guān)閉selinux

一完慧、安裝syslog8.3

cd /etc/yum.repos.d/

wget http://rpms.adiscon.com/v8-stable/rsyslog.repo

yum install rsyslog ? ?\\安裝rsyslog

yum install rsyslog-mysql ?\\安裝rsyslog-mysql組件

二、安裝mysql

yum -y install mysql*

三留夜、配置數(shù)據(jù)庫(kù)

設(shè)置字符集編碼

在my.cnf文件的[client] [mysqld] [mysql] 三個(gè)段落里添加?default-character-set=utf8

特別是[mysqld]中撬碟，需要額外添加這兩個(gè)

mysqld需要特別注意

導(dǎo)入數(shù)據(jù)庫(kù)

Rsyslog的mysql數(shù)據(jù)庫(kù)默認(rèn)文件是：/usr/share/doc/rsyslog-mysql-5.8.10/createDB.sql

使用mysql -u root -p < $(rpm -ql rsyslog-mysql | grep sql$)命令導(dǎo)入數(shù)據(jù)庫(kù)

設(shè)置Rsyslog數(shù)據(jù)庫(kù)的字符集

上一步導(dǎo)入的數(shù)據(jù)庫(kù)只有二個(gè)表: SystemEvents 和 SystemEventsProperties ? ? ?Syslog數(shù)據(jù)庫(kù)及這二個(gè)表的默認(rèn)字符集也不是uft8，需要進(jìn)行修改修改Syslog數(shù)據(jù)庫(kù)的字符集

mysql> ALTER DATABASE `Syslog` DEFAULT CHARACTER SET utf8 COLLATE utf8_general_ci;#修改相應(yīng)數(shù)據(jù)表的字符集

mysql> alter table SystemEventsdefaultcharacterset=utf8;mysql> alter table SystemEventsPropertiesdefaultcharacterset=utf8;

查看修改后的效果：

#查看數(shù)據(jù)庫(kù)的字符集設(shè)置mysql> show variables like'character%'底靠；

#查看Systlog數(shù)據(jù)庫(kù)所有表的字符集設(shè)置mysql>useSyslog;mysql> show table status from Syslog\G;

創(chuàng)建syslog用戶(hù)：

mysql> grant all privileges on Syslog.* to 'rsyslog'@'localhost' identified by '147258';

mysql> flush privileges;

mysql> exit;

四揽趾、配置rsyslog

配置服務(wù)端支持rsyslog-mysql模塊，并開(kāi)啟TCP/UDP服務(wù)端口

vim /etc/rsyslog.conf

在#### MODULES ####下添加這兩行

module(load="ommysql")

*.* :ommysql:localhost,Syslog,rsyslog,123456

注:localhost表示本地主機(jī)苛骨，Syslog為數(shù)據(jù)庫(kù)名篱瞎，rsyslog為數(shù)據(jù)庫(kù)的用戶(hù)，123456為該用戶(hù)密碼

取消下面五行注釋

module(load"immark")

module(load="imudp")

input(type="imudp" port="514")

module(load="imtcp")

input(type="imtcp" port="514")

rsyslog.conf

別忘了重啟相對(duì)應(yīng)的服務(wù)痒芝。

五 配置loganalyzer

安裝php

yum -y install php*

重啟httpd 服務(wù) 即apache

導(dǎo)入loganalyzer

將loganalyzer的源碼文件拷貝進(jìn)入服務(wù)器的/var/www/html文件夾中俐筋。

使用tar -zxvf loganalyzer

解壓loganalyzer

在此目錄下新建log文件夾，將src和contrib兩個(gè)文件夾的所有文件拷貝到log文件夾中严衬。

cp -r src/* /var/www/html/loganalyzer/

cp -r contrib/* /var/www/html/loganalyzer/

然后澄者，進(jìn)入log目錄，建立安裝配置文件请琳，loganalyzer服務(wù)安裝時(shí)需要對(duì)這個(gè)文件有寫(xiě)權(quán)限

touch config.php ? ?\\建文件

chmod 666 config.php \\配置權(quán)限

配置apache

配置servername 為自己主機(jī)的ip即可粱挡。

別忘了重啟服務(wù)。

安裝loganalyzer

登錄http://ip/log顯示安裝頁(yè)面

在瀏覽器輸入網(wǎng)址俄精，進(jìn)入安裝向?qū)?

訪(fǎng)問(wèn)http://ip/log

一共8個(gè)步驟询筏，這里只將需要修改的步驟列出，其余只需要”Next”即可

第3步：”Enable User Database”選擇“Yes”竖慧；

第7步：”Source Type” 選擇 “MYSQL Native”并在下載配置數(shù)據(jù)庫(kù)信息?

從51cto上截的圖嫌套，大家知道什么意思就行了逆屡。

這里有個(gè)重點(diǎn)說(shuō)明下。

前面我的mysql更改了安裝目錄踱讨，所以sock文件也更改了位置魏蔗，但是不知道為什么，在安裝loganalyzer的時(shí)候痹筛，一直有錯(cuò)誤提示莺治，error關(guān)于/var/lib/mysql/mysql.sock(2)的報(bào)警，連接不上數(shù)據(jù)庫(kù)帚稠。我查看了mysql的所有配置文件谣旁，sock文件均更改了位置。于是沒(méi)辦法翁锡，只能使用軟連接蔓挖，在/var/lib/mysql/下創(chuàng)建了一個(gè)mysql.sock的鏈接文件夕土。如圖：

軟鏈接

關(guān)于loganalyzer的安裝部分不細(xì)說(shuō)了馆衔，網(wǎng)上一堆。

亂碼問(wèn)題

直接在admin center中修改字符編碼即可

字符編碼

windows客戶(hù)端日志收集

Windows客戶(hù)端日志使用evtsys工具進(jìn)行收集怨绣，evtsys（點(diǎn)擊下載）

使用方法如下

將evtsys.exe文件拷貝到windows/system32中角溃，在cmd命令行下運(yùn)行：

evtsys -i -h syslog-ip -p 514

-i 安裝

-h 遠(yuǎn)程syslog服務(wù)器ip地址

-p syslog端口

net start evtsys ?//啟動(dòng)syslog服務(wù)

net stop evtsys ?//停止syslog服務(wù)

evtsys -u ? //卸載syslog服務(wù)（需要先暫停服務(wù)）

最后呈上一張成功截圖

日志收集

此文參考https://blog.csdn.net/cmzsteven/article/details/50413837

以此來(lái)記錄此次搭建過(guò)程，以及有些小改之處篮撑，細(xì)節(jié)要更加注意减细。