集中式日誌伺服器搭建

『壹』 如何搭建syslog日誌伺服器

首先我們知道日誌是什麼,日誌毫無疑問就跟我們寫日記一樣記錄我們每天做的一些事情,那麼日誌對於一台伺服器而言是至關重要的,比如說我們搭建服務的時候,服務起不來也沒提示錯誤信息,那麼這個時候就可以查看日誌來排錯了,還記錄了伺服器的運行情況已經入侵記錄等等... ,那麼我們知道一台伺服器的日誌默認是存放在本地的對於linux而言日誌一般存放於/var/log/目錄下,比如說某系統管理員管理著幾十甚至上百台伺服器的時候,默認日誌放在每台伺服器的本地,當我們每天要去看日誌的時候一台一台的看日誌是不是要郁悶死了. 沒關系在linux系統上提供了一個syslogd這樣的一個服務為我們提供日誌伺服器,他可以將多台主機和網路設備等等的日誌存到日誌伺服器上,這樣就大大減少了管理員的工作量,下面將在一台默認裝有rhel5.x的系統上搭建一台日誌伺服器.
～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～
系統環境：默認安裝有rhel5.8的系統
主機 角色 IP地址
server1 日誌伺服器 10.0.0.1
server2 10.0.0.2
～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～
實際上日誌伺服器的配置非常之簡單幾條命令就搞定了
一.配置日誌伺服器為網路中其他主機及其網路設備等等提供日誌存儲服務,也就是配置server1
1. 在server1上編輯/etc/sysconfig/syslog文件修改如下
#vim /etc/sysconfig/syslog ## 只修改SYSLOGD_OPTINOS這項,如下
SYSLOGD_OPTIONS="-m 0 -r"

2 .重新啟動syslog
#service syslog restart

3.配置防火牆,syslog傳送日誌的埠是UDP的514埠防火牆在默認的情況下是阻止所有的,這里就 直接把防火牆關閉了,防火牆的配置就不介紹了
#service iptables stop
#chkconfig iptables off

ok！到這里伺服器的配置基本就結束了.
二.配置server2讓其將日誌發送到日誌伺服器上去,我們知道windows跟交換機路由器都是有日誌產 生的,它們的日誌也是可以存儲到日誌伺服器上去的,這里就只介紹linux主機的
1.配置server2上的/etc/syslog.conf定義日誌的類型以及日誌的級別和日誌存放的位置,這里就只簡 單的介紹下大體的配置思路,
#vim /etc/syslog.conf
*.* @10.0.0.1

上面的配置表示所有的日誌類型.所有的日誌的級別的日誌都將存放在10.0.0.1這台日誌伺服器上
2,重啟syslog
#service syslog restart
三.驗證
1.在server2上建一個redhat的用戶,然後到server1上的/var/log/secure文件或者/var/log/messages文件 查看日誌
#cat /var/log/secure
Jun 8 00:58:05 10.0.0.2 useradd[15463]: new group: name=redhat, GID=500
Jun 8 00:58:05 10.0.0.2 useradd[15463]: new user: name=redhat, UID=500, GID=500, home=/home/redhat, shell=/bin/bash
可以看到10.0.0.2這台主機new了一個redhat的用戶

『貳』 如何實現日誌的集中化存儲以及使用loganalyzer做日誌分析

如何實現日誌的集中化存儲以及使用loganalyzer做日誌分析
1、下載網站日誌：

流程如下：主機獨立控制面板——網站情報系統分析——網站日誌——下載WebLog日誌——右鍵點擊查看，鏈接另存為

在主機獨立控制面板中，找到網站情報系統分析板塊，裡面就能看到網站日誌了，點擊下載WebLog日誌，能看到最近幾天的網站日誌，但是點擊查看進去，會發現是一堆看不懂的代碼，沒有關系，我們先不要進去查看，而是右鍵點擊查看，鏈接另存為，下載網站日誌。
——————
2、代碼看不懂的話，可以使用光年日誌分析軟體GnAnalyzer，這是一個可以幫助我們進行網站日誌分析的軟體。比如蜘蛛抓取的情況，日誌裡面都有顯示。
——————
3、光年日誌分析軟體的使用：

