如果宅|网络工程师培训

Centos7 搭建 LogAnalyzer4.1.5 - 开源日志服务器

如果宅|网络工程师培训 http://www.ifzhai.com 2017-06-27 10:18 出处:PinG 作者:PinG 编辑:PinG
LogAnalyzer是一款使用率较高的日志服务器,在遇到非法入侵或故障排查,当然还有责任划分(公司内互扯的事太多了)的时候尤为显得重要,所以公司内部使用一台日志服务器是一件很有必要的事情。
(如果本文中的图片看不清,可按住键盘Ctrl键+鼠标滚轮上键)



一、环境准备

1、关闭selinux


#vi  /etc/selinux/config

修改文件

SELINUX=disabled

这一步骤还可以使用命令直接修改

#sed -i 's#SELINUX=enforcing#SELINUX=disabled#g' /etc/selinux/config

临时关闭

#setenforce 0

2、关闭firewall

#systemctl stop firewalld.service

#systemctl disable firewalld.servic

3、时间同步

#ntpdate cn.ntp.org.cn

#hwclock -w

写进计划任务

#vi /etc/crontab

添加

00 11 * * * root ntpdate cn.ntp.org.cn

00 11 * * * root hwclock -w


二、搭建LAMP环境

1、安装mysql

# mkdir /home/rsyslog_server/tools -p 

#cd /home/rsyslog_server/tools

# yum install wget -y

# wget --no-check-certificate http://dev.mysql.com/get/mysql57-community-release-el7-8.noarch.rpm  

# rpm -Uvh mysql57-community-release-el7-8.noarch.rpm

# yum install mysql-community-server -y 

# systemctl start mysqld.service

# systemctl status mysqld.service

# grep 'temporary password' /var/log/mysqld.log 查看初始密码 新版本的MYSQL默认密码不为空了,红圈内的为密码

Centos7 搭建 LogAnalyzer4.1.5 - 开源日志服务器

# mysql -u root -p

ALTER USER 'root'@'localhost' IDENTIFIED BY 'Zheshimima2!';                //更改初始密码,密码要符合复杂度要求

2、安装Apache及PHP

# yum install httpd -y

# yum install php php-gd php-xml php-mysql -y

3、启动服务和加开机启动

# systemctl start httpd.service

# systemctl enable httpd.service

# systemctl start mysqld.service

# systemctl enable mysqld.service

4、测试PHP环境

#cd /var/www/html

#vi index.php

<?php

    phpinfo()

?>

保存,然后浏览器访问改IP

Centos7 搭建 LogAnalyzer4.1.5 - 开源日志服务器

三、安装相关日志软件及配置

1、查看一下是否有rsyslog

#rpm -qa rsyslog

Centos7 默认是有的

安装rsyslog 连接MySQL数据库的模块

#yum install rsyslog-mysql -y

导入rsyslog-mysql 数据库文件

# cd /usr/share/doc/rsyslog-7.4.7/

# mysql -uroot -p<mysql-createDB.sql

# Enter password:

登录数据库查看

#mysql -u root -p

输入刚才的密码Zheshimima2!

mysql> show databases;

Centos7 搭建 LogAnalyzer4.1.5 - 开源日志服务器

mysql> use Syslog;

mysql> show tables;

Centos7 搭建 LogAnalyzer4.1.5 - 开源日志服务器

导入数据库操作创建了Syslog 库并在该库中创建了两张空表SystemEvents 和SystemEventsProperties

2、在MySQL下创建rsyslog用户并授权

mysql> grant all on Syslog.* to rsyslog@'localhost' identified by 'Zheshimima2!';

mysql> flush privileges;

mysql> exit

配置服务端支持rsyslog-mysql 模块,并开启UDP服务端口获取网内其他LINUX系统日志

# vi /etc/rsyslog.conf

添加或修改如下配置

#### MODULES ####

$Modload ommysql

*.* :ommysql:localhost,Syslog,rsyslog,Zheshimima2! 

$ModLoad immark

$ModLoad imudp

$UDPServerRun 514

 重启rsyslog服务

#systemctl restart rsyslog.service

3、客户端的配置(LOG服务器本身可以不搭)

1、检查客户端有没有安装rsyslog

#rpm -qa rsyslog

配置rsyslog客户端发送本地日志到服务端

# vi /etc/rsyslog.conf 

    *.* @192.168.253.160:514        #在文件结尾处增加此内容

重启rsyslog服务

systemctl restart rsyslog.service

编辑/etc/bashrc,将客户端执行的所有命令写入系统日志/var/log/messages中

# vi /etc/bashrc 

  export PROMPT_COMMAND='{ msg=$(history 1 | { read x y; echo $y; });logger "[euid=$(whoami)]":$(who am i):[`pwd`]"$msg"; }'                #在结尾处加上此内容

#source /etc/bashrc 

2、测试是否可以接收到日志

# cd /tmp

#touch test

#rm -rf test

#cat /var/log/messages //查看一下刚才的操作是否有记录

3、安装LogAnalyzer

#cd /home/rsyslog_server/tools/

#wget http://download.adiscon.com/loganalyzer/loganalyzer-4.1.5.tar.gz

#tar zxf loganalyzer-4.1.5.tar.gz

#cd loganalyzer-4.1.5/

#mkdir -p /var/www/html/loganalyzer

# cp -a src/* /var/www/html/loganalyzer/

4、在浏览器中打开

http://192.168.99.96/loganalyzer/

Centos7 搭建 LogAnalyzer4.1.5 - 开源日志服务器

点here开始配置

Centos7 搭建 LogAnalyzer4.1.5 - 开源日志服务器

Centos7 搭建 LogAnalyzer4.1.5 - 开源日志服务器

此处提示了./config.php文件不存在,我们需要生成一下

# cd contrib/

# cp configure.sh /var/www/html/loganalyzer/

# cd /var/www/html/loganalyzer/

# sh configure.sh

完成后在点击recheck一下

Centos7 搭建 LogAnalyzer4.1.5 - 开源日志服务器

继续下一步

配置数据库

Centos7 搭建 LogAnalyzer4.1.5 - 开源日志服务器

下一步

Centos7 搭建 LogAnalyzer4.1.5 - 开源日志服务器

Centos7 搭建 LogAnalyzer4.1.5 - 开源日志服务器

配置管理员

Centos7 搭建 LogAnalyzer4.1.5 - 开源日志服务器

Centos7 搭建 LogAnalyzer4.1.5 - 开源日志服务器


Centos7 搭建 LogAnalyzer4.1.5 - 开源日志服务器

Centos7 搭建 LogAnalyzer4.1.5 - 开源日志服务器


Centos7 搭建 LogAnalyzer4.1.5 - 开源日志服务器


OK了

四、LogAnalyzer汉化

汉化操作可以直接用我网盘里的汉化包,然后上传到/var/www/html/loganalyzer/lang目录下,然后在管理页面选择语言即可。


      https://pan.baidu.com/s/1k0I7HhOQmTvr3hqG5JkyHQ


五、故障处理篇

长时间运行LogAnalyzer日志服务器,由于数据库中的数据量太大,会造成访问卡顿的现象,此时我们需要删除不用的数据以减小日志量。


管理员登录,选择 管理中心-数据源-删除按钮

Centos7 搭建 LogAnalyzer4.1.5 - 开源日志服务器

三个删除选项,根据自己需求删除即可。

Centos7 搭建 LogAnalyzer4.1.5 - 开源日志服务器










(转载请注明出处:如果宅www.ifzhai.com)

0