1、Linux下cacti+syslog-ng+snare實現(xiàn)日志集中管理文檔版本:V1.0.0 整理者:Teasure 系統(tǒng)環(huán)境:CentOS5.4更新時間:2011-02-13 說明:運維專用目錄Linux下cacti+syslog-ng+snare (11. 服務(wù)端配置 (31.1.1. 下載所需rpm包 (31.1.2. 服務(wù)安裝 (41.1.3. 服務(wù)器端配置 (41.1.4. 安裝syslog插件 (51.1.5. 在crontab中添加: (62. Linux客戶端配置: (62.1.1. linux服務(wù)器客戶端安裝及配置 (62.1.2. 注意事項: (63. windows服務(wù)器

2、客戶端配置 (73.1.1. 安裝syslog-ng代理軟件 (73.1.2. 配置snare (73.1.3. 配置Objectives Configuration (84. Troubleshooting (84.1.1. 點擊Syslog插件報錯 (85. Other thing (95.1.1. 使用默認(rèn)的syslog (95.1.2. 完成配置后重啟syslog服務(wù) (106. 防火墻配置 (106.1.1. 在日志服務(wù)器上放行514端口 (101.服務(wù)端配置1.1.1.下載所需rpm包從syslog-ng的官方網(wǎng)站上下載編譯好的rpm包,針對rhel或CentOS的. 需要的rpm

3、包,可以到這里進(jìn)行下載使用:文件: Syslog-NG.rar大小: 859KB下載: 下載1.1.2.服務(wù)安裝安裝(服務(wù)器跟客戶端安裝都一樣,這里指的是linux客戶端,windows客戶端需要另外的軟件 rootTeasure syslog# ll-rw-r-r- 1 root root 72601 2009-01-04 libdbi8-0.8.2bb2-3.rhel5.i386.rpm-rw-r-r- 1 root root 650564 2009-01-04 libdbi8-dev-0.8.2bb2-3.rhel5.i386.rpm-rw-r-r- 1 root root 9076 2

4、009-01-04 libevtlog0-0.2.8-1.i386.rpm-rw-r-r- 1 root root 163024 2009-01-04 syslog-ng-2.1.3-1.i386.rpm安裝libevtrootTeasure syslog# rpm -ivh libevtlog0-0.2.8-1.i386.rpmPreparing. # 100% 1:libevtlog0 # 100% 安裝syslog-ngrootTeasure syslog# rpm -vih libdbi8-0.8.2bb2-3.rhel5.i386.rpmlibdbi8-dev-0.8.2bb2-3.

5、rhel5.i386.rpm syslog-ng-2.1.3-1.i386.rpmwarning: libdbi8-0.8.2bb2-3.rhel5.i386.rpm: Header V3 DSA signature: NOKEY, key ID 2aa28252Preparing. # 100% 1:libdbi8 # 33%2:libdbi8-dev # 67%3:syslog-ng # 100% Shutting down kernel logger: OK Shutting down system logger: OK Starting syslog-ng: OK 1.1.3.服務(wù)器端

6、配置rootTeasure syslog# cd /etc/syslog-ngrootTeasure syslog-ng# cp syslog-ng.conf syslog-ng.conf.bakrootTeasure syslog-ng# vim syslog-ng.conf在最后末行添加如下:source net udp(;destination d_mysql pipe("/tmp/mysql.pipe"template("INSERT INTO syslog_incoming (host, facility, priority, date, time, m

7、essage VALUES ( '$HOST', '$FACILITY', '$PRIORITY', '$YEAR-$MONTH-$DAY', '$HOUR:$MIN:$SEC', '$MSG' ;n" template-escape(yes;log source(net; destination(d_mysql; ;log source(s_local; destination(d_mysql; ;完成之后,執(zhí)行命令: 檢查服務(wù)狀態(tài) 1.1.4.安裝syslog插件安裝syslog插件,

8、在syslog插件目錄下,編輯一個新的sh文件/var/www/html/plugins/syslog/syslog2mysql.sh,并且賦予可執(zhí)行權(quán)限(同時該目錄下的syslog_process.php也必須有可執(zhí)行權(quán)限:rootTeasure syslog# chmod +x syslog2mysql.sh syslog_process.phpsyslog2mysql.sh腳本內(nèi)容如下:#!/bin/bashif ! -e /tmp/mysql.pipe thenmkfifo /tmp/mysql.pipefiwhile -e /tmp/mysql.pipe do mysql -u ro

9、ot syslog < /tmp/mysql.pipe >/dev/nulldone運行syslog2mysql.sh,如果沒有任何顯示,后臺有該進(jìn)程,則基本上成功了。rootTeasure syslog#/var/www/html/plugins/syslog/syslog2mysql.sh &1.1.5.在crontab中添加:rootTeasure syslog# crontab -e 添加如下兩行內(nèi)容:reboot /var/www/html/plugins/syslog/syslog2mysql.sh*/1 * * * * /usr/bin/php /var/ww