下載好網站日誌後，就可以使用光年日誌分析軟體進行網站日誌的分析了。

流程如下：光年日誌分析軟體文件夾中的GnAnalyzer.exe——文件菜單，新建任務——添加（類型選擇所有文件）——下一步，保存——馬上分析
——————
4、網站日誌分析：

馬上分析後，就可以查看當天：蜘蛛分析（概要分析、目錄抓取、頁面抓取、IP排行）；搜索引擎分析（關鍵字分析）；狀態碼分析（用戶狀態碼、蜘蛛狀態碼）的相關信息。

『叄』 如何在windows2008建立syslog伺服器

我們需要測試一種集中日誌系統，要在Windows上建立一個類Linux下的集中日誌系統。

經過比較Winsyslog和Kiwisyslog等工具，最終選定Kiwisyslog(http://www.kiwisyslog.com/)，它不僅功能齊全，而且提供免費的版本。

Kiwisyslog遵循標準的日誌協議(RFC 3164)，並支持UDP/TCP/SNMP幾種方式的日誌輸入。它默認是個免費的功能受限版（但功能基本夠用了，只是沒有找到漢化），自帶發送模擬器﹑日誌瀏覽器等實用工具。

我還測試了一下把ACE日誌寫到syslog的功能。過程記錄如下：


1）使用klog工具

這個主要用到kiwisyslog的klog實用工具(這個工具同時提供dll庫的調用方式,真是好東西，我決定以後在我的應用里都用它！)，它支持直接或用重定向的方法輸出日誌到kiwisyslog。

klog –m "It's almost lunchtime"

DIR *.* | klog -h 192.168.1.2 -i


但我試圖使用ACE應用日誌輸出到kiwisyslog時（ace_app.exe | klog -h 192.168.1.2 -i的形式），發現日誌內容里前後有亂碼出現，即ACE的日誌輸出直接重定向到klog再轉到kiwisyslog有問題；並且不能按時間一行一行的輸出，而是等應用程序執行結束時一股腦輸出到kiwisyslog（按回車換行切開成一條一條日誌）。如果程序非正常結束，還不能將輸出日誌內容傳到 kiwisyslog。


還有一個方法是在Windows通過設置可以把ACE日誌輸出到系統日誌裡面。

ACE_LOG_MSG->set_flags(ACE_Log_Msg::SYSLOG);

然後按下面2）的方法轉到kiwisyslog。


2）還可以把Windows下的事件日誌轉到Linux下的syslog

我們需要第三方的軟體來將windows的日誌轉換成syslog類型的日誌後，轉發給syslog伺服器。

介紹第三方軟體evtsys (全稱是evntlog to syslog)

文件才幾十K大小，非常小巧，解壓後是兩個文件evtsys.dll和evtsys.exe

把這兩個文件拷貝到 c:/windows/system32目錄下。

打開Windows命令提示符（開始－>運行輸入CMD）

C:/>evtsys –i –h 192.168.10.100

-i 表示安裝成系統服務

-h 指定log伺服器的IP地址

如果要卸載evtsys,則：

net stop evtsys

evtsys -u

啟動該服務:

C:/>net start evtsys

打開windows組策略編輯器 (開始->運行輸入 gpedit.msc)

在windows設置－> 安全設置－> 本地策略－>審核策略中，打開你需要記錄的windows日誌。evtsys會實時的判斷是否有新的windows日誌產生，然後把新產生的日誌轉換成syslogd可識別的格式,通過UDP 3072埠發送給syslogd伺服器。

