<![CDATA[运维进行时]]> https://blog.liuts.com/index.php zh-cn https://blog.liuts.com/post/209/ <![CDATA[LAMP+logzilla2.9.9+syslog-ng实现集中日志管理(第二版)[原创]]]> 刘天斯 <liutiansi@gmail.com> Sat, 24 Jul 2010 06:28:52 +0000 https://blog.liuts.com/post/209/ 一、前言
       为什么要引入第二版?由于第一版是基于Logzilla3.0,作者在Logzilla3.0以后做了licensed限制,可以从作者回复邮件的内容得到证实[图1]。因此需要定期去更新license.txt来达到延长使用期限的目的,个人感觉比较麻烦,同时还有主机及日志数的限制,这也是整理第二版的原因,当然,你也可以通过以下途径获取免费、无限制的licensed,见How to get a free, unlimited, license of LogZilla。但这不是本文所要讨论的话题:),第二版中本人采用logzilla2.9.9版来搭建一个免费、无限制的日志集中管理平台,功能上与3.0差异不大,好了,废话少说,我们开始吧!
[图1]

点击在新窗口中浏览此图片

平台截图
点击在新窗口中浏览此图片
点击在新窗口中浏览此图片

二、平台初始化
部署LAMP平台(略)
引用

#yum install libdbi* libnet
#cpan Date::Calc Text::LevenshteinXS String::CRC32
#cpan -i Digest::SHA1
#cpan -i Net::MySQL

三、下载相关包
引用

#cd /home/install
#mkdir logzilla;cd logzilla
#wget http://www.balabit.com/downloads/files/eventlog/0.2/eventlog_0.2.9.tar.gz
#wget http://www.balabit.com/downloads/files/syslog-ng/open-source-edition/3.0.3/setups/rhel-5-i386/syslog-ng-3.0.3-1.rhel5.i386.rpm

四、开始安装
引用

# cp eventlog_0.2.9.tar.gz /usr/src/redhat/SOURCES/
# tar zxvf  eventlog_0.2.9.tar.gz
# cd eventlog-0.2.9/
# rpmbuild --ba eventlog.spec.bb
# cd /usr/src/redhat/RPMS/x86_64
# rpm -Uvh libevtlog*

#cd /home/install/logzilla
#rpm -Uvh syslog-ng-3.0.3-1.rhel5.i386.rpm

五、安装logzilla
引用

#cd /www/webroot/
#wget http://php-syslog-ng.googlecode.com/files/logzilla_v2.9.9o.tgz
#tar xzvf logzilla_v2.9.9o.tgz
#mkdir -p /var/log/logzilla

六、配置Mysql
引用

# mysql -u -p
mysql> SELECT @@event_scheduler;
+-------------------+
| @@event_scheduler |
+-------------------+
| OFF               |
+-------------------+
1 row in set (0.00 sec)


低于Mysql5.1版本会提示如下,如不打算升级到logzilla3.0,没有关系,可以略过此步骤。
mysql> SELECT @@event_scheduler;
ERROR 1193 (HY000): Unknown system variable 'event_scheduler'

激活event_scheduler
引用

mysql> SET GLOBAL event_scheduler = 1;
Query OK, 0 rows affected (0.00 sec)

mysql> SELECT @@event_scheduler;
+-------------------+
| @@event_scheduler |
+-------------------+
| ON                |
+-------------------+
1 row in set (0.00 sec)

mysql> quit;

七、修改Syslog-ng配置
#vi /opt/syslog-ng/etc/syslog-ng.conf

八、修改apache配置
#vi httpd.conf

重启apache服务:/etc/init.d/apache2 restart

九、修改php.ini
Vi /usr/local/php/lib/php.ini

十、配置日志分隔
cp /www/webroot/php-syslog-ng/scripts/contrib/system_configs/logrotate.d /etc/logrotate.d/logzilla

