搭建日志服务器

计算机或网络设备的日志记录了计算机或网络设备的工作状况与操作，比如：哪个用户在什么时间登录了设备？这位用户对设备进行了哪些操作等等，通过查看日志可以让管理人员了设备的运行状况与状态。

我们的计算机Windows操作系统本身有自己的日志系统，一些可以网管的交换机、路由器等也有自己的日志系统。

当然我们也可以借助第三方软件架设一个日志服务器，专门用来存放网络设备的日志系统。

本篇文章以H3C E126A交换机为例介绍如何架设日志服务器，如何让H3C E126A把日志发送到日志服务器上。

一、架设日志服务器本例中使用3Csyslog version 1.0为H3C E126A架设一个日志服务器。

图一安装3Csyslog图二图三选择安装类型，通常为Typical图图提示安装成功图五 3Csyslog Version 1.0界面图六 3Csyslog配置——安全配置：设置哪台网络设备可以把日志消息发送到该日志服务器上图七配置日志文件的名称及存放位置二、配置H3C E126A以下是配置命令，将给予说明。

********************************************************************* ************ Copyright(c) 2004-2008 Hangzhou H3C Tech. Co., Ltd. All rights reserved. ** Without the owner's prior written consent, ** no decompiling or reverse-engineering shall be allowed. ********************************************************************** ***********Login authenticationUsername:senyaPassword:<xixian-sunmiaocz-zx-e126a>%Apr 2 03:42:30:589 2000 xixian-sunmiaocz-zx-e126a SHELL/5/LOGIN:- 1 - senya(10.63.254.198) in unit1 login<xixian-sunmiaocz-zx-e126a>superPassword:User privilege level is 3, and only those commands can be usedwhose level is equal or less than this.Privilege note: 0-VISIT, 1-MONITOR, 2-SYSTEM, 3-MANAGE<xixian-sunmiaocz-zx-e126a><xixian-sunmiaocz-zx-e126a>sysSystem View: return to User View with Ctrl+Z.[xixian-sunmiaocz-zx-e126a]undo info-center loghost 10.63.254.198 [xixian-sunmiaocz-zx-e126a]display info-center //查看信息中心属性Information Center: enabled //enabled表示允许Log host:Console:channel number : 0, channel name : consoleMonitor:channel number : 1, channel name : monitorSNMP Agent:channel number : 5, channel name : snmpagentLog buffer:enabled,max buffer size : 1024, current buffer size : 512, current messages : 285, channel number : 4, channel name : logbufferdropped messages : 0, overwritten messages : 0Trap buffer:enabled,max buffer size : 1024, current buffer size : 256, current messages : 15, channel number : 3, channel name : trapbufferdropped messages : 0, overwritten messages : 0Information timestamp setting:log - date, trap - date, debug - boot[xixian-sunmiaocz-zx-e126a][xixian-sunmiaocz-zx-e126a]info-center loghost 10.63.254.198 //设置信息中心日志服务器IP地址[xixian-sunmiaocz-zx-e126a]display info-center //再次查看信息中心属性Information Center: enabledLog host:10.63.254.198, channel number : 2, channel name : loghostlanguage : english, host facility local : 7Console:channel number : 0, channel name : consoleMonitor:channel number : 1, channel name : monitorSNMP Agent:channel number : 5, channel name : snmpagentLog buffer:enabled,max buffer size : 1024, current buffer size : 512, current messages : 287, channel number : 4, channel name : logbufferdropped messages : 0, overwritten messages : 0Trap buffer:enabled,max buffer size : 1024, current buffer size : 256, current messages : 15, channel number : 3, channel name : trapbufferdropped messages : 0, overwritten messages : 0Information timestamp setting:log - date, trap - date, debug - boot[xixian-sunmiaocz-zx-e126a]图八使用3Csyslog查看交换机E126 A的日志如果有多台网络设备，可以把多个网络设备的日志发送到同一台日志服务器集中管理日志，这样就方便及时、全面了解网络的运行状况。

CentOS7.4搭建利用Rsyslog+LogAnalyzer+MySQL部署日志服务器简介LogAnalyzer 是一款syslog日志和其他网络事件数据的Web前端。

它提供了对日志的简单浏览、搜索、基本分析和一些图表报告的功能。

数据可以从数据库或一般的syslog文本文件中获取，所以LogAnalyzer不需要改变现有的记录架构。

基于当前的日志数据，它可以处理syslog日志消息，Windows事件日志记录，支持故障排除，使用户能够快速查找日志数据中看出问题的解决方案。

LogAnalyzer 获取客户端日志会有两种保存模式，一种是直接读取客户端/var/log/目录下的日志并保存到服务端该目录下，一种是读取后保存到日志服务器数据库中，推荐使用后者。

