■ 山東廣電網(wǎng)絡(luò)有限公司濟(jì)寧分公司 李瑞祥 崔冬梅 劉偉

編者按：以前筆者單位通過3CD軟件進(jìn)行的日志的收集工作，對于關(guān)鍵詞的查找也只能是通過人工查找，對系統(tǒng)資源消耗比較大，現(xiàn)在改為在LINUX下建立日志服務(wù)器，查找信息很方便，下面介紹一下如何配置與使用。

為了實(shí)現(xiàn)對于公司網(wǎng)絡(luò)設(shè)備的實(shí)時(shí)監(jiān)控，我們需要有一種手段可以收集網(wǎng)內(nèi)重要的數(shù)據(jù)設(shè)備（如交換機(jī)等）的日志信息，并能夠定時(shí)對日志信息進(jìn)行查詢操作，如果發(fā)現(xiàn)有可能引起網(wǎng)絡(luò)故障的關(guān)鍵詞，如loopback、ARP detects IP conflict等，就需要進(jìn)行故障排查，這樣我們就可以在網(wǎng)絡(luò)運(yùn)維工作中做到提前發(fā)現(xiàn)、提前處理，達(dá)到防患于未然的目的。

這項(xiàng)工作我們以前一直在做，是通過3CD軟件進(jìn)行的日志的收集工作，對于關(guān)鍵詞的查找也只能是通過人工，同時(shí)由于3CD是運(yùn)行Windows系統(tǒng)中的，對于系統(tǒng)資源消耗比較大，往往運(yùn)行個(gè)幾天軟件就卡死了，這對于日志記錄來說是非常致命的，本來我們是要通過日志信息來發(fā)現(xiàn)問題，如果日志服務(wù)器本身就出問題了，還談什么發(fā)現(xiàn)問題、解決問題呢？

今年我們開始在Linux下建立日志服務(wù)器，來統(tǒng)一收集各種類型的交換機(jī)發(fā)來的日志，這些日志文件能夠保存到一個(gè)數(shù)據(jù)庫中，利用數(shù)據(jù)庫強(qiáng)大的查詢功能，我們可以根據(jù)關(guān)鍵詞來集中的定位故障信息，比如用SELECT* from SystemEvents where Message LIKE'%conflict%'來查看有哪些沖突產(chǎn)生了。

在這些功能基礎(chǔ)功能都實(shí)現(xiàn)的基礎(chǔ)上（即我們在MYSQL數(shù)據(jù)里面產(chǎn)生了大量的日志信息，也可以方便地通過客戶端對日志信息進(jìn)行查詢），接下來的就是對日志信息進(jìn)行分析，即我們確定好需要對哪些網(wǎng)絡(luò)設(shè)備進(jìn)行日志記錄，以哪些單詞為關(guān)鍵詞進(jìn)行查詢，日志信息保存多少天的，超出天數(shù)的日志信息如何處理等，最后就是配置一個(gè)Web查詢的界面，這個(gè)界面可以讓大家都方便的進(jìn)行查詢，因?yàn)槭峭ㄟ^瀏覽器進(jìn)行查詢的，不需要安裝客戶端，因此更加方便。

好了，下面開始說具體的配置過程，大致分三個(gè)部分，一個(gè)是LAMP的搭建，一個(gè)是RSYSLOG服務(wù)器的搭建，一個(gè)是loganalyzer的配置。

可以說這是一個(gè)龐雜的系統(tǒng)，需要費(fèi)好大的勁才可以配置好，我覺得主要的原因還在于Linux的版本眾多，Linux下面應(yīng)有程序的版本也眾多，不同版本的配置方法還不一樣，這樣就造成我們在初學(xué)配置的時(shí)候不知道照著哪個(gè)教程學(xué)，實(shí)際上照哪個(gè)教程都配置不出來，非得要綜合多個(gè)教程才能配置成功，而且這樣配置成功了，再換一臺(tái)電腦，還不一定能夠配置成功。