十一、添加作业
引用

@daily /usr/local/php/bin/php /www/webroot/php-syslog-ng/scripts/logrotate.php >> /var/log/php-syslog-ng/logrotate.log
@daily /usr/bin/find /www/webroot/php-syslog-ng/html/jpcache/ -atime 1 -exec rm -f '{}' ';'
0,5,10,15,20,25,30,35,40,45,50,55 * * * * /usr/local/php/bin/php /www/webroot/php-syslog-ng/scripts/reloadcache.php >> /var/log/php-syslog-ng/reloadcache.log

十二、开始平台安装
# /etc/init.d/syslog-ng restart
http://192.168.0.100/logs/来进行安装
步骤如下:
点击在新窗口中浏览此图片

点击在新窗口中浏览此图片

点击在新窗口中浏览此图片

点击在新窗口中浏览此图片

点击在新窗口中浏览此图片

点击在新窗口中浏览此图片

点击在新窗口中浏览此图片

点击在新窗口中浏览此图片

点击在新窗口中浏览此图片

十三、替换脚本路径
引用

cd /www/wewroot/php-syslog-ng/scripts
./fixpaths.sh

或者直接用sed来修改
引用

#sed -i -e "{ s@/path_to_logzilla@/www/webroot/php-syslog-ng@}" *.*

#/etc/init.d/syslog-ng restart

十四、客户端配置
在最后添加以下,其中syslog.admin.com.cn为主机域名,也可以直接用IP代替。
#vi /etc/syslog.conf
*.emerg;*.err;*.warning         @syslog.admin.com.cn
#/etc/init.d/syslog restart

测试:logger -p local4.err "This is a local.err test message."

十五、后续问题
问题一、点击[Graph]时会提示“JpGraph Error Font file "/usr/share/fonts/truetype/msttcorefonts/verdana.ttf" is not readable or does not exist.”
解决方法:
mkdir -p /usr/share/fonts/truetype/msttcorefonts/
上传windows XP/2003/vista/下的字体文件verdana.ttf到/usr/share/fonts/truetype/msttcorefonts/即可。

问题二、logs表无数据,运行/www/webroot/php-syslog-ng/scripts/contrib/dbgen/dbgen.pl
提示:Cannot determine peer address at /usr/lib/perl5/site_perl/5.8.5/Net/MySQL.pm line 277

解决方法:
1、是logzilla2.9.9安装时一个bug,新建的mysql的syslogadmin、sysloguser用户权限没有成功赋予,手工添加上就OK了,感谢【杭州】FIGO提供的故障案例。
2、如第1步不成功,尝试修改/www/webroot/php-syslog-ng/html/config/config.php文件mysql主机地址localhost为127.0.0.1。

问题三、搜索缓存图表只显示两天的数据,最近三天没有数据?
解决方法:
由于search_cache表采用的是MEMORY存储引擎,有大小的限制,修改一下/etc/my.cnf,在[MYSQLD]添加:
tmp_table_size=1G
max_heap_table_size = 1G
再重启mysql就可以了。
效果图:
点击在新窗口中浏览此图片

问题四、不能显示日志当中带有"<"、">"的问题,如思科系统的日志。
感谢[常州]老高提供的故障案例。
解决方法:
在tailresult.php和regularresult.php中查找

在里面添加

即可。

问题五、客户端日志无法入库。
感谢[北京]永远飞扬提供的故障案例。
系统环境:
CentOS release 5.5 (Final) i386 2.6.18-194.el5
LAMP (系统rpm默认安装)
Mysql:5.0.77
Php:PHP 5.1.6
Apache:2.2.3