LogAnalyzer 采用php开发，所以日志服务器需要php的运行环境，本文采用LAMP。

二、系统环境Rsyslog Server OS：CentOS Linux release 7.4.1708 (Core)Rsyslog Server IP：192.168.123.100Rsyslog 版本：rsyslog-8.24.0-12.el7.x86_64LogAnalyzer 版本：LogAnalyzer 3.6.5 (v3-stable)Apache版本：httpd-2.4.6-67.el7.centos.x86_64Mariadb版本（CentOS7版本以上）：mariadb-5.5.56-2.el7.x86_64PHP版本：php-5.4.16-42.el7.x86_64、php-gd-5.4.16-42.el7.x86_64关闭防火墙：systemctl stop firewalld ; systemctl disable firewalld关闭SElinux：setenforce 0 ; vi /etc/selinux/config 修改SELINUX=disabled 关闭NetworkManager：systemctl stop NetworkManager ;systemctl disable NetworkManagerRsyslog Client IP：192.168.123.101三、安装并设置LAMP环境3.1、安装LAMP环境# yum -y install httpd mariadb-server mariadb php php-mysql3.2 启动服务并加入开机启动# systemctl start httpd# systemctl enable httpd# systemctl start mariadb# systemctl enable mariadb3.3 设置MySQL root 密码# mysqladmin -uroot password '123456'3.4 测试php运行环境# cat > /var/www/html/index.php << eof> <?php> phpinfo();> ?>> eof四、安装服务器软件安装rsyslog软件和rsyslog 连接MySQL数据库的模块# yum -y install rsyslog rsyslog-mysql五、配置服务器端5.1 导入rsyslog-mysql 数据库文件# cd /usr/share/doc/rsyslog-8.24.0/# mysql -uroot -p123456 < mysql-createDB.sql5.2 创建rsyslog用户在mysql下的相关权限# mysql -uroot -p123456Welcome to the MariaDB monitor. Commands end with ; or \g.Your MariaDB connection id is 117Server version: 5.5.56-MariaDB MariaDB ServerCopyright (c) 2000, 2017, Oracle, MariaDB Corporation Ab and others.Type 'help;' or '\h' for help. Type '\c' to clear the current input statement. MariaDB [(none)]> grant all on Syslog.* to rsyslog@localhost identified by '123456';MariaDB [(none)]> flush privileges;MariaDB [(none)]> exit5.3 配置rsyslog配置文件# vi /etc/rsyslog.conf在#### MODULES #### 下添加下面两行：$ModLoad ommysql*.* :ommysql:localhost,Syslog,rsyslog,123456然后把下面三行前面的井号去掉：$ModLoad immark #immark是模块名，支持日志标记$ModLoad imudp #imupd是模块名，支持udp协议$UDPServerRun 514 #允许514端口接收使用UDP和TCP协议转发过来的日志5.4、重启rsyslog服务# systemctl restart rsyslog六、配置客户端6.1 检查rsyslog 是否安装# rpm -qa|grep rsyslog6.2 配置rsyslog 客户端发送本地日志到服务端# vi /etc/rsyslog.conf在最后一行增加下面这行内容，即客户端将本地日志发送到服务器。

日志服务器搭建文档syslog详解1.syslog简介Syslog系统日志，记录linux系统启动以及运行的过程中产生的信息，rhel5.x系统默认自带了syslog，其配置文件是/etc/syslog.conf（rhel6.x的配置文件为/etc/rsyslog.conf）Syslog有两个进程：klogd和syslogdklogd：记录内核生成的日志syslogd：记录内核意外的信息2.syslog配置文件详解配置文件的定义格式为：factility.priority action（即设备.优先级动作）2.1factility可以理解为日志来源，常用的factility有以下几种：auth#有pam_pwdb报告认证活动authpriv#包括特权信息如用户名在内的认证活动cron#cron和at有关的计划任务daemon#与initd守护进程有关的后台进程kernel#内核消息队列lpr#打印机mark#syslog内部日志时间user#由用户程序生成的信息syslog#有syslog生成的信息uucp#由uucp生成的信息local0-local7#自定义程序使用2.2level级别emerg#紧急alert#警报cirt#关键errror#错误warning#警告notice#通知info#信息debug#调试2.3action(动作)日志记录位置系统上的绝对路径#如：/var/log/xxxx终端#如：/dev/console@host#远程主机，如：@172.16.133.185*#登陆到系统中的所有用户2.4rhel5.x系统上自带配置文件/etc/syslog.conf的分析*.info;mail.none;authpriv.none;cron.none/var/log/messages #表示将所有日志为info级别的，但是不包括mail，authpriv,crond相关信息，记录到/var/log/messages中authpriv.*/var/log/secure #表示将权限相关的信息记录到/var/log/secure1.mail.*-/var/log/maillog #将mail相关的信息异步写到磁盘/var/log/maillog2.5配置syslog日志服务器2.5.1服务器端设置vi/etc/sysconfig/syslog将sysLOGD_OPTIONS修改为：sysLOGD_OPTIONS=“-r–m0”#-r表示接受远程日志重启syslog服务,/etc/init.d/syslog restart(rhel6.x启动方式为/etc/init.d/rsyslog restart）2.5.2client端设置在/etc/syslog.conf中添加一条，如下：*.info;authpriv.*@172.16.133.185此时的日志服务器记录的信息为/var/log/messages,/var/log/secure。