『肆』 如何搭建中心系統日誌審計伺服器

這個最好是找專業的公司做，不過我建議你可以試試聚銘日誌審計系統，內置多種報表模板，用戶可以靈活定義。採用高性能應用架構設計，滿足事件的實時分析、審計要求。

『伍』 如何實現集中式RSYSLOG伺服器監控

安裝RSYSLOG伺服器

這第一個部分描述的是如何搭建從客戶端收集syslog數據的RSYSLOG伺服器。在該例子中，我們的伺服器名為rsyslog.domain.com，其固定IP地址為192.168.0.15。

首先，我們安裝一些依賴項。

apt-get update

apt-get upgrade

apt-get install rsyslog rsyslog-mysql unzip zip binutils cpp fetchmail flex gcc libarchive-zip-perl libc6-dev libcompress-zlib-perl libpcre3 libpopt-dev lynx m4 make ncftp nmap openssl perl perl-moles zlib1g-dev autoconf automake1.9 libtool bison autotools-dev g++ mysql-server mysql-client libmysqlclient15-dev apache2 apache2-doc apache2-mpm-prefork apache2-utils libexpat1 ssl-cert libdb4.6-dev libapache2-mod-php5 php5 php5-common php5-curl php5-dev php5-gd php5-idn php-pear php5-imagick php5-imap php5-json php5-mcrypt php5-memcache php5-mhash php5-ming php5-mysql php5-ps php5-pspell php5-recode php5-snmp php5-sqlite php5-tidy php5-xmlrpc php5-xsl

安裝過程中要求你輸入MySQL伺服器的密碼時，創建一個密碼！

我的OpenVZ模板已准備好了一切，所以下面這個命令對你來說可能沒有必要……

apt-get install linux-kernel-headers

確保相應服務已創建並運行起來……

/etc/init.d/rsyslog restart

/etc/init.d/mysql restart

/etc/init.d/apache2 restart

確保伺服器在偵聽合適的TCP IP埠（埠80和埠3306）。這時，RSYSLOG還沒有偵聽任何埠。

rsyslog:~# netstat -tapn

Active Internet connections (servers and established)

Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name

tcp 0 0 127.0.0.1:3306 0.0.0.0:* LISTEN 415/mysqld

tcp 0 0 0.0.0.0:80 0.0.0.0:* LISTEN 581/apache2

然後，我們可以構建rsyslog資料庫：

mysqladmin -u root -p create rsyslog

接下來，我們啟動MySQL命令外殼程序，創建rsyslog用戶：

mysql -u root -p

GRANT SELECT, INSERT, UPDATE, DELETE ON rsyslog.* TO 'rsyslog'@'localhost' IDENTIFIED BY 'ENTER-YOUR-NEW-RSYSLOG-PASSWORD-HERE';

FLUSH PRIVILEGES;

quit

接下來，我們配置rsyslog伺服器，以便偵聽TCP埠514：

vi /etc/rsyslog.conf

添加這幾行……（要記得將密碼更改成你在創建MySQL伺服器的rsyslog用戶時輸入的那個密碼。）

$ModLoad MySQL

*.* >127.0.0.1,rsyslog,rsyslog,ENTER-YOUR-NEW-RSYSLOG-PASSWORD-HERE

……並去掉處理TCP syslog接收的幾行代碼前面的注釋。

# rsyslog v3的/etc/rsyslog.conf配置文件

#

# 想了解更多信息，請參閱/usr/share/doc/rsyslog-doc/html/rsyslog_conf.html

$ModLoad MySQL

*.* >127.0.0.1,rsyslog,rsyslog,ENTER-YOUR-NEW-RSYSLOG-PASSWORD-HERE

#################

#### 模塊 ####

#################

$ModLoad imuxsock # 提供對本地系統日誌的支持

$ModLoad imklog # 提供內核日誌支持（以前由rklogd來提供）

#$ModLoad immark # 提供--MARK--息功能

# 提供UDP syslog接收

#$ModLoad imudp

#$UDPServerRun 514

# 提供TCP syslog接收

$ModLoad imtcp

$InputTCPServerRun 514

###########################

#### 全局指令 ####

###########################

並重啟rsyslog服務。

/etc/init.d/rsyslog restart

確保伺服器在偵聽合適的TCP IP埠。（埠80、埠514和埠3306。）

rsyslog:~# netstat -tapn

Active Internet connections (servers and established)

Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name

tcp 0 0 0.0.0.0:514 0.0.0.0:* LISTEN 618/rsyslogd

tcp 0 0 127.0.0.1:3306 0.0.0.0:* LISTEN 415/mysqld

tcp 0 0 0.0.0.0:80 0.0.0.0:* LISTEN 581/apache2

接著我們下載LogAnalyzer，並配置Apache web伺服器，以便顯示日誌。

cd /tmp

wget http://download.adiscon.com/loganalyzer/loganalyzer-3.4.1.tar.gz

tar xvzf loganalyzer-3.4.1.tar.gz

mv loganalyzer-3.4.1/ /var/www/

cd /var/www

接著我們為Apache web伺服器配置www文件夾用戶許可權。

chown www-data:www-data * . -Rf

然後，我們對LogAnalyzer文件夾作了一些「改進」工作。

mv loganalyzer-3.4.1/ loganalyzer

cd contrib/

cp * ./../src/

cd ./../src/

sh ./configure.sh

我們已准備使用我們的互聯網伺服器來輸入LogAnalyzer的最後設置項。往你的互聯網瀏覽器裡面輸入rsyslog伺服器的固定IP地址，本文中是http://192.168.0.15/loganalyzer/src/install.php。

運行簡單的設置腳本（很簡單，只要點擊next -> next。）

現在，你應該有了正常運行的rsyslog伺服器，而且LogAnalyzer已創建並運行起來。

接下來，我們配置RSYSLOG客戶端，以便將其syslog數據發送到rsyslog伺服器：

配置RSYSLOG客戶端

我們要做的通常僅僅是配置rsyslog.conf文件，然後重啟服務。（幾乎所有Debian操作系統都預先安裝了rsyslog。）

vi /etc/rsyslog.conf

添加萬一網路連接中斷要用到的work spool目錄這幾行，並將你的rsyslog伺服器IP地址更改成192.168.0.15。（你可能還想要用mkdir命令來創建/rsyslog/work spool目錄。）

# 提供TCP syslog接收
#$ModLoad imtcp
#$InputTCPServerRun 514
$WorkDirectory /rsyslog/work # work（spool）文件的默認位置
$ActionQueueType LinkedList # 使用非同步處理
$ActionQueueFileName srvrfwd # 設置文件名稱，還啟用磁碟模式
$ActionResumeRetryCount -1 # 插入失敗後，無限次重試
$ActionQueueSaveOnShutdown on # 如果rsyslog關閉，保存內存中數據
*.* @@YOUR-RSYSLOG-SERVER-ADDRESS-HERE
###########################
#### 全局指令####
###########################
並重啟rsyslog服務。
/etc/init.d/rsyslog restart

伺服器已通過合適的TCP IP埠（埠514）連接。

root@ic1:~# netstat -tapn
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
tcp 0 0 192.168.0.100:49188 192.168.0.15:514 ESTABLISHED 13289/rsyslogd

