rsyslog+loganalyzer系统日志分析系统.docx

rsyslog+loganalyzer系统日志分析系统 一、关闭loganalyzer的资助信息 ? 其实这个东西虽然有点碍事，但总感觉把它去掉有点不道德。额，当我什么都没说吧。 # vim /var/www/html/log/src/include/functions_common.php 把?$content[SHOW_DONATEBUTTON]?的值改成?false ? 再次读入文件的时候就消失了，不需要重启任何服务。 ? 二、对于loganalyzer功能的基本认识 没登录的时候，可以看到的功能是 ? 搜索，其实是一个比较全面的高级筛选器。 显示事件，查看分析过的日志内容，这个是基本功能。 统计，这个是根据数据源而产生的统计图表。 报表，如果不登录，只能看到模板，不能使用。模板的新建，使用下面单列说明。 帮助，除了第一个文档可以看看以外，下面三个好像都够水。 知识库，好像也打不开。 管理中心，在登录之后可以使用。 ? 设置，分成默认的全局设置和个人设置。这个进入系统之后都可以改。 数据源，即最原始的日志信息。可以是文件也可以是 HYPERLINK /base/14 \o MySQL知识库 \t _blank MySQL HYPERLINK /base/14 \o MySQL知识库 \t _blank 数据库。 字段，这个是内部字段，是视图积木的最小块。 视图，这个其实是显示出的二维表结构。 搜索，其实就是已经定下了条件的快捷搜索。 图表，这个是统计图表设置。 消息分析器，这个是解决拆分数据源内日志字符串使之与字段相对应。 报表模块，根据四个报表模板对需求的数据进行报表设置。 数据映射，字段分内部和loganalyzer字段。内部字段是rsyslog的日志字段，这里就是完成日志字段和软件字段的对应。 ? ? 三、数据源的添加。 一时不知道从何说起，先做吧，先完之后再细说。 a.添加?cron日志分析 这里说明一下，因为我写的是?*.*其实包括cron在内所有rsyslog记录的日志都已经写入mysql了。这里单独拿出来，是为演示数据源的添加。 ? 恩，添加 ? ? 源的名称：cron 来源类型：磁盘文件?//这里直接取的是/var/log/cron 视图选择：syslog fidlds //这个就是显示的二维表 消息分析器：注意，这里是空的 日志类型：syslog / Rsyslog ?//这时其实就是日志记录源。 Syslog file：这里是写明日志文件的路径 ?//注意一点，日志文件权限最好644否则可能日志???无法读取。 ? ? 完成。 好了。下面查看一下效果： ? 显示事件 ? 右上角选择“消息源：cron” ? ?显示成功。不过要注意，facility（来源设备）和Severity（严重程度）这两行是没有的。 日志本身也没有 ? 不过如果换成数据库里的数据源。应该是有的： ? b.添加apache日志 其实apache日志之前已经用awstats做过分析了，效果比这个要好。不过那个格式要求是combined，而这里两个格式都通用。So，试试看common格式。 # vim /etc/httpd/conf/httpd.conf 把 CustomLog log/access_log?combined?改成?CustomLog /var/log/access_log common 这里说明一下，磁盘目录文件强制要求放在/var/log之下，链接好像不起作用。 ? 名字设成?apache?这个随便 消息分析器是?apache2common?这里必写否则会有字段无法显示。 视图也要改成?Webserver Fields 数据源选择?apache 之后，日志分析如下： ? ? 消息分析器，只有四个。有两个是apache的，一个是syslog，还有一个IIS的。官方没有再提供新的，自己也学也没办法添加。So，暂时到这里吧。 ? 四、报表的使用 报表很重要，但确实用得不是很熟。 ? 点开之后，如下： ? auditsummary?事件日志审计总结报告 eventsummary?事件日志总结报告 logonlogoff?事件日志登录/登出总结报告 syslogsummary?Syslog总结报告 ? 这是我选了最后一个 ? 标题和默认的一样，按需求自己改一下。 过滤器，这个东西说白了就是筛选条件。图上我添加的”Date?最后条件是?last?最近24小时”意思就是说筛选出昨天的所有日志。其它的可以通过“添加过滤器”完成多条件查询。 日志源，这个不必说了吧。选自己要的。 输出格式，这个有html和pdf两种，具体看自己要求。 输出目标，有个直接输出和保存到文件，因为我是要邮件发出的，所以保存到文件了。 保存路径，这