如何建立日志服务器要建立一个日志服务器，您需要考虑以下几个步骤：1.确定需求和目标：首先，确定您建立日志服务器的需求和目标。

您需要思考的问题包括：为何需要建立日志服务器？要记录什么类型的日志？日志数据的大小和持续时间预计为多少？谁将使用这些日志数据以及他们的需求是什么？等等。

2.选择合适的日志管理工具：根据您的需求，选择适合的日志管理工具。

一些常见的日志管理工具包括ELK（Elasticsearch、Logstash和Kibana）、Splunk、Graylog等。

这些工具提供了强大的、分析和可视化功能，可以帮助您更好地管理和利用日志数据。

3.选择合适的硬件和操作系统：为日志服务器选择合适的硬件和操作系统。

考虑要记录的日志数据量以及预计的流量，并确保您的硬件能够满足这些要求。

此外，选择您熟悉和喜欢的操作系统，例如Linux、Windows Server等。

4.安装和配置日志管理工具：根据您选择的日志管理工具的文档和指南，安装和配置它们。

这可能涉及到安装和配置数据库、引擎、收集代理等组件。

确保您的日志管理工具能够正确地连接到您的日志源，并能够按需记录和存储日志数据。

5.定义日志格式和字段：根据您的需求，定义适合的日志格式和字段。

这将有助于日志管理工具更好地索引和日志数据。

常见的日志格式包括CSV、JSON、Syslog等。

您可以根据需要定义自定义字段，以便更好地跟踪和分析特定的日志信息。

6.配置日志源和收集代理：根据您的需求，配置日志源和收集代理。

这可能包括为应用程序、服务器、网络设备等配置日志输出，并确保日志数据能够顺利传输到您的日志服务器。

您可以使用各种方法，如日志文件监视、Syslog、API调用等来收集日志数据。

7.设置自动化和告警：根据您的需求，设置自动化和告警机制。

例如，您可以配置自动化脚本来定期备份和归档日志数据。

您还可以设置告警规则，以便在发生重要事件或问题时及时接收通知。

8.监控和维护：定期监控和维护您的日志服务器。

2011年11月（上）［摘要］本文论述了搭建集中管理日志服务器的技术及配置，并分析了在H3C 交换机上的应用。

［关键词］日志服务器；交换机；安全搭建集中管理日志服务器技术及应用王春璞卢宁（河北省电力研究院，河北石家庄050021）随着信息网络的互联，无论对企业还是个人都提供了更多更快的信息和造就了更大的商机，同时也为黑客大开方便之门，提供了大量的入侵机会。

黑客攻击变得相当容易，而且通过互联网可以轻而易举的窃取信息、篡改数据和非法攻击，对网络使用者及社会造成的危害和损失日益增加。

同时伴随企业信息化的不断发展和壮大，企业原有的网络变得日益庞大而复杂，面对很多7×24的实时运行的网络设备、主机系统以及各种业务应用系统，对如何通过集中式管理来提高企业网络管理的透明性和安全性提出了挑战。

综合上述两个原因，利用日志服务器记录设备运行信息，强化日志安全审计功能，分析日志信息的特点，抵御黑客攻击，提升IT 部门的服务质量，成为网络管理中很重要的工作。

根据实际工作经验，介绍一种集中管理日志服务器架设的技术及相关应用，为设备的统一管理提供详细的日志数据。

1集中管理日志服务器的搭建集中管理日志服务器可利用Syslog 标准协议实现日志信息的接收。

Syslog 是一种工业标准协议，用来记录设备的行为日志。

Syslog 允许一个设备通过IP 地址，把事件信息传递给该信息的接收者，同时也允许设备（如：路由器、交换机、防火墙、服务器等）向日志服务器发送事件信息。

因此，使用Syslog 协议接收和发送日志信息是搭建集中管理日志服务器简单而有效手段。

集中管理日志服务器是一套软硬件结合的系统。

为了确保日志数据的安全，需要一台专门的服务器来承担，服务器的性能没有特殊要求，具有足够的存储空间即可。

在当前技术条件下，日志服务器的硬件要求比较容易满足，投入并不大。

同时，日志服务器还需要软件系统来完成日志的传输和管理。

在Windows2003下使用3CSyslog 软件作为日志主机软件。

安装过程1、运行Kiwi Syslog 安装包里的Kiwi_Syslog_Server_9.2.1.Eval.setup.exe，弹出安装界面，点击“I agree”2、选择安装模式为“Install Kiwi Syslog Server as a service”，两者的区别是，前者可以在关闭软件主界面后仍然能记录日志，后者只能瞬时记录日志3、选择安装的用户，本地系统账户还是一个管理员的账户4、勾选“Install Kiwi Syslog Web Access”（可以不勾选），因为他提示了此功能只限注册用户使用、5、选择安装的组件6、选择安装的路径7、若第四步中没有勾选安装Kiwi Syslog Web Access，则会提示安装成功，若勾选了，则会提示安装Kiwi Syslog Web Access必备组件的向导，安装过程会自动下载并安装这些组件、8、之后就会弹出Kiwi Syslog Web Access的安装向导过程，也比较简单。

