1.目的背景 網站鏈接(含圖片):https://www.iyunv.com/thread-421317-1-1.html
日誌功能對於操作系統是相當重要的,在使用中,無論是系統還是應用等等,出了任何問題,我們首先想到的便是分析日誌,查找問題原因。
自 CentOS 6 開始,我們的 CentOS 便開始使用 rsyslog 做爲日誌收集服務了,相對於之前的 syslog 它能夠支持多線程,數據庫存儲,支持更多了傳輸協議等等優點。
而 LogAnalyzer 則是一款基於 PHP 開發的 syslog 日誌和其他網絡事件數據的 Web 前端。它提供了對日誌的簡單瀏覽、搜索、基本分析和一些圖表報告的功能。
將他們整合起來,我們就能夠搭建一個日誌收集管理服務器,用來應對小型的日誌數據收集分析。
本次主要配置日誌服務器用途收集交換機防火牆等網絡設備的日誌。
2.配置內容
操作系統:CentOS 7.0 ,最小化安裝,配置地址爲172.31.206.112
數據庫:mariadb v5.5.44
httpd:v2.4.6
php: v2.4.0
LogAnalyzer:v4.1.5
交換機:nutanix_sw1,華爲S5720,地址爲172.31.205.29
防火牆:gateway,飛塔FG3040b,地址爲192.168.1.254
注意,進行服務器的配置之前,務必確保與交換機,防火牆之間的兩兩路由互相可達,能夠ping通。
3.服務器配置
在nutanix平臺上開啓一臺linux虛擬機,內存2G,硬盤100G。
3.1.安裝數據庫
[iyunv@log ~]#yum install mariadb mariadb-server -y
#安裝mariadb數據庫。
3.2.啓動並初始化數據庫
[iyunv@log ~]#systemctl start mariadb.service
[iyunv@log ~]#/bin/mysql_secure_installation
#重啓mariadb數據庫服務器
#初始化數據庫
3.3.添加數據庫和用戶
[iyunv@log ~]#mysql -uroot -p
......(省略)
MariaDB [(none)]> create database rsyslog character set utf8 collate utf8_bin;
MariaDB [(none)]> grant all privileges on rsyslog.* to 'rsyslog'@'localhost' identified by 'rsyslog';flush privileges;
MariaDB [(none)]> quit
#創建”rsyslog”的數據庫,字符編碼設置爲utf 8
#對數據庫“rsyslog”創建全權限的rsyslog,的本地用戶,設置密碼爲“rsyslog”
3.4.安裝 rsyslog 的 MySQL 擴展程序包 rsyslog-mysql
[iyunv@log ~]#yum install rsyslog-mysql -y
#安裝rsyslog
3.5.將 rsyslog 的 MySQL 表導入創建的 rsyslog 數據庫,並給予用戶權限
[iyunv@log~]#mysql -uroot-p < /usr/share/doc/rsyslog-7.4.7/mysql-createDB.sql
[iyunv@log ~]#mysql -uroot -p
......(省略)
MariaDB [(none)]> grant all privileges on Syslog.* to 'rsyslog'localhost'%' identified by 'rsyslog';flush privileges;
MariaDB [(none)]> quit
Bye
#將 rsyslog 的 MySQL 表導入創建的 rsyslog 數據庫
#創建數據庫Syslog,設置本地用戶rsyslog,密碼rsyslog,全部權限
3.6.修改 rsyslog 配置文件
[iyunv@log ~]#vim /etc/rsyslog.conf
#添加
$ModLoad ommysql
. :ommysql:localhost,Syslog,rsyslog,rsyslog #日誌 :ommysql:數據庫地址,數據庫名,數據庫用戶,數據庫用戶密碼
#使用UDP協議傳輸
$ModLoad imudp
$UDPServerRun 514
$UDPServerRun 38514 #華爲交換機部分高端默認發送日誌端口
#使用TCP協議傳輸(兩者可同時使用)
$ModLoad imtcp
$InputTCPServerRun 514
$InputTCPServerRun 38514 #華爲交換機默認發送日誌端口========================================================
#注意,在修改配置文件的時候,要使功能生效,需要將“#”刪掉
3.7.重啓rsyslog服務
[iyunv@ZhangSir ~]#systemctl restart rsyslog.service
3.8.準備web環境
[iyunv@log ~]#yum install httpd php php-mysql php-gd -y
3.9.下載 loganalyzer
[iyunv@log ~]#yum install unizp -y
[iyunv@log ~]#wget https://github.com/rsyslog/loganalyzer/archive/master.zip
#安裝unzip解壓程序
#下載loganalyzer
3.10.解壓配置loganalyzer
[iyunv@log ~]#unzip master.zip
[iyunv@log ~]#cp -a ~/loganalyzer-master/src/* /var/www/html
[iyunv@log ~]#cd /var/www/html/
[iyunv@log /var/www/html]#touch config.php
[iyunv@log /var/www/html]#chmod 666 config.php
[iyunv@log ~]#systemctl start httpd ==========================================================
#使用unzip解壓文件
#複製文件
#打開文件路徑
#新建config.php
#config.php賦予權限
#重啓httpd服務
3.11.關閉防火牆
[iyunv@log ~]#systemctl stop firewalld
3.12.進入瀏覽器頁面配置
1)在瀏覽器中輸入172.31.206.112進行配置
2)點擊之後,提示開始檢查。
3)配置文件檢查,注意 config.php 需要 666 權限,如果沒有寫權限,則會報錯提示
4)LogAnalyzer 的基本配置,此處配置的數據庫爲 LogAnalyzer 的數據庫,也就是我們自己建的 rsyslog 數據庫。數據庫名稱,用戶名及密碼都是rsyslog。
5)如果數據庫能正常連接,那麼就會顯示正常了,如果數據庫連接出錯,則會提示錯誤原因,點擊 Next 繼續下一步。
6)連接數據庫成功後,會自動創建數據庫表,提示 24 條成功,0 失敗。
7)這一步便是填寫日誌信息的數據庫信息,也就是我們導入 sql 文件所創建的 Syslog 數據庫,請注意大小寫,監控表爲 SystemEvents,默認爲小寫,會出錯,很奇怪。
8)繼續下一步就會提示成功啦,然後點擊登錄,便能進入查看了。
4.防火牆及交換機配置4.1.防火牆配置進入防火牆界面,配置日誌服務器。
收集到的防護牆日誌如下所示
4.2.交換機配置info-center loghost 172.31.206.112//日誌服務器地址 info-center enable //啓動-info-center loghost source Vlanif205 //指定日誌發送源接口爲邏輯口info-center source default channel 2 log level debugging//發送所有級別的日誌
收集到的交換機日誌如下圖所示