Syslog日志服务器设计

Syslog监控功能概要设计说明1.总体设计系统日志（Syslog）协议是在一个IP网络中转发系统日志信息的标准，它是在美国加州大学伯克利软件分布研究中心（BSD）的TCP/IP系统实施中开发的，目前已成为工业标准协议，可用它记录设备的日志。

Syslog记录着系统中的任何事件，管理者可以通过查看系统记录随时掌握系统状况。

系统日志通过Syslog 进程记录系统的有关事件，也可以记录应用程序运作事件。

通过适当配置，还可以实现运行Syslog协议的机器之间的通信。

通过分析这些网络行为日志，可追踪和掌握与设备和网络有关的情况。

通过在云平台节点和被监控设备上配置Syslog服务，可以实现对被监控设备的监控。

云平台Syslog监控功能示意如下：网络设备安全设备服务器（1）Syslog服务器端监听随云平台（节点）启动时而启动。

（2）在被监控端配置Syslog服务，被监控端包括服务器、网络设备、安全设备、存储设备等。

（3）被监控端向云平台发送Syslog日志，云平台根据用户定义的规则进行处理。

（告警，保存到数据库）2.接口设计2.1.用户接口2.1.1.增/删/改Syslog监控节点输入项：Syslog服务端IP地址。

端口，默认514。

协议，默认udp。

界面：参考本系统监控器相关界面。

2.1.2.查看Syslog日志类似告警信息查看界面，提供集中查看和按被监控对象进行分对象查看。

2.1.3.设置告警规则在被监控端设置告警规则，告警规则主要由正则表达式组成，系统通过对Syslog日志和规则进行比对触发告警事件。

2.2.内部接口2.2.1.调度接口根据系统设置，在调度任务启动时，将Syslog服务端监听进程同时启动。

2.2.2.告警接口根据告警规则设置，系统接收到Syslog日志时和告警规则进行比对，如果与告警规则匹配则调用相应的告警功能。

2.2.3.保存接口系统在接收到Syslog日志，并进行告警处理后，将调用保存接口将Syslog 日志保存到数据库。

搭建rsyslog⽇志服务器环境配置centos7系统 client1：192.168.91.17centos7系统 master：192.168.91.18rsyslog客户端配置1、rsyslog安装yum install rsyslog2、启⽤UDP进⾏传输vim /etc/rsyslog.conf# Provides UDP syslog reception #若启⽤UDP进⾏传输，则取消下⾯两⾏的注释$ModLoad imudp$UDPServerRun 514# Provides TCP syslog reception #若启⽤TCP进⾏传输，则取消下⾯两⾏的注释#$ModLoad imtcp#$InputTCPServerRun 514*.* @192.168.28.149:514 #若启⽤TCP传输则使⽤@@，若是UDP则使⽤@3、重启rsyslog服务systemctl restart rsyslogrsyslog服务端配置1、启⽤UDP/TCP进⾏传输vim /etc/rsyslog.conf# Provides UDP syslog reception #若启⽤UDP进⾏传输，则取消下⾯两⾏的注释$ModLoad imudp$UDPServerRun 514# Provides TCP syslog reception #若启⽤TCP进⾏传输，则取消下⾯两⾏的注释#$ModLoad imtcp#$InputTCPServerRun 5142、重启rsyslog服务systemctl restart rsyslog测试服务是否能够将客户端的系统⽇志传回服务端1、在服务端不间断输出系统⽇志⽂件tailf /var/log/messages第⼆：在客户端使⽤logger⽣成测试⽇志信息（并查看服务器端输出，判断是否通过⽹络将⽇志收集到了）logger "rsyslog test"Rsyslog搭建中⼼⽇志服务器默认配置下，接收到的⽇志写⼊服务端对应的⽇志⽂件⾥，如：如果涉及到了secure⽇志的记录，就会写到服务器端的/var/log/secure⾥⾯，也就是客户端⾃⼰写⼀份然后再往服务器端写⼀份。

Syslog架设windows日志服务器-qzt1023-51CTO技术博客Syslog架设windows日志服务器1 winodws服务器的配置因为windows服务器不支持日志服务器，因此需要安装一个转换软件：下载地址为：根据系统的版本下载32位和64位的程序。