9、在Kiwi Syslog的安装包里还有个工具SolarWinds_LogForwarder_1.1.15_Eval_Setup.exe，安装也比较简单，这里不详细介绍。

配置过程Kiwi Syslog Server的各种详细配置主要在file-setup里面。

我们主要介绍2个方面的配置1、log文件的存放路径，点击Rules-Actions-Log to file，这里我们就可以设置存放的位置以及存放的格式2、配置计划任务，点击Rules-Shedules-Add new scheduleSchedule字段添加日志计划频率（按小时算、每6个小时记录一次，一天记录4次）Source字段（设置临时存储日志的路径）Destination字段（设置最终日志存储目录）实例测试Windows环境（亲测）把这两个文件拷贝到c:\windows\system32目录下。

打开Windows命令提示符（开始－>运行输入CMD）C:\>evtsys –i –h 192.168.10.100-i 表示安装成系统服务-h 指定log服务器的IP地址如果要卸载evtsys,则：net stop evtsysevtsys -u启动该服务:C:\>net start evtsys打开windows组策略编辑器(开始->运行输入gpedit.msc)在windows设置－> 安全设置－> 本地策略－>审核策略中，打开你需要记录的windows日志。

我们需要测试一种集中日志系统，要在Windows上建立一个类Linux下的集中日志系统。

经过比较Winsyslog和Kiwisyslog等工具，最终选定Kiwisyslog(/)，它不仅功能齐全，而且提供免费的版本。

Kiwisyslog遵循标准的日志协议(RFC 3164)，并支持UDP/TCP/SNMP几种方式的日志输入。

它默认是个免费的功能受限版（但功能基本够用了，只是没有找到汉化），自带发送模拟器﹑日志浏览器等实用工具。

我还测试了一下把ACE日志写到syslog的功能。

过程记录如下：1）使用klog工具这个主要用到kiwisyslog的klog实用工具(这个工具同时提供dll库的调用方式,真是好东西，我决定以后在我的应用里都用它！)，它支持直接或用重定向的方法输出日志到kiwisyslog。

klog –m "It's almost lunchtime"DIR *.* | klog -h 192.168.1.2 -i但我试图使用ACE应用日志输出到kiwisyslog时（ace_app.exe | klog -h 192.168.1.2 -i的形式），发现日志内容里前后有乱码出现，即ACE的日志输出直接重定向到klog再转到kiwisyslog有问题；并且不能按时间一行一行的输出，而是等应用程序执行结束时一股脑输出到kiwisyslog（按回车换行切开成一条一条日志）。

如果程序非正常结束，还不能将输出日志内容传到kiwisyslog。

还有一个方法是在Windows通过设置可以把ACE日志输出到系统日志里面。

ACE_LOG_MSG->set_flags(ACE_Log_Msg::SYSLOG);然后按下面2）的方法转到kiwisyslog。

2）还可以把Windows下的事件日志转到Linux下的syslog我们需要第三方的软件来将windows的日志转换成syslog类型的日志后，转发给syslog服务器。

syslog日志服务器配置步骤一．作用Linux 系统的日志主要分为两种类型 :1. 进程所属日志：由用户进程或其他系统服务进程自行生成的日志，比如服务器上的access_log 与 error_log 日志文件。

2. syslog 消息：系统syslog 记录的日志，任何希望记录日志的系统进程或者用户进程都可以给调用syslog来记录日志。

Syslog程序就是用来记录这类日志的。

syslog是Linux的日志子系统，日志文件详细地记录了系统每天发生的各种各样的事件。

用户可以通过日志文件检查错误产生的原因，或者在受到攻击和黑客入侵时追踪攻击者的踪迹。

日志的两个比较重要的作用是：审核和监测。

配置syslog中央服务器能够使所有服务器的系统信息都集中到某台特定的机器上，便于对集群中机器的管理与检查Linux系统所有的日志文件都在/var/log下，且必须有 root 权限才能察看。