這是Linux系統(tǒng)的一個(gè)問題，這個(gè)問題造成只有專業(yè)人員才可以使用Linux，才有可能在Linux里面配置各種服務(wù)，當(dāng)然這也給我們一個(gè)機(jī)會(huì)，即如果有一個(gè)辦法，可以把Linux里面的服務(wù)封裝好，方便下一步快速部署，也算是解決了一個(gè)難題。

LAMP系統(tǒng)的搭建

1.Linux系統(tǒng)

（1）確認(rèn)系統(tǒng)的版本號(hào)

我采用的是CENTOS系統(tǒng)，版本號(hào)是7.4.1708

[root@localhost /]#cat /etc/centos-release

CentOS Linux release 7.4.1708 (Core)

[root@localhost /]#cat /proc/version

Linux version 3.10.0-693.el7.x86_64 (builder@kbuilder.dev.centos.org) (gcc version 4.8.5 20150623 (Red Hat 4.8.5-16) (GCC) ) #1 SMP Tue Aug 22 21:09:27 UTC 2017

（2）給系統(tǒng)打補(bǔ)丁

為了讓系統(tǒng)保持一個(gè)良好的工作狀態(tài)，同時(shí)保障系統(tǒng)的安全性，我們要及時(shí)給系統(tǒng)打上補(bǔ)丁，當(dāng)然前提是這個(gè)系統(tǒng)是可以連接外網(wǎng)的。

yum update

（3）關(guān)閉Linux的防火墻

當(dāng)然，關(guān)閉了防火墻系統(tǒng)就不安全了，但是如果不關(guān)的話，在配置過程中好多的服務(wù)通過網(wǎng)絡(luò)是訪問不到了，所以我們先關(guān)閉防火墻，等系統(tǒng)的各項(xiàng)服務(wù)都配置好了，再研究如何開啟防火墻，以及開放哪些端口。

systemctl stop firewalld.service

出現(xiàn)如圖1的提示，說明防火墻已經(jīng)關(guān)閉了。

2.APACHE

（1）程序安裝

很簡單，在系統(tǒng)中執(zhí)行一條命令即可：

yum install httpd

（2）了解配置文件

在這個(gè)項(xiàng)目，我們只需要了解一條信息，即要發(fā)布的網(wǎng)頁存放在哪個(gè)目錄（/var/www/html）下，定義是在/etc/httpd/conf文件里，如圖2所示，以后我們要放發(fā)布的網(wǎng)頁，就要放在這個(gè)目錄下。

圖1 配置過程中的提示

圖2 了解網(wǎng)頁文件的發(fā)布路徑

啟動(dòng)httpd的命令為systemctl start httpd

3.配置MYSQL

（1）MYSQL的安裝

安裝MySQL，由于CentOS7默認(rèn)會(huì)安裝Mariadb，因此使用MySQL官方提供快速的安裝方法，地址：http://dev.mysql.com/doc/mysql-yum-repoquick-guide/en/

具體方法與步驟如圖3所示。

（2）MYSQL客戶端的使用

MYSQL是數(shù)據(jù)庫服務(wù)器，是存儲(chǔ)數(shù)據(jù)的地方，一般來說，數(shù)據(jù)庫服務(wù)器我們一般是不會(huì)直接操作的，我們是通過客戶端軟件連接上MYSQL服務(wù)器，在本機(jī)上通過客戶端軟件來操作數(shù)據(jù)庫服務(wù)器的，有一款很好用的客戶端軟件，名叫navicat for mysql，從網(wǎng)上可以下載免費(fèi)的試用版本。安裝完以后，就要在MYSQL里面設(shè)置讓root帳號(hào)可以在客戶端軟件上登錄，具體方法如圖4所示。這里面的關(guān)鍵就是將host的值從localhost或者代表本地的IP地址改成為%，這樣就表示可以遠(yuǎn)端進(jìn)行登錄了。

