本教程逐步介紹了如何將RSYSLOG服務(wù)器安裝到Debian 6（Squeeze）操作系統(tǒng)上，還逐步介紹了如何從多個客戶端服務(wù)器將syslog數(shù)據(jù)發(fā)送到該服務(wù)器系統(tǒng)上。我們還將演示如何安裝一臺Apache Web服務(wù)器和MySQL數(shù)據(jù)庫服務(wù)器以便收集syslog數(shù)據(jù)，并且演示如何安裝LogAnalyzer（日志分析器），以便使用互聯(lián)網(wǎng)瀏覽器，輕松地瀏覽收集而來的數(shù)據(jù)。

為此，我使用了一個預(yù)先準(zhǔn)備好的OpenVZ虛擬化模板，但是該模板應(yīng)該也適用于大多數(shù)基于Debian的操作系統(tǒng)上。

我并不保準(zhǔn)這個模板同樣適用于你的環(huán)境！

安裝RSYSLOG服務(wù)器

這第一個部分描述的是如何搭建從客戶端收集syslog數(shù)據(jù)的RSYSLOG服務(wù)器。在該例子中，我們的服務(wù)器名為rsyslog.domain.com，其固定IP地址為192.168.0.15。

首先，我們安裝一些依賴項(xiàng)。

apt-get update
apt-get upgrade
apt-get install rsyslog rsyslog-mysql unzip zip binutils cpp fetchmail flex gcc libarchive-zip-perl libc6-dev libcompress-zlib-perl libpcre3 libpopt-dev lynx m4 make ncftp nmap openssl perl perl-modules zlib1g-dev autoconf automake1.9 libtool bison autotools-dev g++ mysql-server mysql-client libmysqlclient15-dev apache2 apache2-doc apache2-mpm-prefork apache2-utils libexpat1 ssl-cert libdb4.6-dev libapache2-mod-php5 php5 php5-common php5-curl php5-dev php5-gd php5-idn php-pear php5-imagick php5-imap php5-json php5-mcrypt php5-memcache php5-mhash php5-ming php5-mysql php5-ps php5-pspell php5-recode php5-snmp php5-sqlite php5-tidy php5-xmlrpc php5-xsl

安裝過程中要求你輸入MySQL服務(wù)器的密碼時，創(chuàng)建一個密碼！

我的OpenVZ模板已準(zhǔn)備好了一切，所以下面這個命令對你來說可能沒有必要……

apt-get install linux-kernel-headers

確保相應(yīng)服務(wù)已創(chuàng)建并運(yùn)行起來……

/etc/init.d/rsyslog restart
/etc/init.d/mysql restart
/etc/init.d/apache2 restart

確保服務(wù)器在偵聽合適的TCP IP端口（端口80和端口3306）。這時，RSYSLOG還沒有偵聽任何端口。

rsyslog:~# netstat -tapn
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name
tcp        0      0 127.0.0.1:3306          0.0.0.0:*               LISTEN      415/mysqld        
tcp        0      0 0.0.0.0:80              0.0.0.0:*               LISTEN      581/apache2

然后，我們可以構(gòu)建rsyslog數(shù)據(jù)庫：

mysqladmin -u root -p create rsyslog

接下來，我們啟動MySQL命令外殼程序，創(chuàng)建rsyslog用戶：

mysql -u root -p
GRANT SELECT, INSERT, UPDATE, DELETE ON rsyslog.* TO 'rsyslog'@'localhost' IDENTIFIED BY 'ENTER-YOUR-NEW-RSYSLOG-PASSWORD-HERE';
FLUSH PRIVILEGES;
quit

接下來，我們配置rsyslog服務(wù)器，以便偵聽TCP端口514：

vi /etc/rsyslog.conf

添加這幾行……（要記得將密碼更改成你在創(chuàng)建MySQL服務(wù)器的rsyslog用戶時輸入的那個密碼。）

$ModLoad MySQL
*.*       >127.0.0.1,rsyslog,rsyslog,ENTER-YOUR-NEW-RSYSLOG-PASSWORD-HERE

……并去掉處理TCP syslog接收的幾行代碼前面的注釋。

# rsyslog v3的/etc/rsyslog.conf配置文件
#
# 想了解更多信息，請參閱/usr/share/doc/rsyslog-doc/html/rsyslog_conf.html
$ModLoad MySQL
*.* >127.0.0.1,rsyslog,rsyslog,ENTER-YOUR-NEW-RSYSLOG-PASSWORD-HERE
#################
#### 模塊 ####
#################
$ModLoad imuxsock # 提供對本地系統(tǒng)日志的支持
$ModLoad imklog # 提供內(nèi)核日志支持（以前由rklogd來提供）
#$ModLoad immark # 提供--MARK--息功能
# 提供UDP syslog接收
#$ModLoad imudp
#$UDPServerRun 514
# 提供TCP syslog接收
$ModLoad imtcp
$InputTCPServerRun 514
###########################
#### 全局指令 ####
###########################

