日志服務器的配置與使用

■ 山東廣電網絡有限公司濟寧分公司 李瑞祥 崔冬梅 劉偉

編者按：以前筆者單位通過3CD軟件進行的日志的收集工作，對于關鍵詞的查找也只能是通過人工查找，對系統資源消耗比較大，現在改為在LINUX下建立日志服務器，查找信息很方便，下面介紹一下如何配置與使用。

為了實現對于公司網絡設備的實時監控，我們需要有一種手段可以收集網內重要的數據設備（如交換機等）的日志信息，并能夠定時對日志信息進行查詢操作，如果發現有可能引起網絡故障的關鍵詞，如loopback、ARP detects IP conflict等，就需要進行故障排查，這樣我們就可以在網絡運維工作中做到提前發現、提前處理，達到防患于未然的目的。

這項工作我們以前一直在做，是通過3CD軟件進行的日志的收集工作，對于關鍵詞的查找也只能是通過人工，同時由于3CD是運行Windows系統中的，對于系統資源消耗比較大，往往運行個幾天軟件就卡死了，這對于日志記錄來說是非常致命的，本來我們是要通過日志信息來發現問題，如果日志服務器本身就出問題了，還談什么發現問題、解決問題呢？

今年我們開始在Linux下建立日志服務器，來統一收集各種類型的交換機發來的日志，這些日志文件能夠保存到一個數據庫中，利用數據庫強大的查詢功能，我們可以根據關鍵詞來集中的定位故障信息，比如用SELECT* from SystemEvents where Message LIKE'%conflict%'來查看有哪些沖突產生了。

在這些功能基礎功能都實現的基礎上（即我們在MYSQL數據里面產生了大量的日志信息，也可以方便地通過客戶端對日志信息進行查詢），接下來的就是對日志信息進行分析，即我們確定好需要對哪些網絡設備進行日志記錄，以哪些單詞為關鍵詞進行查詢，日志信息保存多少天的，超出天數的日志信息如何處理等，最后就是配置一個Web查詢的界面，這個界面可以讓大家都方便的進行查詢，因為是通過瀏覽器進行查詢的，不需要安裝客戶端，因此更加方便。

好了，下面開始說具體的配置過程，大致分三個部分，一個是LAMP的搭建，一個是RSYSLOG服務器的搭建，一個是loganalyzer的配置。

可以說這是一個龐雜的系統，需要費好大的勁才可以配置好，我覺得主要的原因還在于Linux的版本眾多，Linux下面應有程序的版本也眾多，不同版本的配置方法還不一樣，這樣就造成我們在初學配置的時候不知道照著哪個教程學，實際上照哪個教程都配置不出來，非得要綜合多個教程才能配置成功，而且這樣配置成功了，再換一臺電腦，還不一定能夠配置成功。

這是Linux系統的一個問題，這個問題造成只有專業人員才可以使用Linux，才有可能在Linux里面配置各種服務，當然這也給我們一個機會，即如果有一個辦法，可以把Linux里面的服務封裝好，方便下一步快速部署，也算是解決了一個難題。

LAMP系統的搭建

1.Linux系統

（1）確認系統的版本號

我采用的是CENTOS系統，版本號是7.4.1708

[root@localhost /]#cat /etc/centos-release

CentOS Linux release 7.4.1708 (Core)

[root@localhost /]#cat /proc/version

Linux version 3.10.0-693.el7.x86_64 (builder@kbuilder.dev.centos.org) (gcc version 4.8.5 20150623 (Red Hat 4.8.5-16) (GCC) ) #1 SMP Tue Aug 22 21:09:27 UTC 2017