原因:
perl for mysql驱动异常,直接采用bin/mysql+insert sql语句入库。

解决方法:
#vi /opt/syslog-ng/etc/syslog-ng.conf

*注:配置中的相关参数需根据个人实际环境进行修改。


全世界都在找logzilla_v2.9.9o.tgz包,打包线上的包放上来(修复原先一些小bug)
点击这里下载文件

参考文献:http://nms.gdd.net/index.php/LogZilla_Installation_Guide

如大家有什么疑问或感兴趣的话题可以通过weibo与我交流:http://t.qq.com/yorkoliu
Tags - , , , ]]> https://blog.liuts.com/post/209/#blogcomment107 <![CDATA[[评论] LAMP+logzilla2.9.9+syslog-ng实现集中日志管理(第二版)[原创]]]> higkoo <higkoo@tom.com> Sat, 24 Jul 2010 07:12:46 +0000 https://blog.liuts.com/post/209/#blogcomment107 https://blog.liuts.com/post/209/#blogcomment108 <![CDATA[[评论] LAMP+logzilla2.9.9+syslog-ng实现集中日志管理(第二版)[原创]]]> kindle <user@domain.com> Sat, 24 Jul 2010 07:21:56 +0000 https://blog.liuts.com/post/209/#blogcomment108 https://blog.liuts.com/post/209/#blogcomment114 <![CDATA[[评论] LAMP+logzilla2.9.9+syslog-ng实现集中日志管理(第二版)[原创]]]> godsoul <godsoul1986@gmail.com> Mon, 26 Jul 2010 09:09:29 +0000 https://blog.liuts.com/post/209/#blogcomment114 @daily /usr/bin/find /www/webroot/php-syslog-ng/html/jpcache/ -atime 1 -exec rm -f '{}' ';'
0,5,10,15,20,25,30,35,40,45,50,55 * * * * /usr/local/php/bin/php /www/webroot/php-syslog-ng/scripts/reloadcache.php >> /var/log/php-syslog-ng/reloadcache.log
第一个问题 @daily是不是变量忽略了啊
第二个问题   第二句的时候有错误!~ ]]> https://blog.liuts.com/post/209/#blogcomment115 <![CDATA[[评论] LAMP+logzilla2.9.9+syslog-ng实现集中日志管理(第二版)[原创]]]> godsoul <godsoul1986@gmail.com> Mon, 26 Jul 2010 09:14:32 +0000 https://blog.liuts.com/post/209/#blogcomment115 syntax error in /opt/syslog-ng/etc/syslog-ng.conf at line 2
汗。做小白真不容易啊。。。 ]]> https://blog.liuts.com/post/209/#blogcomment117 <![CDATA[[评论] LAMP+logzilla2.9.9+syslog-ng实现集中日志管理(第二版)[原创]]]> prometheus <user@domain.com> Thu, 29 Jul 2010 11:14:35 +0000 https://blog.liuts.com/post/209/#blogcomment117 https://blog.liuts.com/post/209/#blogcomment119 <![CDATA[[评论] LAMP+logzilla2.9.9+syslog-ng实现集中日志管理(第二版)[原创]]]> prometheus <user@domain.com> Fri, 30 Jul 2010 03:09:33 +0000 https://blog.liuts.com/post/209/#blogcomment119 https://blog.liuts.com/post/209/#blogcomment123 <![CDATA[[评论] LAMP+logzilla2.9.9+syslog-ng实现集中日志管理(第二版)[原创]]]> prometheus <user@domain.com> Mon, 02 Aug 2010 10:19:56 +0000 https://blog.liuts.com/post/209/#blogcomment123 https://blog.liuts.com/post/209/#blogcomment124 <![CDATA[[评论] LAMP+logzilla2.9.9+syslog-ng实现集中日志管理(第二版)[原创]]]> prometheus <user@domain.com> Mon, 02 Aug 2010 11:45:30 +0000 https://blog.liuts.com/post/209/#blogcomment124 https://blog.liuts.com/post/209/#blogcomment127 <![CDATA[[评论] LAMP+logzilla2.9.9+syslog-ng实现集中日志管理(第二版)[原创]]]> prometheus <user@domain.com> Tue, 03 Aug 2010 08:07:01 +0000 https://blog.liuts.com/post/209/#blogcomment127 https://blog.liuts.com/post/209/#blogcomment128 <![CDATA[[评论] LAMP+logzilla2.9.9+syslog-ng实现集中日志管理(第二版)[原创]]]> prometheus <user@domain.com> Tue, 03 Aug 2010 08:08:32 +0000 https://blog.liuts.com/post/209/#blogcomment128