服务端配置接收模块和监听端口

vim /etc/rsyslog.conf

Copy

在rsyslog.conf内输入以下内容

#### MODULES ####
module(load="imudp") # needs to be done just once
input(type="imudp" port="514")
module(load="imtcp") # needs to be done just once
input(type="imtcp" port="514")

Copy

重启rsyslog服务，启动socket监听在514端口

systemctl restart rsyslog.service
netstat -lntup | grep "514"

Copy

若防火墙开启，则让防火墙放行到514端口的入站流量

systemctl start firewalld.service
firewall-cmd --permanent --add-port=514/udp --zone=public
firewall-cmd --permanent --add-port=514/tcp --zone=public
firewall-cmd --reload

Copy

客户端配置日志转发，将定义的日志信息转发到远程主机（保存位置取决于远程主机对应日志的保存位置）

vim /etc/rsyslog.conf

Copy

输入ifconfig查看虚拟机IP地址（根据主机地址进行修改）
注意：根据实际网卡设备名称情况调整代码！不同环境下网卡名称略有不同！

rsyslog.conf的内容

*.info;mail.none;authpriv.none;cron.none;auth.none                @服务端主机ip

Copy

重启rsyslog服务

systemctl restart rsyslog.service

Copy

二、服务端配置数据库和前端

配置麒麟的yum源

vim /etc/yum.repos.d/kylin_aarch64.repo

Copy

写入如下yum源

[ks10-adv-os]
name = Kylin Linux Advanced Server 10 - Os
baseurl = http://update.cs2c.com.cn:8080/NS/V10/V10SP2/os/adv/lic/base/aarch64/
gpgcheck = 0
enabled = 1
[ks10-adv-updates]
name = Kylin Linux Advanced Server 10 - Updates
baseurl = http://update.cs2c.com.cn:8080/NS/V10/V10SP2/os/adv/lic/updates/aarch64/
gpgcheck = 0
enabled = 1

Copy

安装mariadb

yum install mariadb-server

Copy

配置数据库，禁止解析主机名，启用独立表空间

vim /etc/my.cnf

Copy

向my.cnf添加数据

[mysqld]
skip_name_resolve=ON
innodb_file_per_table=ON

Copy

启动数据库并设为开机启动

systemctl start mariadb.service
systemctl enable mariadb.service

Copy

安装rsyslog-mysql包

yum install -y rsyslog-mysql

Copy

ll /usr/lib64/rsyslog/ommysql.so

Copy

查看mysql-createDB.sql的内容

vim /usr/share/doc/rsyslog/mysql-createDB.sql

Copy

写入如下内容：

CREATE DATABASE Syslog;
USE Syslog;
CREATE TABLE SystemEvents
(ID int unsigned not null auto_increment primary key,CustomerID bigint,ReceivedAt datetime NULL,DeviceReportedTime datetime NULL,Facility smallint NULL,Priority smallint NULL,FromHost varchar(60) NULL,Message text,NTSeverity int NULL,Importance int NULL,EventSource varchar(60),EventUser varchar(60) NULL,EventCategory int NULL,EventID int NULL,EventBinaryData text NULL,MaxAvailable int NULL,CurrUsage int NULL,MinUsage int NULL,MaxUsage int NULL,InfoUnitID int NULL ,SysLogTag varchar(60),EventLogType varchar(60),GenericFileName VarChar(60),SystemID int NULL
);CREATE TABLE SystemEventsProperties
(ID int unsigned not null auto_increment primary key,SystemEventID int NULL ,ParamName varchar(255) NULL ,ParamValue text NULL
);

Copy

执行sql脚本

mysql < /usr/share/doc/rsyslog/mysql-createDB.sql

Copy

数据库建立用户并赋权

mysql

Copy

use Syslog;
grant all on Syslog.* to 'username'@'服务端主机ip' identified by 'password';
flush privileges;
exit

Copy

配置ommysql插件，用于将rsyslog的日志持久化到数据库

vim /etc/rsyslog.conf

Copy

在rsyslog.conf输入以下内容

#### MODULES ####
$Modload ommysql*.info;mail.none;authpriv.none;cron.none;auth.none                :ommysql:服务端主机ip,Syslog,username,password

Copy

systemctl restart rsyslog.service

Copy

验证数据库接收日志是否正常，进入mysql数据库，切换到Syslog数据库，验证能否接收到kyserver01的日志信息

select * from SystemEvents;

Copy

三、服务端安装Loganalyzer

在安装PHP之前，需要删除会导致冲突的包

rpm -e --nodeps kylin-logos

Copy

安装httpd、php组件

yum install -y httpd php php-fpm php-mysqlnd

Copy

下载loganalyzer

wget http://10.44.16.102:60000/allfiles/mysql/loganalyzer-4.1.12.tar.gz
tar -xvzf loganalyzer-4.1.12.tar.gz -C .

Copy

创建apache站点目录

mkdir /var/www/html/loganalyzer

Copy

复制前端页面文件

cp -r loganalyzer-4.1.12/src/* /var/www/html/loganalyzer/
cp -r loganalyzer-4.1.12/contrib/* /var/www/html/loganalyzer/
cd /var/www/html/loganalyzer/

Copy

为脚本添加执行权限

chmod +x *.sh

Copy

执行配置脚本

./configure.sh

Copy

防火墙放行80端口入站流量

firewall-cmd --permanent --add-port=80/tcp --zone=public
firewall-cmd --reload
systemctl start httpd.service

Copy

四、客户端配置Loganalyzer

（在客户端完成）