（2）給系統打補丁

為了讓系統保持一個良好的工作狀態，同時保障系統的安全性，我們要及時給系統打上補丁，當然前提是這個系統是可以連接外網的。

yum update

（3）關閉Linux的防火墻

當然，關閉了防火墻系統就不安全了，但是如果不關的話，在配置過程中好多的服務通過網絡是訪問不到了，所以我們先關閉防火墻，等系統的各項服務都配置好了，再研究如何開啟防火墻，以及開放哪些端口。

systemctl stop firewalld.service

出現如圖1的提示，說明防火墻已經關閉了。

2.APACHE

（1）程序安裝

很簡單，在系統中執行一條命令即可：

yum install httpd

（2）了解配置文件

在這個項目，我們只需要了解一條信息，即要發布的網頁存放在哪個目錄（/var/www/html）下，定義是在/etc/httpd/conf文件里，如圖2所示，以后我們要放發布的網頁，就要放在這個目錄下。

圖1 配置過程中的提示

圖2 了解網頁文件的發布路徑

啟動httpd的命令為systemctl start httpd

3.配置MYSQL

（1）MYSQL的安裝

安裝MySQL，由于CentOS7默認會安裝Mariadb，因此使用MySQL官方提供快速的安裝方法，地址：http://dev.mysql.com/doc/mysql-yum-repoquick-guide/en/

具體方法與步驟如圖3所示。

（2）MYSQL客戶端的使用

MYSQL是數據庫服務器，是存儲數據的地方，一般來說，數據庫服務器我們一般是不會直接操作的，我們是通過客戶端軟件連接上MYSQL服務器，在本機上通過客戶端軟件來操作數據庫服務器的，有一款很好用的客戶端軟件，名叫navicat for mysql，從網上可以下載免費的試用版本。安裝完以后，就要在MYSQL里面設置讓root帳號可以在客戶端軟件上登錄，具體方法如圖4所示。這里面的關鍵就是將host的值從localhost或者代表本地的IP地址改成為%，這樣就表示可以遠端進行登錄了。

圖3 安裝具體方法

圖4 登錄客戶端

4.PHP的安裝和配置

（1）安裝

yum install php phpgd php-xml php-mysql -y

（2）設置httpd及mysql開機自啟動

# systemctl start httpd.service

# systemctl enable httpd.service

# systemctl start mysqld.service

# systemctl enable mysqld.service

（3）測試PHP是否正常運行

[root@localhost html]# pwd

/var/www/html

# vi index.php

phpinfo()

?>

在瀏覽器中輸入http://10.66.66.67/index.php，若顯示如圖5所示的內容，則表示配置成功。

5.必要的配置操作

安裝完PHP以后，一定要記得執行如下操作：

將SELINUX設置為disabled

# setenforce 0

# sed -i 's#SELINUX=e nforcing#SELINUX=disable d#g' /etc/selinux/config

補充知識：

-i ：直接修改讀取的文件內容，而不是輸出到終端。

s ：取代。

不 然，在loganalye的安裝時，就會一直提示有一個無法無法寫入，就算就把這個文件的權限已經改成chmod 666也不行。

RSYSLOG的安裝和配置

1.安裝RSYSLOG

rpm -qa rsyslog#CentOS7默認會安裝rsyslog

rsyslog-8.24.0-12.el7.x86_64

可以看到我安裝的RSYSLOG程序的版本跟網上的教程里面顯示的不一樣，因為我的LINUX版本是比較新的，所以里面的RSYSLOG程序也比較新。

2.安裝rsyslog連接MySQL數據庫的模塊

#yum install rsyslogmysql -y #rsyslog使用此模塊將數據傳入MySQL數據庫，必須安裝

3.導入rsyslog-mysql數據庫文件

# cd /usr/share/doc/rsyslog-8.24.0/

# mysql -u root -p

# Enter password:

圖5 PHP配置成功的界面

導入數據庫操作創建Syslog 庫，并在該庫中創建兩張空表SystemEvents 和SystemEventsProperties。通 過mysql-creatDB.sql程序可以查看此表格的詳細屬性，例如在日志數據表SystemEvents中，包 含設備編號ID，告警日志接收時間ReceivedAt，告警發送時間DeviceReportedTime，告警級別Priority，告警設備名字FromHost，告警信息Message等等，這些屬性與設備日志文件產生的數據屬性一一對應。

