centos7.9日志服务器安装配置

一、系统管理员遇到的常见问题如下：

1、日常维护过程中不可能登录到每一台服务器和设备上去查看日志； 
2、网络设备上的存储空间有限，不可能存储日期太长的日志，而系统出现问题又有可能是很久以前发生的某些操作造成的； 
3、在某些非法入侵的情况下，入侵者一般都会清除本地日志，清除入侵痕迹； 
4、zabbix等监控系统无法代替日志管理，无法监控如系统登录、计划任务执行等项目。

基于上述原因，在当前的网络环境中搭建一台用于日志集中管理的Rsyslog日志服务器就显得十分有必要了。

Rsyslog服务的优点如下：

1、Rsyslog服务器可以大多数的网络设备支持，在网络设备的系统设备选项中大多都有远程日志服务的配置选项。只需要填写上IP地址和端口（大多数设备已经默认是514了），然后确定就可以了； 
2、Linux服务器只需要在本地的Rsyslog服务配置中加入简单的一行就可以将日志发送到日志服务器，布署和配置起来十分简单； 
3、通过软件（如evtsys）也可以支持Windows服务器，布署和配置也不是很难，但是有些软件是要收费的； 
4、搭配前端的loganalyzer等软件，可以轻松实现图形化管理和查询日志。

二、系统环境及软件版本：

    Rsyslog_server: CentOS Linux release 7.9.2009 (Core)

    Rsyslog_server IP:192.168.50.10

    Rsyslog_client: CentOS Linux release 7.9.2009 (Core)

    所用软件： 

    Rsyslog Version: rsyslog-7.4.7-12.el7.x86_64

    LogAnalyzer Version:  Adiscon LogAnalyzer Version 4.1.12

    MySQL Version：MySQL 5.7.30

    Httpd Version：nginx/1.18.0

    PHP Version：PHP 7.2.31

三、环境准备：

3.1 开放防火墙端口：

firewall-cmd --add-port=514/tcp --permanent

firewall-cmd --reload

其它端口按需开放

3.2 将SELINUX设置为disabled

# setenforce 0

# sed -i 's#SELINUX=enforcing#SELINUX=disabled#g' /etc/selinux/config

四、配置LAMP环境：

使用oneinstack的一键安装

wget -c http://mirrors.linuxeye.com/oneinstack-full.tar.gz && tar xzf oneinstack-full.tar.gz && ./oneinstack/install.sh --nginx_option 1 --php_option 9 --phpcache_option 1 --phpmyadmin  --db_option 2 --dbinstallmethod 1 --dbrootpwd oneinstack --pureftpd  --redis  --memcached 

4.3 启动服务并加入开机自启动：

systemctl start nginx

systemctl enable nginx

systemctl start mysqld

systemctl enable mysqld

在浏览器中输入 http://IP/index.php，若显示以下内容，则配置成功。

五、检查并安装服务端软件

5.1 检查是否安装了rsyslog软件

# rpm -qa rsyslog                  #CentOS7默认会安装rsyslog

5.2 安装rsyslog 连接MySQL数据库的模块

# yum install rsyslog-mysql -y     #rsyslog使用此模块将数据传入MySQL数据库，必须安装

六、配置服务器端

6.1 导入rsyslog-mysql 数据库文件

查看rsyslog-mysql文件位置

# rpm -ql rsyslog-mysql

# mysql -uroot -p < /usr/share/doc/rsyslog-8.24.0/mysql-createDB.sql

6.2 登录数据库查看：

mysql> show databases;

MySQL [(none)]> show databases;
+--------------------+
| Database           |
+--------------------+
| information_schema |
| mysql              |
| performance_schema |
| phpmyadmin         |
| sys                |
| syslog             |
| zabbix             |
+--------------------+
7 rows in set (0.00 sec)

MySQL [(none)]> use syslog
Database changed
MySQL [syslog]> show tables;
+------------------------+
| Tables_in_syslog       |
+------------------------+
| systemevents           |
| systemeventsproperties |
+------------------------+
2 rows in set (0.01 sec)

导入数据库操作创建了Syslog 库并在该库中创建了两张空表SystemEvents 和SystemEventsProperties。

6.3 在MySQL下创建rsyslog用户并授权：

 

mysql> grant all on Syslog.* to rsyslog@'localhost' identified by '密码';  连接密码需要进行设定

mysql> flush privileges;

mysql> exit

 

6.4 配置服务端支持rsyslog-mysql 模块，并开启UDP服务端口获取网内其他LINUX系统日志；

 

# vi /etc/rsyslog.conf                    #按如下进行更改   

#### MODULES ####    

$Modload ommysql    

*.* :ommysql:localhost,syslog,rsyslog,lightsoft

#localhost 表示本地主机，syslog 为数据库名，rsyslog 为数据库的用户，lightsoft为该用户密码。        

$ModLoad immark            # immark是模块名，支持日志标记    

$ModLoad imudp             # imupd是模块名，支持udp协议    

$UDPServerRun 514          #允许514端口接收使用UDP和TCP协议转发过来的日志

 

6.5 重启rsyslog服务

# systemctl restart rsyslog

七、配置客户端

7.1 检查客户端有没有安装rsyslog

# rpm -qa rsyslog

7.2 配置rsyslog客户端发送本地日志到服务端

# vi /etc/rsyslog.conf     *.* @@192.168.50.10:514        #在文件结尾处增加此内容

7.3 重启rsyslog服务

# systemctl restart rsyslog

7.4 编辑/etc/bashrc，将客户端执行的所有命令写入系统日志/var/log/messages中

# vi /etc/bashrc     #在结尾处加上以下内容

PROMPT_COMMAND='{ msg=$(history 1 | { read x y; echo $y; });logger "[euid=$(whoami)]":$(who am i):[`pwd`]"$msg"; }'              

设置使其生效

# source /etc/bashrc

客户机需要将hostname设为ip以便于区分

hostnamectl set-hostname 5012

八、LogAnalyzer4.1.12安装配置

九、安装LogAnalyzer

 

# cd /home/rsyslog_server/tools/

# wget  http://download.adiscon.com/loganalyzer/loganalyzer-3.6.5.tar.gz

# tar zxf loganalyzer-3.6.5.tar.gz

# cd loganalyzer-3.6.5

# mkdir -p /var/www/html/loganalyzer# cp -a src/* /var/www/html/loganalyzer/

 

十、在浏览器中进行安装LogAnalyzer

10.1 打开浏览器，输入 http://192.168.50.10/loganalyzer

提示无配置文件，点击here按钮生成；

10.2 点击next进行系统环境测试：

此处提示没有config.php文件，使用contrib中的configure.sh脚本可生成；

# cd contrib/

# cp configure.sh /var/www/html/loganalyzer/

# cd /var/www/html/loganalyzer/

# sh configure.sh

此部分操作在/var/www/html/loganalyzer/目录下创建config.php文件并配置权限为666，也可以使用mkdir及chmod命令执行。

 

10.3 继续下一步，填写数据库信息

点击next生成数据库中的表；

10.4 设置管理员

10.5 创建第一个系统日志source

 

10.6 完成

Rsyslog + LogAnalyzer 日志服务器部署完毕，可根据需要进行设置。

 

 

参考链接:CentOS7下利用rsyslog+loganalyzer配置日志服务器及Linux客户端配置_11060714的技术博客_51CTO博客