解压后是两个文件evtsys.dll和evtsys.exe把这两个文件拷贝到 c:\windows\system32目录下。

evtsys命令U sage: evtsys.exe -i|-u|-d [-h host] [-p port] [-q char]-i Install service (安装服务)-u Uninstall service (卸载服务)-d Debug: run as console program (以debug模式运行)-h host Name of log host (日志服务器IP地址)-p port Port number of syslogd (日志服务器端口，默认是514) -q char Quote messages with character打开Windows命令提示符（开始－>运行输入CMD）C:\>evtsys –i –h 192.168.28.4 #（日志服务器的IP地址）-i 表示安装成系统服务-h 指定log服务器的IP地址启动该服务:C:\>net start evtsys打开windows组策略编辑器 (开始->运行输入 gpedit.msc)在windows 设置－> 安全设置－> 本地策略－>审核策略中，打开你需要记录的windows日志。

evtsys会实时的判断是否有新的win dows日志产生，然后把新产生的日志转换成syslogd可识别的格式,通过UDP 3072端口发送给syslogd服务器。

OK,所有的配置windo ws端配置完成.如果要卸载evtsys,则：net stop evtsysevtsys -u2 优先级优先级是选择条件的第二个字段，它代表消息的紧急程度。

Syslog服务器的设置
首先在一个PC上安装syslog软件。

目前syslog软件可以运行在Windows、Linux和Unix 上，请随便做一个syslog服务器。

我们推荐一个运行在Windows平台上的syslog服务器软件，kiwi-syslog。

请到下面的站点下载：
然后在防火墙上作如下设置：
Kiwi_SysLog服务器日志设置
使用Kiwi_SysLog软件可以把日志进行分类存储，如按照日志的时间进行存储。

具体的设置方法如下：
日期：yyyy-mm-dd 时间：hour
具体的设置请看“Insert AutoSplit value”
●如上图的设置，日志的记录将会是这样的：
其中D:\Logs\2004-03-14\表示每天的日志，在每天的日志中，LOG_15表示下午三点的记录，LOG_16表示下午四点的记录，依此类推。

这样就可以分别记录。

●如果要对日志进行查询、排序等工作，需要用到微软的Access数据库进行处理。

具体的操作是“文件”→“新建”→“空数据库”→“文件”→“获取外部数据”→“导入”→然后选择日志文件→选择“带分隔符”→选择“分号”→“完成”。

背景：因为项目需要，现使用syslog-ng搭建一台日志服务器，简单来说就是利用我们现有的虚拟机中的syslog-ng服务，搭建一台用于专名存放其他虚拟机（也包括自己）所产生的日志。

由于一些用户以后将没有权限直接访问我们的ebackup 服务器，但又需要查看日志。

便可以用过这台日志服务器来查看。

日志服务器中的日志目录按照一定的规则设定，如“日期+主机名”等自行设定。

Syslog-ng介绍：规则，实现更好的过滤功能。

本次日志服务器的搭建是用的syslog-ng，关于syslog的具体描述可以参考下面的链接。

/subview/1614723/1614723.htm1、syslog-ng的配置说明syslog-ng的主配置文件存放在：/etc/syslog-ng/syslog-ng.conf中。

首先需要简单介绍一下syslog-ng的架构。

yslog-ng.conf中所有配置都是基于syslog-ng 的这样一种架构：LOG STATEMENTS『SOURCES － FILTERS －DESTINATIONS』即：消息路径『消息源－过滤器－目的站』也就是说，通过定义多个消息源，把匹配上若干个过滤器的消息导向到指定的目的地，从而组成一个消息路径。

（1）、消息源source格式为：source { sourcedriver params; sourcedriver params; ... };一个消息源的标识sourcedriver：消息源驱动器，可以支持若干参数，并使用分号“；”隔离多个消息源驱动器消息源有以下几种：file (filename) ：从指定的文件读取日志信息unix-dgram (filename) ：打开指定的SOCK_DGRAM模式的unix套接字，接收日志消息unix-stream (filename) ：打开指定的SOCK_STREAM模式的unix套接字，接收日志消息udp ( (ip),(port) ) ：在指定的UDP端口接收日志消息tcp ( (ip),(port) ) ：在指定的TCP端口接收日志消息sun-streams (filename) ：在solaris系统中，打开一个（多个）指定的STREAM设备，从其中读取日志消息internal() ： syslog-ng内部产生的消息pipe(filename),fifo(filename) ：从指定的管道或者FIFO设备，读取日志信息例如：source s_sys {file ("/proc/kmsg" log_prefix("kernel:"));unix-stream ("/dev/log");internal();); };参数需要使用括号括住。