4.配置服務端支持rsyslog-mysql模塊，并開啟UDP服務端口獲取網內網絡設備的系統日志

此步驟非常關鍵，主要是配置rsyslog系統的端口、接收協議和一些規則等，詳細配置可查看/etc目錄下的rsyslog.conf文件，配置簡要說明如下：

（1）加載模塊命令

$ModLoad imuxsock

$ModLoad imjournal

（2）開啟UDP協議，接收從514端口轉發過來的日志

$ModLoad imudp

$UDPServerRun 514

（3）開啟TCP協議，接收從514端口轉發過來的日志

$ModLoad imtcp

$InputTCPServerRun 514

（4）所有日志類型的info級別以及大于info級別的信息記錄到/var/log/messages，但不包含mail郵件信息，authpriv驗證信息和cron時間任務信息

*.info;mail.none;authpriv.none;cron.none /var/log/messages

5.查詢rsyslog程序是否運行正常，執行命令#systemctl status rsyslog，可以看到如圖6的信息。由Started System Logging Serv...說明rsyslog程序正常運行。

安裝和配置LogAnalyzer

安裝這個程序的目的是讓同事通過瀏覽器軟件就可以直接查看日志信息，不用再單獨安裝連接MySql的客戶端軟件了，雖然有好處，但是配置特別繁瑣，下面我就是不再說細說明每一個步驟，就把需要注意的地方說明一下。

圖6 查詢是否正常運行

圖7 創建一個可以連接日志數據庫的用戶名和密碼

1.安裝

我們是直接從loganalyzer的網站上下載的最新版本的程序，該程序放在/home/lrx目錄下了。

#mkdir-p/var/www/html/loganalyzer

# cp -rf src/* /var/www/html/loganalyzer/

#cp-rf contrib/*/var/www/html/loganalyzer

[root@localhost loganalyzer-4.1.6]#cd/var/www/html/loganalyzer/

[root@localhost loganalyzer]#sh configure.sh

2.配置過程中需要注意的三個問題

（1）config.php文件不可寫的問題

這個問題除了要注意chmod 666外，還要注意，之前說過修改LINUX里面的一個配置文件的問題。

（2）連接數據庫的問題

LogAnalyzer要想配置成功，關鍵問題是要能夠連接數據庫，核心是連接數據的用戶名和密碼，在這里我們首先要在數據庫里面創新一個用戶，本例中為syslog1，密碼要符合規定，然后要明確連接數據庫的名稱為Syslog，最后要自己在命令行中測試一遍，確認沒有問題的話，才能在Web的配置界面中配置成功，如圖7所示，就是一個創建連接數據庫的用戶名的界面。

mysql>grant all on Syslog.*to syslog1@'local host'identified by 'Wbzlr x95!';

mysql>flush privilege s;

注意：最后還有一個連接數據庫的操作，這里面的用戶名為root，密碼為root的密碼，這個跟之前的那個用戶名是不一樣的。

（3）登錄查詢信息

使用syslog1/W***95!這個帳號和密碼進行登錄，在登錄時能夠登錄上，但是會出現一個錯誤提示，大概的意思是顯示不出來日志信息是因為配置文件有拼寫錯誤，我們通過以下操作來解決的：

即進入/var/www/html/loganalyzer這個目錄，查看config.php文件，會發現里面把記錄日志數據庫文件的表名寫錯了，大小寫與實際的表名不一致，改成一致的就可以了，如下所示。

$CFG['Sources']['Source1']['DBTableName'] ='SystemEvents';

$CFG['Sources']['Source1']['DBEnableRowCounting']= false;

總結

通過在Linux操作系統上，使用rsyslog軟件來建立日志服務器，讓我們對于公司網絡內的主要的網絡設備的運行狀態有了更加清晰準確的了解，通過對記錄的日志信息的分析讓我們及時了解了網絡中存在的問題和隱患，從而便于我們提前預防和解決。

實踐證明通過建立日志服務器來保障網絡更加穩定安全運行是有效的，在第一臺外網日志服務器建立后，我們又陸續建立了內網日志服務器、區縣外網日志服務器等等，也都發揮了應用的作用，以后隨著網絡規模的擴大和業務應用的增加，還將建立更多日志服務器。