并重啟rsyslog服務(wù)。

/etc/init.d/rsyslog restart

確保服務(wù)器在偵聽合適的TCP IP端口。（端口80、端口514和端口3306。）

rsyslog:~# netstat -tapn
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name
tcp        0      0 0.0.0.0:514             0.0.0.0:*               LISTEN      618/rsyslogd   
tcp        0      0 127.0.0.1:3306          0.0.0.0:*               LISTEN      415/mysqld        
tcp        0      0 0.0.0.0:80              0.0.0.0:*               LISTEN      581/apache2

接著我們下載LogAnalyzer，并配置Apache web服務(wù)器，以便顯示日志。

cd /tmp
wget http://download.adiscon.com/loganalyzer/loganalyzer-3.4.1.tar.gz
tar xvzf loganalyzer-3.4.1.tar.gz
mv loganalyzer-3.4.1/ /var/www/
cd /var/www

接著我們?yōu)锳pache web服務(wù)器配置www文件夾用戶權(quán)限。

chown www-data:www-data * . -Rf

然后，我們對LogAnalyzer文件夾作了一些“改進(jìn)”工作。

mv loganalyzer-3.4.1/ loganalyzer
cd contrib/
cp * ./../src/
cd ./../src/
sh ./configure.sh

我們已準(zhǔn)備使用我們的互聯(lián)網(wǎng)服務(wù)器來輸入LogAnalyzer的最后設(shè)置項(xiàng)。往你的互聯(lián)網(wǎng)瀏覽器里面輸入rsyslog服務(wù)器的固定IP地址，本文中是http://192.168.0.15/loganalyzer/src/install.php。

運(yùn)行簡單的設(shè)置腳本（很簡單，只要點(diǎn)擊next -> next。）

現(xiàn)在，你應(yīng)該有了正常運(yùn)行的rsyslog服務(wù)器，而且LogAnalyzer已創(chuàng)建并運(yùn)行起來。

接下來，我們配置RSYSLOG客戶端，以便將其syslog數(shù)據(jù)發(fā)送到rsyslog服務(wù)器：

#p# 配置RSYSLOG客戶端

我們要做的通常僅僅是配置rsyslog.conf文件，然后重啟服務(wù)。（幾乎所有Debian操作系統(tǒng)都預(yù)先安裝了rsyslog。）

vi /etc/rsyslog.conf

添加萬一網(wǎng)絡(luò)連接中斷要用到的work spool目錄這幾行，并將你的rsyslog服務(wù)器IP地址更改成192.168.0.15。（你可能還想要用mkdir命令來創(chuàng)建/rsyslog/work spool目錄。）

# 提供TCP syslog接收
#$ModLoad imtcp
#$InputTCPServerRun 514
$WorkDirectory /rsyslog/work # work（spool）文件的默認(rèn)位置
$ActionQueueType LinkedList # 使用異步處理
$ActionQueueFileName srvrfwd # 設(shè)置文件名稱，還啟用磁盤模式
$ActionResumeRetryCount -1 # 插入失敗后，無限次重試
$ActionQueueSaveOnShutdown on # 如果rsyslog關(guān)閉，保存內(nèi)存中數(shù)據(jù)
*.* @@YOUR-RSYSLOG-SERVER-ADDRESS-HERE
###########################
#### 全局指令####
###########################
并重啟rsyslog服務(wù)。
/etc/init.d/rsyslog restart

服務(wù)器已通過合適的TCP IP端口（端口514）連接。

root@ic1:~# netstat -tapn
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name
tcp        0      0 192.168.0.100:49188     192.168.0.15:514         ESTABLISHED 13289/rsyslogd

這就是成功搭建的系統(tǒng)的樣子。

附注：Rsyslog是一種在UNIX和Unix類的計(jì)算機(jī)系統(tǒng)上使用的開源軟件實(shí)用工具，用于轉(zhuǎn)發(fā)IP網(wǎng)絡(luò)中的日志消息。它實(shí)施了基本的syslog（系統(tǒng)日志）協(xié)議，并且為syslog協(xié)議擴(kuò)增了基于內(nèi)容的過渡、豐富的過濾功能和靈活的配置選項(xiàng)，還增添了一些重要功能，比如使用TCP進(jìn)行傳輸。詳見http://www.rsyslog.com/。
 
原文鏈接：http://www.howtoforge.com/centralized-rsyslog-server-monitoring