日志文件其实是纯文本的文件，每一行表示一个消息,而且都由四个域的固定格式组成:1. 时间标签 (timestamp )，表示消息发出的日期和时间。

2. 主机名( hostname )，表示生成消息的计算机的名字。

如果只有一台计算机，主机名就可能没有必要了。

但是如果在网络环境中使用 syslog，那么就可能要把不同主机的消息发送到一台服务器上集中处理。

3. 生成消息的子系统的名字。

可以是”kernel”，表示消息来自内核；或者是进程的名字，表示发出消息的程序的名字。

在方括号里的是进程的PID。

4. 消息( message )，剩下的部分就是消息的内容。

二．syslog配置文件syslog是Linux系统默认的日志守护进程。

默认的syslog配置文件是/etc/syslog.conf文件。

syslog守护进程是可配置的，它允许人们为每一种类型的系统信息精确地指定一个存放地点。

现在，我们先看看syslog.conf文件的配置行格式（这个文件里的每一个配置行都是同样的格式），然后再看一个完整的syslog配置文件。

日志服务器搭建实战一、准备阶段1、硬件准备需要一台日志服务器，windows平台，建议采用windows 2003 操作系统。

确定其他需要记录日志的设备，包括windows平台服务器、linux服务器、小型机、路由设备以及交换设备等。

2、软件设备服务器端软件：3Csyslog日志记录软件。

Windows客户端软件：evtsys客户端软件，提供windows 下的syslog系统服务。

二、部署阶段1、服务器端在服务器端安装3Csyslog软件。

打开3Csyslog软件，点击File——Configure，弹出如下页面选择Log File Destnations选项，设置日志文件保存路径。

3、客户端1)windows客户端在需要记录日志的windows服务器上，运行evtsys软件，方法如下，将evtsys目录内的两个文件拷贝到c:/windows/system32目录下，运行evtsys.exe文件。

打开开始——运行，输入cmd，弹出的对话框内，输入evtsys –i –h 192.168.1.2类似的ip地址，指定服务器ip地址。

然后，输入service evtsys start 启动日志服务。

2)交换机设备对于交换机，只需要修改他的syslog保存地址，指定保存到日志服务器即可，用vi编辑器编辑syslog.conf 文件，指定远程地址即可。

3)防火墙设备对于类unix系统，均可采用启动syslog服务，修改syslog配置文件，指定远程日志服务器的方式达到相同效果。

三、系统运行点击开始——程序里的3Csyslog程序，即可查看当前活动的日志情况。

如下图：syslog文件，如下图：打开syslog文件，即可查看记录的日志信息，如下图：。

日志服务器搭建搭建日志服务器的步骤：⒈确定需求⑴分析项目需求和数据规模⑵确定日志存储周期和数据保留策略⒉选择合适的日志服务器软件⑴根据需求选择合适的日志服务器软件⑵进行软件评估和比较⒊硬件需求⑴确定服务器硬件要求（如CPU、内存、存储等）⑵确定网络需求（如带宽、网络拓扑等）⒋安装操作系统⑴安装服务器操作系统⑵配置网络设置⒌安装日志服务器软件⑴并解压日志服务器软件包⑵配置日志服务器软件参数⑶启动日志服务器⒍配置日志收集⑴配置客户端日志⑵配置日志收集规则⑶测试日志收集⒎数据存储和备份⑴确定日志数据存储方式（例如数据库、文件系统）⑵配置数据备份策略⑶定期检查数据完整性和备份恢复能力⒏日志查询和分析⑴学习日志查询和分析技巧⑵配置日志查询和分析工具⑶分析日志数据⒐安全性和权限控制⑴设定访问权限⑵配置防火墙和安全加固⑶定期更新和升级日志服务器软件⒑监控和性能优化⑴配置监控工具和告警系统⑵定期检查服务器性能和日志服务器负载状况⑶进行性能优化和调整1⒈安全注意事项和最佳实践1⑴保护服务器，加强登录认证和访问控制1⑵定期更新系统和软件，修补安全漏洞1⑶加密和保护敏感数据1⒉维护和故障处理1⑴制定日志服务器维护计划1⑵备份和恢复日志服务器配置1⑶处理日志服务器故障和问题附件：附件一：日志服务器搭建配置参数表附件二：日志收集规则示例法律名词及注释：⒈涉及的法律名词及注释1⒉涉及的法律名词及注释2⒊涉及的法律名词及注释3。

建立日志服务器沉着应对突发事件作为网络的维护者，日志是我们工作中比不可少的一部分，他可以帮助我们分析设备是否正常，网络是否健康，所以任何设备或系统都应该建立完整的日志系统，这样我们就可以面对任何问题并及时解决问题了。