业务聚合平台SYSLOG部署方案一、方案部署背景该项目涉及设备数量包括服务器75台、网络交换机4台、光纤交换机2台、存储1台。

设备的日志信息是查看设备运营情况的最重要渠道。

若每台的去监控及查看，将带来巨大的工作量。

搭建一台syslog能有效缓解该问题。

二、实施目的1．服务器日志集中存放到日志服务器和MySQL数据库中；2．每天发送一封E-MAIL, 报告异常日志条目；3．实时报告异常系统事件；4．WEB界面查询日志；三、硬件环境：CPU:4*4内存：16G磁盘：100G四、系统环境：操作系统：RHEL5.5 64bitIP：192.168.146.30五、实施步骤1、安装所属包：syslog20111106.tar.gzsyslog20111106.tar.gz2、配置yum服务器(省略)3、搭建LAMP环境(省略)4、安装syslog-ng#rpm -ivh libdb*#rpm -ivh libevtlog0-0.2.8-1.i386.rpm#rpm -ivh syslog-ng-2.1.3-1.i386.rpm#rpm -ivh msttcorefonts-2.0-1.noarch.rpm# mkdir -p /usr/share/fonts/truetype/msttcorefonts/#cp /usr/share/fonts/msttcorefonts/verdana* /usr/share/fonts/truetype/msttcorefonts/.5、配置syslog.conf# vi /etc/syslog-ng/syslog-ng.confsyslog-ng.conf6、重启syslog-ng# /etc/rc.d/init.d/syslog-ng restart7、安装php-syslog-ng#yum install php-gd php-mysql php-pdo#tar zxvf php-syslog-ng-2.9.8.tgz –C /var/www/html/.#cd /var/www/html/ php-syslog-ng#chown –R apache:apache html#cd scripts替换脚本中的文件实际路径（方法：perl -i -pe 's/\/www\/php-syslog-ng/\<newpath>/g' *）#perl -i -pe 's/\/www\/php-syslog-ng/\/var\/www\/html/g' *期间的报错可以忽略8、创建数据库及用户，脚本如下(该步骤可不操作)：vi syslog-ng.sqlCREATE DATABASE syslog;USE syslog;CREATE TABLE logs (host varchar(32) default NULL,facility varchar(10) default NULL,priority varchar(10) default NULL,level varchar(10) default NULL,tag varchar(10) default NULL,date date default NULL,time time default NULL,program varchar(15) default NULL,msg text,seq int(10) unsigned NOT NULL auto_increment,PRIMARY KEY (seq),KEY host (host),KEY seq (seq),KEY program (program),KEY time (time),KEY date (date),KEY priority (priority),KEY facility (facility)) TYPE=MyISAM;CREATE USER syslogadmin identified BY ;syslogadmin;GRANT ALL ON syslog.* TO 'syslogadmin'@'%';UPDATE user SET password=PASSWORD(‘root’) WHERE user=’root’;FLUSH PRIVILEGES;9、编辑/etc/syslog-ng/syslog-ng.conf文件，添加以下内容destination d_mysql {program("/usr/bin/mysql -usyslogadmin -psyslogadmin syslog"template("INSERT INTO logs (host, facility, priority, level, tag, datetime, program, msg)VALUES ( '$HOST', '$FACILITY', '$PRIORITY', '$LEVEL', '$TAG', '$YEAR-$MONTH-$DAY$HOUR:$MIN:$SEC', '$PROGRAM', '$MSG' );\n")template-escape(yes));};log {source(s_remote);destination(d_mysql);};10、修改/etc/pho.ini文件将display_errors = Off更改为display_errors = On ;将magic_quotes_gpc = Off更改为magic_quotes_gpc = On ;将memory_limit = 8M更改为memory_limit = 256M ;将max_execution_time = 30更改为max_execution_time = 9011、修改/etc/http/http.conf文件将DocumentRoot "/var/www/html"修改为DocumentRoot "/var/www/html/php-syslog-ng/html"将#ServerName :80修改为ServerName 192.168.146.30:8012、重启http服务13、配置php-syslog-ng在浏览器输入http://192.168.146.30/htmlScreen 1: 点击next开始安装；Screen 2: 选择接受协议后点击next继续；Screen 3: 输入数据库ROOT用户密码，其它可以保持默认(你可以不选择"install sample data" box) ，点击Next 继续；点击ok继续...Screen 4:输入站点名称后点击next继续；Screen 5: 输入email地址和admin的密码外，其它可以保持默认，点击next继续；Screen 6: 如果选择安装用于收集Cisco ERROR TABLE的数据，将会弹出如下安装对话框(可选)点击Install CEMDB继续... (如果点击install CEMDB不工作，请使用Firefox进行安装。

