利用Eventlog Analyzer分析日志

利用EventlogAnalyzer分析日志

ManageEngineEventLogAnalyzer是一个基于Web技术、实时的事件监控管理解决方案，能够提高企业网络安全、减少工作站和服务器的宕机事件。EventLog采用无代理的结构从分布式主机上收集事件日志，也可以从UNIX主机、路由器、交换机及其它网络设备上收集日志，并且生成图形化报表，以便帮助分析提高网络性能。

650) this.width=650;" border="1" alt="利用Eventlog Analyzer分析Linux日志" src="http://image20.it168.com/201206_0x0/1086/7e81a7954d1c911.jpg" />
实验拓扑图

　　1、服务器端(192.168.150.149)安装

　　　　#./ManageEngine_EventLogAnalyzer.bin

　　安装过程非常简单所有设置就按默认一路点下来就可以。系统安装在/root/ManageEngine/EventLog目录下。注意为了安全起见，在选择协议时候要选择HTTPS。

650) this.width=650;" border="1" alt="利用Eventlog Analyzer分析Linux日志" src="http://image20.it168.com/201206_0x0/1086/d922d230aa6ec5c6.jpg" />
图2

　　查看EventLogAnalyzer服务状态

　　　　#/etc/init.d/eventloganalyzerstatus

　　启动服务：进入/root/ManageEngine/EventLog/bin/目录下执行run.sh脚本。然后在控制端浏览器上输入https://localhost:8400/，首次登陆用户名密码分别为admin,admin

2、添加主机

　　在如图所示服务器1上配置/etc/syslog.conf文件

　　加上一行：

1. *.*@192.168.150.149

　　然后重启syslogd服务，日志收集端口默认是514，如果修改端口可以编辑/etc/service文件，找到Syslog514/udp这一行修改端口，但切记在EventLogAnalyzer添加主机时，必需输入相同的端口号。

　　设置完毕。登陆https://192.168.150.149/,在新建选项中选取新添加主机，加入IP和syslog监听端口：514保存即可，依次添加上你所要收集的所有网络设备的IP。

650) this.width=650;" border="1" alt="利用Eventlog Analyzer分析Linux日志" src="http://image20.it168.com/201206_0x0/1086/991eece4bee8fd80.jpg" />

　　备注:如果EventLogAnalyzer安装在SUSELinux平台上，请保证在<EventLogAnalyzer_Home>/server/default/deploy目录下的mysql-ds.xml文件配置正确，并且您需要将<connection-url>jdbc:mysql://localhost:33335/eventlog</connection-url>这行配置信息修改为当前系统的IP地址和DNS。

　　由于在正式环境部署日志收集服务器，需要收集服务器及网络路由交换及防火墙等设备的日志，所以对消耗带宽资源较大，尤其对数据库的压力更大，所以我们需要提高数据库性能，提高MySql性能参数方法如下：

　　编辑startDB.bat/sh文件(位于<EventlogAnalyzer安装目录>\bin目录下)中默认的参数，来提高Mysql的性能。

650) this.width=650;" border="1" alt="利用Eventlog Analyzer分析Linux日志" src="http://image20.it168.com/201206_0x0/1086/ff57e3fad5950f87.jpg" />
内存分配参考表

　　根据您系统内存分配情况来适当修改参数，具体位置下图用光标标注。

650) this.width=650;" border="1" alt="利用Eventlog Analyzer分析Linux日志" src="http://image20.it168.com/201206_0x0/1086/c7334f5f78d203e2.jpg" />

3、添加Cisco设备

　　配置Cisco交换机的系统日志登录交换机。进入配置模式。

　　键入以下命令配置交换机(此配置适用于Catalyst2900系列设备)将系统日志发送到EventLogAnalyzer服务器。

1. <Catalyst2900>#configterminal

2. <Catalyst2900>(config)#logging<EventLogAnalyzerIP>

　　对于最新版的Catalyst交换机：

　　　　Catalyst6500(config)#setlogging

　　我们也同样可以配置其它项例如：日志工具，trap通知等

1. Catalyst6500(config)#loggingfacilitylocal7

2. Catalyst6500(config)#loggingtrapnotifications

650) this.width=650;" border="1" alt="利用Eventlog Analyzer分析Linux日志" src="http://image20.it168.com/201206_500x375/1086/920c86a8cad5a00.jpg" />
图3

650) this.width=650;" border="0" src="http://img1.51cto.com/attachment/201207/141328405.png" alt="141328405.png" />

图4

　　在管理界面的设置选项中有这非常细化的管理选项，包括主机/主机组的添加与管理，事件告警配置，事件分析仪参数设置，数据库设置等能够以非常友好的方式来进行配置，给日常工作繁忙的工程师们节约了不少时间。

650) this.width=650;" border="1" alt="利用Eventlog Analyzer分析Linux日志" src="http://image20.it168.com/201206_500x375/1086/569dc26efc1944eb.jpg" />
图5

　　在这张操控面板中反应了所有监控主机的日志告警情况，并更具错误数量，和告警数量进行统计分类。当您需要查看某一台主机的某类日志是只要点击相应主机就能显示出来。

650) this.width=650;" border="0" src="http://img1.51cto.com/attachment/201207/141531869.png" alt="141531869.png" />

图6

650) this.width=650;" border="0" src="http://img1.51cto.com/attachment/201207/140533614.png" alt="140533614.png" />

图7

650) this.width=650;" border="0" src="http://img1.51cto.com/attachment/201207/140114340.png" alt="140114340.png" />
图8

650) this.width=650;" border="0" src="http://img1.51cto.com/attachment/201207/140001566.png" alt="140001566.png" />

在报表选项中可以非常详细的统计或过滤出我们需要日志，出了系统提供的模板意外用户可以更具自己需要自定义报表，使输出更加符合用户的需求，并可以用不同格式(PDF，CSC)输出，以便今后统计分析使用。

　　当出现监控到的信息时，会实时地发送邮件给系统管理员，及时杜绝入侵者的各种入侵尝试，保护系统的安全。日志主机图表化系统的建立，不但能够有效提高日志管理、分析及监测的效率，同时它也对于日志信息的安全保护起到了极为重要的作用，一方面它将各服务器的日志信息在日志主机上进行备份，同时也能够有效防止入侵痕迹，为系统管理工作提供了极大的便利性，是有效保障系统安全的重要途径之一。

本文出自 “李晨光原创技术博客” 博客，请务必保留此出处http://chenguang.blog.51cto.com/350944/925298