本文将为大家介绍简单日志服务器的建立，通过这个日志服务器我们就可以掌握数据通过路由器的基本情况了。

遇到突发事件可以通过分析日志来快速解决问题。

路由器作为重要的网络设备，他的安全性至关重要，由于路由器内存容量有限，一些日志信息存储后掉电就会丢失，所以我们不能寄希望于将日志保存在路由器上。

建立日志服务器，用其记录路由器的运行状况，保存日志记录信息从而帮助我们进行故障定位，故障排除和网络安全管理。

在实际工作中笔者把日志服务器建立在Linux系统上，使用的Linux系统版本为RED HAT 9。

日志记录原理路由器的一些重要信息可以通过SYSLOG机制在内部网络的Linux或Unix主机上记录日志。

这些重要信息包括链路建立失败信息，路由器操作信息和包过滤信息等等日志信息。

所以只要在Linux或Unix上启用SYSLOG接收服务，再在路由器上指定Linux或Unix的IP 地址为日志服务器即可。

配置起来不是很烦琐，而监视起来效果明显。

Linux上的配置默认情况下Linux系统安装了SYSLOG服务，所以我们直接通过"service syslog start"命令启用此服务即可。

当然你的系统也许没有安装此项服务，那么需要我们首先手动安装之。

第一步：编辑配置文件/etc/syslog.conf，他的内容格式依次为“服务名称信息等级日志文件存放目录”，例如 /var/log/mail.log（表示的是服务名称为mail，信息等级为info级别，日志文件保存在/var/log/mail.log下）小提示：不同的信息等级所记录的内容将会不同，信息等级从低到高依次是“info,notice,warning,error,crit,alert, emerg等”，指定某信息等级后比该等级高的信息都会被记录下来。

目录1, 系统要求 (ii)2, 需要的源码包软件 (ii)3, rsyslog安装配置 (ii)3.1，修改apache配置 (ii)3.2，修改mysql配置 (ii)3.3，rsyslog安装 (iii)3.4，rsyslog配置 (iii)3.5，数据库导入及测试 .................................................................... i v 4，安装loganalyzer并修改 (v)5，客户端设置 (v)5.1，windows客户端设置 (v)5.2，linux客户端配置....................................................................... v i5.3，网络设备设置 (vii)1, 系统要求Lamp(httpd-2.2.21, mysql-5.1.44, php-5.3.8)2, 需要的源码包软件Rsyslog-5.9.5.tar.gzLoganalyzer-3.5.0.tar.gz3, rsyslog安装配置3.1，修改apache配置Vim /nybackup/syslog/server/apache/conf/httpd.confAddDefaultCharset off #关掉默认字符设置3.2，修改mysql配置Vim /etc/f在[client][mysqld][mysql]三个字段中添加Default-character-set = latin1 #将字符集改为latin1Mysql -u root -pSet names utf8Grant insert on Syslog.* to write_user@localhost identified by 'writesyslog'; #增加一个只写的账号，用于rsyslog往mysql里面写日志Grant all on Syslog.* to read_user@localhost identified by 'readsyslog'; #增加一个用于loganalyzer读取操作数据库的用户3.3，rsyslog安装cd /nybackup/syslog/server/Tar zxvf /nybackup/syslog/install/rsyslog-5.9.5.tar.gzCd rsyslog-5.9.5./configure --prefix=/nybackup/syslog/server/rsyslog --enable-mysqlMake&&make installService syslog stop #关闭自带syslogChkconfig syslog off3.4，rsyslog配置Cp /etc/init.d/{syslog,rsyslog} #由于rsyslog没有启动脚本，所以修改syslog启动脚本并修改Sed -i 's/syslog/rsyslog/g' /etc/init.d/rsyslogChmod 700 /etc/init.d/rsyslogChkconfig --add rsyslogChkconfig rsyslog onLn -sv /nybackup/syslog/server/rsyslog/sbin/rsyslogd /sbin/rsyslogd #创建服务链接Vim /etc/rsyslog.conf$ModLoad ommysql #加载模块,添加此句$ModLoad imudp.so #取消两句注释，监听UDP的514端口$MDPserverRun 514$template dbFormat,"insert into SystemEvents (Message, Facility,FromHost, Priority, DeviceReportedTime, ReceivedAt, InfoUnitID, SysLogTag) values ('%msg%', %syslogfacility%, '%fromhost-ip%',%syslogpriority%,'%timereported:::date-mysql%','%timegenerated:::date-mysql%', %iut%, '%syslogtag%')",sql #自定义数据模板dbFormat*.* :ommysql:localhost,Syslog,write_user,write_syslog;dbFormat #传送数据到mysql数据库Service rsyslog restart #启动rsyslog服务3.5，数据库导入及测试Cd /nybackup/syslog/server/rsyslog-5.9.5Mysql -u root -p < ./plugins/ommysql/creatDB.sql # 导入数据库Mysql -u root -p #进入mysqlUse Syslog;Select * from SystemEvents; #查看是否有数据4，安装loganalyzer并修改Cd /nybackup/syslog/server/Tar zxvf ../install/loganalyzer-3.5.0.tar.gzCd loganalyzer-3.5.0Cp -r src/* /nybackup/syslog/server/apache/htdocs/ #复制loganalyzer文件到apache默认目录Cp -r contrib/* /nybackup/syslog/server/apache/htdocsCd /nybackup/syslog/server/apache/htdocsBash ./configure.sh #生成config.php文件Bash ./secure.shChmod 666 config.php #修改config.php权限重启apache服务service apache restart浏览http://172.16.20.3进入界面5，客户端设置5.1，windows客户端设置安装软件evtsys此软件分为32位和64位:Evtsys_4.4.3_32-bit.zipEvtsys_4.4.3_64-bit.zip安装之前先进行windows时间同步设置本地时间服务器地址：172.16.30.10解压evtsys.rar复制evtsys.exe和evtsys.dll到c:\windows\system32\下cmd进入dosEvtsys -i -h 172.16.20.3 #安装evtsys日志转发Net start evtsys #启动evtsys服务5.2，linux客户端配置步骤一：ntp时间同步先进行时间同步ntpdate -u 172.16.30.10把时间同步写入日计划任务Vim /etc/crontab30 4 * * * /usr/sbin/ntpdate -u 172.16.30.10;/sbin/hwclock -w重启计划任务服务Service crond restart步骤二：客户端日志配置Vim /etc/syslog.conf*.* @172.16.20.3 #添加此句，把本机所有各等级日志转发到172.16.20.3重启日志服务Service syslog restart5.3，网络设备设置1.在配置模式下，定义日志记录时间戳(config)#service timestamps log datetime msec2.在配置模式下，指定日志服务器(config)#logging 172.16.20.3附录：本例中日志服务器地址172.16.20.3本次操作所涉及到的源码包和安装程序，均存于ftp服务器/nybackup/backup/rsyslog 中。

