Shunze 學園 - 《分享》Ubuntu安裝Adiscon loganalyzer

Shunze 學園 >電腦資訊學系 >吃軟不吃硬 > 《分享》Ubuntu安裝Adiscon loganalyzer

哈囉，還沒有註冊或者登入。請你[註冊|登入]

顯示成列印模式 | 增加到我的最愛

作者

主題

shunze
工友伯伯

註冊日期: 2002 04
來自: 潮汐終止之地
文章: 2370
shunze 離線

《分享》Ubuntu安裝Adiscon loganalyzer

Linux上可透過既有的rsyslog服務來收容所有的設備log，達到集中管理目的，
但收集後的log是以文字檔的方式，記錄在/var/log/syslog中，
並未提供一個比較有親和力的UI介面供使用者查詢...
要做到這功能，可透過免費的 LogAnalyzer 來輸出web介面供使用者操作。

而LogAnalyzer是base on LAMP Server，
所以我們的Linux上必需先裝好LAMP Server，然後再來裝LogAnalyzer。

這個部分網路上查到的文章不少，
順子就以Ubuntu 14.04為平台，也來試試loganalyzer的安裝吧～

安裝LAMP Server

在Ubuntu上，我們可以在OS安裝階段，就一併安裝LAMP Server。

如果在OS安裝階段並未安裝LAMP Server，那麼可在安裝完成後，透過以下指令逐一安裝LAMP Server的各項服務。
請務必記住mysql的root密碼！

apt-get install apache2
apt-get install mysql-server
apt-get install php5 libapache2-mod-php5

安裝完成後，可透過開啟web頁面來檢查apache是否正常運作。

http://apache_server_IP/

PHP模組的部分，可透過PHP內建function phpinfo() 來檢查php是否正常運作。

vim /var/www/html/info.php

<?php
phpinfo();
?>

http://apache_server_IP/info.php

安裝rsyslog相關套件

安裝GD套件，可以讓PHP繪製圖檔。

apt-get install php5-gd

安裝rsyslog相關套件，讓mysql與rsyslog能夠連結起來。

apt-get install rsyslog-mysql rsyslog-relp

這階段會建立一個rsyslog的資料庫 Syslog，需先輸入mysql的root密碼以確認擁有建立database的權限。

然後建立一組rsyslog-mysql的密碼，並確認密碼。

完成後，檢視mysql可以看到已建立一個新的database Syslog。

設定rsyslog

LAMP Server與相關套件裝好後，接下來就可以設定rsyslog，開放外部設備寫入log訊息。
開啟 /etc/rsyslog.conf 設定檔，取消以下UDP TCP 514的註冊，允許外部設備可透過UDP/TCP 514 port來寫入。

# provides UDP syslog reception
$ModLoad imudp
$UDPServerRun 514

# provides TCP syslog reception
$ModLoad imtcp
$InputTCPServerRun 514

在這階段完成並重啟rsyslog server後，已經可以收容外部設備的log了。

service rsyslog restart

rsyslog採模組化設計，除了主要設定檔 /etc/rsyslog.conf 外，其它相關設定檔均放置在以下路徑。

/etc/rsyslog.d/

我們要在此路徑中增加一個新的設定 relp.conf，其內容如下。

$ModLoad imrelp
$InputRELPServerRun 20514

然後於主設定檔rsyslog.conf加入以下設定。

$ActionQueueType LinkedList
$ActionQueueFileName dbq
$ActionResumeRetryCount -1

完成後重啟rsyslog server，rsyslog server的設定到此結束。

安裝分析套件Adiscon loganalyzer

安裝Adiscon loganalyzer時，請先上 Adiscon 網站確認目前最新最穩定的版本。
以順子測試的這個時間點，最新最穩定的版本是3.6.6，所以就下載這版本來測試吧！

wget http://download.adiscon.com/loganalyzer/...er-3.6.6.tar.gz

解壓後，複製Adiscon loganalyzer到web site的logs目錄下。

tar -xzf loganalyzer-3.6.6.tar.gz
cd loganalyzer-3.6.6
mkdir /var/www/html/logs
cp -R src/* /var/www/html/logs/
cp contrib/* /var/www/html/logs/
cd /var/www/html/logs/
chmod +x configure.sh secure.sh
./configure.sh

