运维进行时

一、前言
       为什么要引入第二版？由于第一版是基于Logzilla3.0，作者在Logzilla3.0以后做了licensed限制，可以从作者回复邮件的内容得到证实[图1]。因此需要定期去更新license.txt来达到延长使用期限的目的，个人感觉比较麻烦，同时还有主机及日志数的限制，这也是整理第二版的原因，当然，你也可以通过以下途径获取免费、无限制的licensed，见How to get a free, unlimited, license of LogZilla。但这不是本文所要讨论的话题：），第二版中本人采用logzilla2.9.9版来搭建一个免费、无限制的日志集中管理平台，功能上与3.0差异不大，好了，废话少说，我们开始吧！



平台截图



二、平台初始化
部署LAMP平台(略)

三、下载相关包

四、开始安装

五、安装logzilla

六、配置Mysql


低于Mysql5.1版本会提示如下，如不打算升级到logzilla3.0，没有关系，可以略过此步骤。
mysql> SELECT @@event_scheduler;
ERROR 1193 (HY000): Unknown system variable 'event_scheduler'

激活event_scheduler

七、修改Syslog-ng配置
#vi /opt/syslog-ng/etc/syslog-ng.conf
@version: 3.0 source s_local { internal(); unix-stream("/dev/log"); file("/proc/kmsg" program_override("kernel: ")); }; source s_local {         udp(ip(0.0.0.0) port(514)); }; # destinations destination d_messages { file("/var/log/messages"); }; ########################################################################################### # Clay's LogZilla config below ########################################################################################### # Last updated on 2010-06-15 ########################################################################################### options {       long_hostnames(off);       # doesn't actually help on Solaris, log(3) truncates at 1024 chars       log_msg_size(8192);       # buffer just a little for performance       # sync(1); <- Deprecated - use flush_lines() instead       flush_lines(1);       # memory is cheap, buffer messages unable to write (like to loghost)       log_fifo_size(16384);       # Hosts we don't want syslog from       #bad_hostname("^(ctld.|cmd|tmd|last)$");       # The time to wait before a dead connection is reestablished (seconds)       time_reopen(10);       #Use DNS so that our good names are used, not hostnames       use_dns(yes);       dns_cache(yes);       #Use the whole DNS name       use_fqdn(yes);       keep_hostname(yes);       chain_hostnames(no);       #Read permission for everyone       perm(0644);       # The default action of syslog-ng 1.6.0 is to log a STATS line       # to the file every 10 minutes.  That's pretty ugly after a while.       # Change it to every 12 hours so you get a nice daily update of       # # how many messages syslog-ng missed (0).       # stats(43200); }; destination d_logzilla {    program("/www/webroot/php-syslog-ng/scripts/db_insert.pl"    template("$HOST\t$FACILITY\t$PRIORITY\t$LEVEL\t$TAG\t$YEAR-$MONTH-$DAY\t$HOUR:$MIN:$SEC\t$PROGRAM\t$MSG\n")    template_escape(yes)    ); }; # Tell syslog-ng to log to our new destination log {    source(s_local);       destination(d_logzilla); };
八、修改apache配置
#vi httpd.conf
<VirtualHost *:80>     ServerAdmin liutiansi@gmail.com     DocumentRoot /www/webroot/php-syslog-ng/html/     ServerName syslog.com.cn     ErrorLog logs/syslog.com.cn-error_log     CustomLog logs/syslog.com.cn-access_log common # LogZilla Alias /logs "/www/webroot/php-syslog-ng/html/" <Directory "/www/webroot/php-syslog-ng/html/">     Options Indexes MultiViews FollowSymLinks     AllowOverride All         Order allow,deny         Allow from all </Directory> </VirtualHost>
重启apache服务：/etc/init.d/apache2 restart

九、修改php.ini
Vi /usr/local/php/lib/php.ini
memory_limit = 128M max_execution_time = 300 /etc/init.d/apache2 restart
十、配置日志分隔
cp /www/webroot/php-syslog-ng/scripts/contrib/system_configs/logrotate.d /etc/logrotate.d/logzilla

十一、添加作业

十二、开始平台安装
# /etc/init.d/syslog-ng restart
http://192.168.0.100/logs/来进行安装
步骤如下：


















十三、替换脚本路径

或者直接用sed来修改

＃/etc/init.d/syslog-ng restart

十四、客户端配置
在最后添加以下，其中syslog.admin.com.cn为主机域名，也可以直接用IP代替。
#vi /etc/syslog.conf
*.emerg;*.err;*.warning         @syslog.admin.com.cn
#/etc/init.d/syslog restart

测试：logger -p local4.err "This is a local.err test message."

十五、后续问题
问题一、点击[Graph]时会提示“JpGraph Error Font file "/usr/share/fonts/truetype/msttcorefonts/verdana.ttf" is not readable or does not exist.”
解决方法：
mkdir -p /usr/share/fonts/truetype/msttcorefonts/
上传windows XP/2003/vista/下的字体文件verdana.ttf到/usr/share/fonts/truetype/msttcorefonts/即可。

问题二、logs表无数据，运行/www/webroot/php-syslog-ng/scripts/contrib/dbgen/dbgen.pl
提示：Cannot determine peer address at /usr/lib/perl5/site_perl/5.8.5/Net/MySQL.pm line 277

解决方法：
1、是logzilla2.9.9安装时一个bug，新建的mysql的syslogadmin、sysloguser用户权限没有成功赋予，手工添加上就OK了，感谢【杭州】FIGO提供的故障案例。
2、如第1步不成功，尝试修改/www/webroot/php-syslog-ng/html/config/config.php文件mysql主机地址localhost为127.0.0.1。

问题三、搜索缓存图表只显示两天的数据，最近三天没有数据？
解决方法：
由于search_cache表采用的是MEMORY存储引擎，有大小的限制，修改一下/etc/my.cnf，在[MYSQLD]添加：
tmp_table_size=1G
max_heap_table_size = 1G
再重启mysql就可以了。
效果图：


参考文献：http://nms.gdd.net/index.php/LogZilla_Installation_Guide