试验拓扑所需环境：L(linux)A(apache)M(mysql)P(php)环境RsyslogHttpdMysqlMysqlserverPhpPhp-mysqlPhp-gdPhp-xmlRsyslog-mysqlloganalyzer-3.6.5.tar.gz安装服务器环境[root@fcy ~]# yum --disablerepo=\* --enablerepo=c6-media install rsyslog httpd mysql mysql-server php php-mysql php-xml php-gd rsyslog-mysql –y启动httpd和mysql服务，并添加开机自启动[root@fcy ~]# netstat -tupln |grep httpdtcp 0 0 :::80 :::* LISTEN 1384/httpd[root@fcy ~]# chkconfig httpd on[root@fcy ~]# netstat -tupln |grep mysqldtcp 0 0 0.0.0.0:3306 0.0.0.0:* LISTEN 1586/mysqld[root@fcy ~]# chkconfig mysqld on为mysql添加认证（默认口令为空）[root@fcy ~]# mysqladmin -u root -p password '123'Enter password:导入rsyslog的默认数据库[root@fcy ~]# mysql -u root -p </usr/share/doc/rsyslog-mysql-5.8.10/createDB.sql查看导入的数据库和表为Syslog表创建管理用户mysql> grant all privileges on Syslog.* to rsyslog@localhost identified by '123456'; Query OK, 0 rows affected (0.01 sec)编写一个简单的php网页测试lamp环境是否搭建成功[root@fcy html]# cat /var/www/html/index.php<?php$link=mysql_connect('127.0.0.1','root','123');if($link)echo "Connection is successed";elseecho "Connection is failed";?>解压缩loganalyzer-3.6.5.tar.gztar –zxvf loganalyzer-3.6.5.tar.gz进入loganalyzer文件夹内，执行如下操作[root@fcy loganalyzer-3.6.5]# mv src/ /var/www/html/logserver[root@fcy loganalyzer-3.6.5]# cp contrib/configure.sh /var/www/html/logserver/给configure.sh添加执行权限[root@fcy logserver]# chmod a+x configure.sh[root@fcy logserver]# ll con*-rwxr-xr-x. 1 root root 49 Jul 21 04:56 configure.sh执行configure.sh[root@fcy logserver]# ./configure.sh从浏览器打开，开始安装日志服务器查看创建的数据库表生成11个表格，表示创建过程正确创建日志后台管理员账号创建完成并使用后台账号admin登录编辑/etc/rsyslog.conf文件，打开tcp和udp的调用模块和端口添加读取的日志源与日志级别（注意与其他日志级别的先后顺序）重启rsyslog服务，并查看日志有没有错误信息[root@fcy logserver]# service rsyslog restartShutting down system logger: [ OK ] Starting system logger: [ OK ][root@fcy logserver]# tail /var/log/messagesJul 21 04:23:08 fcy yum[1242]: Installed: php-5.3.3-26.el6.i686Jul 21 04:23:09 fcy yum[1242]: Installed: php-gd-5.3.3-26.el6.i686Jul 21 04:23:16 fcy yum[1242]: Installed: mysql-server-5.1.71-1.el6.i686 Jul 21 04:23:17 fcy yum[1242]: Installed: php-xml-5.3.3-26.el6.i686 Jul 21 04:23:17 fcy yum[1242]: Installed: php-mysql-5.3.3-26.el6.i686 Jul 21 04:23:17 fcy yum[1242]: Installed:rsyslog-mysql-5.8.10-8.el6.i686Jul 21 05:24:50 fcy kernel: Kernel logging (proc) stopped.Jul 21 05:24:50 fcy rsyslogd: [origin software="rsyslogd"swVersion="5.8.10" x-pid="883" x-info=""] exiting on signal 15.Jul 21 05:24:50 fcy kernel: imklog 5.8.10, log source = /proc/kmsg started.Jul 21 05:24:50 fcy rsyslogd: [origin software="rsyslogd"swVersion="5.8.10" x-pid="7053" x-info=""] start进入测试主机node1，把所有级别的日志全部发给地址为192.168.47.100的日志服务器重启rsyslog服务[root@node1 ~]# service rsyslog restartShutting down system logger: [ OK ] Starting system logger: [ OK ]进入日志服务器管理页查看日志信息。