完成後，開啟瀏覽器連到以下網址，進行loganalyzer的安裝。

http://rsyslog_server_IP/logs/

在第3步驟，需圈選“Enable User Database”，打開database的細項設定。

Database Name請輸入 Syslog，有大小寫的差別喔！
Database User請輸入 rsyslog，
Database Password請輸入建立 Syslog DB時，所輸入的密碼，
然後勾選“Require user to be logged in”的 Yes 選項。

若以上連線資訊正確，就能成功連結mysql資料庫，
然後進入第4步驟，透過套件裏的script建立該資料庫所需的table。

成功建立table後，會顯示SQL指令已成功執行，接下來會進行管理員帳號的建立工作。

我們也可以連入mysql的Syslog database，檢視這script究竟幫我們建立了哪些tables。

接下來在第6步驟，請依需求建立管理員帳號。

在第7步驟，Source Type的部分，我們先維持預設的Diskfile，
待安裝完成後再改為mysql連結，比較兩種方式的差異。

安裝完成後，回到loganalyzer的登入頁面，輸入剛才建立的管理員帳號密碼，登入站台。

這時卻出現如下的錯誤？

Syslog file is not readable, read access may be denied

上網查詢後，發現是apache少了對應adm權限，無法去讀取/var/log/syslog裏的內容！
把apache對應的 www-data 的身份加入 adm 後，賦予其權限，重啟apache server，這個問題就可以解決了～

vim /etc/group

adm:x:4:www-data

service apache2 reload

完成後，可以看到log了耶！

如果是因為apache讀取/var/log/syslog的權限問題，
那改以mysql的方式去讀取log，應該就不會有這個權限上的錯誤了吧？

我們可以在Admin Center中，將Source Type由 Diskfile 改為 mysql 做個測試。

在Source Type的部分改為MYSQL Native，
在Select View的部分維持Syslog Fields。

然後在Mysql database的連線設定，就如同先前所輸入的資訊，
Database Name一樣輸入 Syslog，
Database User請輸入 rsyslog，
Database Password一樣輸入建立 Syslog DB時，所輸入的密碼。
比較特別的是Log Event的record是放在 SystemEvents 這個table中，我們要在此標示清楚。

若輸入資訊正確無誤，那麼就會出現修改成功的畫面。

LogAnalyzer果然也可以透過mysql連結，取得相關log資訊，不會再出現那個 Syslog file is not readable 的錯誤了！

不僅如此，log在塞入database時，都已經依log特性進行分析，將資料進行切割塞入對應的欄位中，
如此一來，在LogAnalyzer裏就能顯示出更多有用的分類資訊，這是以Diskfile抓log所無法呈現的效果～

在使用mysql來收集log後，相對的 /var/log/syslog 裏的log資訊已經不是那麼重要。
若收集的log資訊很多很大，擔心硬碟會爆掉，
那麼我們可以調整logrotate裏對syslog的保留天數。

syslog的設定內容是定義在以下路徑的設定檔中。

/etc/logrotate.d/rsyslog

另外，若一開始，有安裝PHP的GD套件的話，
在LogAnalyzer的 Statistics 頁面中，就可以正常的顯示相關統計圖表。

而在報表的部分，LogAnalyzer提供了4種報表。
不過未經“儲存設定”前，不論哪一個報表，都無法順利產生！

報表的“儲存設定”流程如下，
首先，先到Report中點選Administrate Reports功能。

然後點選“Add Savedreport and save changes”，跳到報表設定頁面。

確認參數後，按下“Add Savedreport and save changes”按鈕完成報表的儲存設定。

回到報表頁面，這時已儲存的報表就會出現Available Actions的相關功能按鈕。

點下綠色play按鈕，就可以產生對應的報表了～

最後，在成功安裝LogAnalyzer後，
請把 /var/www/html/logs 目錄下的安裝檔 install.php、config.php、configure.sh 搬到其它地方或刪除，
以免被有心人士，重新操作設定，確保安全！

LogAnalyzer的相關設定到此告一段落～

參考資料
how-to-install-lamp-on-ubuntu
http://fayazsheriff.blogspot.tw/
免費LOG伺服器WEB管理 - loganalyzer
LAMP+rsyslog+loganalyzer 做系統 LOG 記錄分析
SYSLOG SERVER WITH RSYSLOG AND LOGANALYZER

♥順子老婆的網拍，請多關照～

If you don't like something, change it.
If you can't change it, change your attitude.
Don't complain!

2015-12-11, 17:43