rsyslog+analyzer

环境：最小化centos6.2

准备：rsyslog-4.6.1.tar.gz  loganalyzer-3.6.3.tar.gz

wget http://download.adiscon.com/loganalyzer/loganalyzer-3.6.3.tar.gz

开始安装：

yum -y install rsyslog rsyslog-mysql mysql mysql-devel mysql-server php php-mysql php-pdo php-common php-gd httpd gcc make wget
tar xf rsyslog-4.6.1.tar.gz
./configure --enable-mysql
make
make install
cp /root/rsyslog-4.6.1/rsyslog.conf  /etc/
vi /etc/rsyslog.conf
=================新增下面2行================
$ModLoad ommysql
*.*       :ommysql:localhost,Syslog,root,lixiuli
============================================     
=====去掉下面2行的注释，主要是接收客户的日志====
$ModLoad imudp.so  # provides UDP syslog reception
$UDPServerRun 514 # start a UDP syslog server at standard port 514
============================================
service iptables stop
service mysqld start
service httpd start
mysqladmin -uroot password lixiuli;
mysql -uroot -p </root/rsyslog-4.6.1/plugins/ommysql/createDB.sql
service rsyslog restart
检查数据库是否有相应数据
mysql -uroot -p
use Syslog;
select * from Syslog.SystemEvents;
如果有数据，则表示成功。
grant all on Syslog.* to syslog@'localhost' identified by 'syslog';
flush privileges;
tar zxvf loganalyzer-3.2.1.tar.gz
mkdir /var/www/html/syslog
cd loganalyzer-3.0.4
mv src/*  /var/www/html/syslog
mv contrib/* /var/www/html/syslog
chmod u+x /var/www/html/syslog/*.sh
./configure.sh
./secure.sh
chmod 666 config.php
chown -R daemon.daemon *

setenforce 0
登录web安装,http://ip地址/syslog  
这里说注意点，在按步骤一步步点下去的时候，一定要注意数据库名字为Syslog，表名称为SystemEvents（注意大小写）

linux客户端部署：
vim /etc/syslog.conf
在最后面添加：*.*   @server端ip地址
保存退出，重启syslog服务
service syslog restart
此时在server服务器上就可以看到相关服务器的日志信息了

故障分析，一开始，我host列显示的全都是bogon，纠结了很长时间是为什么，后来发现是两台主机的名称是相同的，更改客户端的主机名，然后服务器端host列显示正常（能区分来自哪个ip地址）