日志服务器搭建范文步骤一：选择操作系统首先，我们需要选择适合作为日志服务器的操作系统。

常用的选择包括Linux、Windows和FreeBSD等。

在选择操作系统时，需要考虑到操作系统的稳定性、安全性和易用性等因素。

步骤二：安装日志服务器软件一旦选择了适合的操作系统，我们就可以开始安装日志服务器软件了。

常用的日志服务器软件包括ELK Stack（Elasticsearch、Logstash和Kibana）和Graylog等。

这些软件提供了强大的日志收集、存储和分析功能。

以安装ELK Stack为例，我们可以按照以下步骤进行安装：1. 安装Elasticsearch：2. 安装Logstash：3. 安装Kibana：步骤三：配置日志收集例如，我们可以使用Filebeat插件来监视应用程序日志文件的变化，并将其发送到Logstash进行处理。

我们可以在Logstash的配置文件中指定Filebeat的监听地址和端口，以便接收来自Filebeat的日志数据。

步骤四：配置日志存储和索引一旦收集到日志数据，我们需要将其存储到Elasticsearch中进行索引和。

为了实现这一点，我们可以在Logstash的配置文件中指定Elasticsearch的连接信息。

在配置完成后，Logstash将会将收集到的日志数据发送到Elasticsearch中，并根据我们的配置在Elasticsearch中创建相应的索引。

这样，我们就可以通过Kibana来、过滤和可视化这些索引。

步骤五：测试和维护在配置完成后，我们应该对日志服务器进行测试，以确保其正常工作。

我们可以通过发送一些测试日志消息，然后使用Kibana来和可视化这些消息，以验证日志服务器正常运行。

另外，我们还应该建立日志服务器的定期维护计划，包括定期备份日志数据、监控服务器性能和更新软件版本等。

这样可以确保日志服务器的稳定性和安全性，并及时发现和解决潜在的问题。

总结：搭建一个日志服务器可能需要一些时间和精力，但是它能够为我们提供强大的日志管理和分析功能。

我们需要测试一种集中日志系统，要在Windows上建立一个类Linux下的集中日志系统。

经过比较Winsyslog和Kiwisyslog等工具，最终选定Kiwisyslog(/)，它不仅功能齐全，而且提供免费的版本。

Kiwisyslog遵循标准的日志协议(RFC 3164)，并支持UDP/TCP/SNMP几种方式的日志输入。

它默认是个免费的功能受限版（但功能基本够用了，只是没有找到汉化），自带发送模拟器﹑日志浏览器等实用工具。

我还测试了一下把ACE日志写到syslog的功能。

过程记录如下：1）使用klog工具这个主要用到kiwisyslog的klog实用工具(这个工具同时提供dll库的调用方式,真是好东西，我决定以后在我的应用里都用它！)，它支持直接或用重定向的方法输出日志到kiwisyslog。

klog –m "It's almost lunchtime"DIR *.* | klog -h 192.168.1.2 -i但我试图使用ACE应用日志输出到kiwisyslog时（ace_app.exe | klog -h 192.168.1.2 -i的形式），发现日志内容里前后有乱码出现，即ACE的日志输出直接重定向到klog再转到kiwisyslog有问题；并且不能按时间一行一行的输出，而是等应用程序执行结束时一股脑输出到kiwisyslog（按回车换行切开成一条一条日志）。

如果程序非正常结束，还不能将输出日志内容传到kiwisyslog。

还有一个方法是在Windows通过设置可以把ACE日志输出到系统日志里面。

ACE_LOG_MSG->set_flags(ACE_Log_Msg::SYSLOG);然后按下面2）的方法转到kiwisyslog。

2）还可以把Windows下的事件日志转到Linux下的syslog我们需要第三方的软件来将windows的日志转换成syslog类型的日志后，转发给syslog服务器。