這就是成功搭建的系統的樣子。

『陸』 如何建立華為交換機日誌伺服器

硬體很簡單的。一台電腦就行。軟體就是sylog軟體了。

『柒』 用Linux 怎樣搭建網路設備的日誌伺服器

只要開啟linux伺服器的syslog服務就可以了。 網路設備的日誌採集伺服器 指向改syslog伺服器的地址。

『捌』 想在公司內部搭建一個日誌伺服器，可以接收其他所有伺服器以及各種設備產生的日誌。不知道用什麼伺服器。

http://wenku..com/view/8053931cff00bed5b9f31d8a.html
詳細步驟

建立一個中央日誌伺服器

1建立中央日誌伺服器前的准備工作

配置良好的網路服務（DNS和NTP）有助於提高日誌記錄工作的精確性。在默認情況下，當有其他機器向自己發送日誌消息時，中央日誌伺服器將嘗試解析該機器的FQDN（fullyqualifieddomainname，完整域名）。（你可以在配置中央伺服器時用「-x」選項禁止它這樣做。）如果syslog守護進程無法解析出那個地址，它將繼續嘗試，這種毫無必要的額外負擔將大幅降低日誌記錄工作的效率。類似地，如果你的各個系統在時間上不同步，中央日誌伺服器給某個事件打上的時間戳就可能會與發送該事件的那台機器打上的時間戳不一致，這種差異會在你對事件進行排序分析時帶來很大的困擾；對網路時間進行同步有助於保證日誌消息的時間准確性。如果想消除這種時間不同步帶來的麻煩，先編輯/etc/ntp.conf文件，使其指向一個中央時間源，再安排ntpd守護進程隨系統開機啟動就可以了。

2配置一個中央日誌伺服器

只須稍加配置，就可以用syslog實現一個中央日誌伺服器。任何一台運行syslog守護進程的伺服器都可以被配置成接受來自另一台機器的消息，但這個選項在默認情況下是禁用的。在後面的討論里，如無特別說明，有關步驟將適用於包括SUSE和RedHat在內的大多數Linux發行版本。我們先來看看如何激活一個syslog伺服器接受外來的日誌消息：

1. 編輯/etc/sysconfig/syslog文件。

在「SYSLOGD_OPTIONS」行上加「-r」選項以允許接受外來日誌消息。如果因為關於其他機器的DNS記錄項不夠齊全或其他原因不想讓中央日誌伺服器解析其他機器的FQDN，還可以加上「-x」選項。此外，你或許還想把默認的時間戳標記消息（--MARK--）出現頻率改成比較有實際意義的數值，比如240，表示每隔240分鍾（每天6次）在日誌文件里增加一行時間戳消息。日誌文件里的「--MARK--」消息可以讓你知道中央日誌伺服器上的syslog守護進程沒有停工偷懶。按照上面這些解釋寫出來的配置行應該是如下所示的樣子：
SYSLOGD_OPTIONS="-r-x-m240"

2.重新啟動syslog守護進程。修改只有在syslog守護進程重新啟動後才會生效。如果你只想重新啟動syslog守護進程而不是整個系統，在RedHat機器上，執行以下兩條命令之一：
/etc/rc.d/init.d/syslogstop;/etc/rc.d/init.d/syslogstart
/etc/rc.d/init.d/syslogrestart

3.如果這台機器上運行著iptables防火牆或TCPWrappers，請確保它們允許514號埠上的連接通過。syslog守護進程要用到514號埠。

4為中央日誌伺服器配置各客戶機器

讓客戶機把日誌消息發往一個中央日誌伺服器並不困難。編輯客戶機上的/etc/syslog.conf文件，在有關配置行的操作動作部分用一個「@」字元指向中央日誌伺服器，如下所示：

另一種辦法是在DNS里定義一個名為「loghost」的機器，然後對客戶機的syslog配置文件做如下修改（這個辦法的好處是：當你把中央日誌伺服器換成另一台機器時，不用再修改每一個客戶機上的syslog配置文件）：
authpriv.*@loghost

接下來，重新啟動客戶機上的syslog守護進程讓修改生效。讓客戶機在往中央日誌伺服器發送日誌消息的同時繼續在本地進行日誌工作仍有必要，起碼在調試客戶機的時候不必到中央日誌伺服器查日誌，在中央日誌伺服器出問題的時候還可以幫助調試。