syslog-ng 日志服务器with php-syslog-ng 第一部分：LAMP平台的搭建、syslog-ng的安装1、所必要的tar包eventlog-0.2.5.tar.gzlibol-0.2.5.tar.gzsyslog-ng-2.0.6.tar.gz2、按上面包的顺序安装首先为三个包分别创建各自的安装目录mkdir /eventlogmkdir /libolmkdir /syslog-ng安装eventlogtar xzvf eventlog-0.2.5.tar.gzcd eventlog-0.2.5./configure --prefix=/eventlog && make && make install安装liboltar xzvf libol-0.2.5.tar.gzcd libol-0.2.5./configure --prefix=/libol && make && make install安装syslog-ngexport PKG_CONFIG_PA TH=/eventloglib/pkgconfig/tar xzvf syslog-ng-2.0.6.tar.gzcd syslog-ng-2.0.6./configure --prefix=/syslog-ng --with-libol=/libol && make && make install 至此syslog-ng的安装完成。

3、配置syslog-ng首先创建一个文件作为下面实验的日志存储文件touch /test.log进入syslog-ng的安装目录cd /syslog-ngmkdir etcvi syslog-ng.conf输入如下内容进行测试options {keep_hostname(yes);long_hostnames(off);sync(1);log_fifo_size(1024);create_dirs(yes); # if a dir does not exist create itowner(root); # owner of created filesgroup(root); # group of created filesperm(0600); # permissions of created filesdir_perm(0700); # permissions of created dirs};source sudp {udp();};destination test {file("/test.log");};log {source(sudp);destination(test);};配置文件的内容结束。

设置 Syslog 日志服务器用来获取交换机日志（Syslog 日志服务器用来获取交换机日志CISCO和H3C交换机的设置）注:配置日志服务器前先检查是否已安装了SYSLOG服务执行 ps -e |grep syslogd 查看进程是否存在没有安装 # apt-get install syslogd 安装,或下载用安装包H3C交换机的设置举例1. 组网需求将系统的日志信息发送到 linux 日志主机；日志主机的IP 地址为 1.2.0.1/16；信息级别高于等于 informational 的日志信息将会发送到日志主机上；日志信息的输出语言为英文，允许输出信息的模块为ARP 和 CMD。

2. 组网图3. 配置步骤(1) 设备上的配置。

# 开启信息中心。

<Sysname> system-view[Sysname] info-center enable# 指定向日志主机输出日志信息的通道为 loghost 通道。

[Sysname] info-center loghost 1.2.0.1 channel loghost# 关闭所有模块日志主机的 log、trap、debug 的状态。

[Sysname] info-center source default channel loghost debug state off log state off trap state off注意：由于系统对各通道允许输出的系统信息的缺省情况不一样，所以配置前必须将所有模块的需求通道（本例为loghost ）上log、trap、debug 状态设为关闭，再根据当前的需求配置输出相应的系统信息。

可以用display channel 命令查看通道的状态。

# 将 IP 地址为 1.2.0.1/16 的主机作为日志主机，设置信息级别为informational，输出语言为英文，允许输出信息的模块为所有模块。

[Sysname] info-center loghost 1.2.0.1 facility local7 language english [Sysname] info-center source default channel loghost log level informational 2) 日志主机上的配置。