10、w/html/plugins/syslog/syslog_process.php使開機執(zhí)行syslog2mysql.sh,syslog_process.php每分鐘執(zhí)行一次。注意事項:全部完成后記得重啟各種服務(wù)。2.Linux客戶端配置:2.1.1.linux服務(wù)器客戶端安裝及配置安裝跟服務(wù)器端一樣的,這里就不多說了.配置在/etc/syslog-ng/syslog.conf里只需要加三行就可以了把其它的全部都注釋掉內(nèi)容如下:source s_local pipe ("/proc/kmsg" log_prefix("kernel: " unix-stre

11、am ("/dev/log" internal(; ;destination d_udp udp("98" port(514; ;log source(s_local; destination(d_udp; ;然后再重啟syslog-ng服務(wù)就可以了.2.1.2.注意事項:上面的配置會導(dǎo)致本地沒有任何日志信息了,因為全部都發(fā)送到了日志服務(wù)器上面了.如果想在本地保留一份日志信息,那么在syslog-ng里面再加入三行,內(nèi)容如下:source s_local pipe ("/proc/kmsg" log_prefix

12、("kernel: " unix-stream ("/dev/log" internal(; ;destination d_syslognglog file("/var/log/syslog-ng.log" ;log source(s_local; destination(d_syslognglog; ;這樣本地也就有一份日志信息了,保存在/var/log/syslog-ng.log里面.3.windows服務(wù)器客戶端配置3.1.1.安裝syslog-ng代理軟件安裝syslog-ng代理軟件:SnareSetup-3.1.3-Mul

13、tiArch.exe,為什么用這個呢,這個配置簡單易用.安裝很簡單,雙擊exe文件,下一步,下一步.其中有一步是問需要不需要密碼,是用默認(rèn)的snare做為用戶跟密碼還是用本地系統(tǒng)的用戶,還是創(chuàng)建一個帳號做為認(rèn)證,這個就取決于個人了.點擊安裝完成.3.1.2.配置snare配置snare,點擊開始-程序-選擇InterSect Alliance-snare for windows 后是一個web形式的,地址為:http:/localhost:6161/默認(rèn)是不需要密碼的,可以配置為需要用戶名跟密碼來認(rèn)證.首先我們配置日志服務(wù)器這一部分,也是最主要的部分,如果這一部分配置不正確的話,那日志服務(wù)器上

14、也就不會有這臺機器的日志信息了.點擊左邊的:Network Configuration 如下所示 Destination Snare Server address -這個就是日志服務(wù)器的IP地址了.一般不用域名,怕解釋不到.Destination Port - 這個就是日志服務(wù)器的端口了一般默認(rèn)是514Enable Syslog Header一般把勾打上.下面兩個就根據(jù)你的需要來設(shè)置了.設(shè)置完成后再點下面的Change Configureation 應(yīng)用配置3.1.3.配置Objectives Configuration還有一個重要的配置,那就是決定把什么樣的日志發(fā)送到日志服務(wù)器呢?再點左邊的

15、:Objectives Configuration,如下所示: 這個修改就要看個人的需求是什么樣的了,我這里就不多說了.全部完成后記得點左邊的:Apply the Latest Audit Configuration 來應(yīng)用所有的配置!當(dāng)然Snare還有其它的功能,比如遠(yuǎn)程操控這個代理軟件,自己多摸索吧附加上win下的軟件包如下: SnareSetup-3.1.3-MultiArch.zip (634.2 KB4.Troubleshooting4.1.1.點擊Syslog插件報錯Warning: include(./include/html/inc_timespan_settings.php報

16、126行有錯:include($syslog_config"graphtime" ?"./include/html/inc_timespan_settings.ph p" : "plugins/syslog/html/syslog_timespan_settings.php"修改126行為:include($syslog_config"graphtime" ? "././lib/timespan_settings.php" : "plugins/syslog/html/syslog_t

17、imespan_settings.php"但是,針對cactiV9.1.iso版本的安裝syslog-ng的時候,不會出現(xiàn)這個問題。其配置文件內(nèi)容如下:include($syslog_config"graphtime" ? "./include/html/inc_timespan_settings.php" : "plugins/syslog/html/syslog_timespan_sett ings.php"5.Other thing5.1.1.使用默認(rèn)的syslog使用默認(rèn)的syslog做為syslog-ng的客戶端,

18、這樣可以避免在太多客戶端的情況下需要安裝syslog-ng軟件,而且配置更容易.rootTeasure # vim /etc/syslog.conf# Log all kernel messages to the console.# Logging much else clutters up the screen.#kern.* /dev/console# Log anything (except mail of level info or higher.# Don't log private authentication messages!#*.info;mail.none;auth

19、priv.none;cron.none /var/log/messages*.info;mail.none;authpriv.none;cron.none 98# The authpriv file has restricted access.authpriv.* /var/log/secure# Log all the mail messages in one place.mail.* -/var/log/maillog# Log cron stuffcron.* /var/log/croncron.* 98# Everybody gets emergency messages*.emerg *# Save news errors of level crit and higher in a special file.uucp,news.crit /var/log/spoo