圖3 安裝具體方法

圖4 登錄客戶端

4.PHP的安裝和配置

（1）安裝

yum install php phpgd php-xml php-mysql -y

（2）設(shè)置httpd及mysql開機(jī)自啟動(dòng)

# systemctl start httpd.service

# systemctl enable httpd.service

# systemctl start mysqld.service

# systemctl enable mysqld.service

（3）測試PHP是否正常運(yùn)行

[root@localhost html]# pwd

/var/www/html

# vi index.php

phpinfo()

?>

在瀏覽器中輸入http://10.66.66.67/index.php，若顯示如圖5所示的內(nèi)容，則表示配置成功。

5.必要的配置操作

安裝完P(guān)HP以后，一定要記得執(zhí)行如下操作：

將SELINUX設(shè)置為disabled

# setenforce 0

# sed -i 's#SELINUX=e nforcing#SELINUX=disable d#g' /etc/selinux/config

補(bǔ)充知識(shí)：

-i ：直接修改讀取的文件內(nèi)容，而不是輸出到終端。

s ：取代。

不 然，在loganalye的安裝時(shí)，就會(huì)一直提示有一個(gè)無法無法寫入，就算就把這個(gè)文件的權(quán)限已經(jīng)改成chmod 666也不行。

RSYSLOG的安裝和配置

1.安裝RSYSLOG

rpm -qa rsyslog#CentOS7默認(rèn)會(huì)安裝rsyslog

rsyslog-8.24.0-12.el7.x86_64

可以看到我安裝的RSYSLOG程序的版本跟網(wǎng)上的教程里面顯示的不一樣，因?yàn)槲业腖INUX版本是比較新的，所以里面的RSYSLOG程序也比較新。

2.安裝rsyslog連接MySQL數(shù)據(jù)庫的模塊

#yum install rsyslogmysql -y #rsyslog使用此模塊將數(shù)據(jù)傳入MySQL數(shù)據(jù)庫，必須安裝

3.導(dǎo)入rsyslog-mysql數(shù)據(jù)庫文件

# cd /usr/share/doc/rsyslog-8.24.0/

# mysql -u root -p

# Enter password:

圖5 PHP配置成功的界面

導(dǎo)入數(shù)據(jù)庫操作創(chuàng)建Syslog 庫，并在該庫中創(chuàng)建兩張空表SystemEvents 和SystemEventsProperties。通 過mysql-creatDB.sql程序可以查看此表格的詳細(xì)屬性，例如在日志數(shù)據(jù)表SystemEvents中，包 含設(shè)備編號(hào)ID，告警日志接收時(shí)間ReceivedAt，告警發(fā)送時(shí)間DeviceReportedTime，告警級(jí)別Priority，告警設(shè)備名字FromHost，告警信息Message等等，這些屬性與設(shè)備日志文件產(chǎn)生的數(shù)據(jù)屬性一一對應(yīng)。

4.配置服務(wù)端支持rsyslog-mysql模塊，并開啟UDP服務(wù)端口獲取網(wǎng)內(nèi)網(wǎng)絡(luò)設(shè)備的系統(tǒng)日志

此步驟非常關(guān)鍵，主要是配置rsyslog系統(tǒng)的端口、接收協(xié)議和一些規(guī)則等，詳細(xì)配置可查看/etc目錄下的rsyslog.conf文件，配置簡要說明如下：

（1）加載模塊命令

$ModLoad imuxsock

$ModLoad imjournal

（2）開啟UDP協(xié)議，接收從514端口轉(zhuǎn)發(fā)過來的日志

$ModLoad imudp

$UDPServerRun 514

（3）開啟TCP協(xié)議，接收從514端口轉(zhuǎn)發(fā)過來的日志

$ModLoad imtcp

$InputTCPServerRun 514

（4）所有日志類型的info級(jí)別以及大于info級(jí)別的信息記錄到/var/log/messages，但不包含mail郵件信息，authpriv驗(yàn)證信息和cron時(shí)間任務(wù)信息

*.info;mail.none;authpriv.none;cron.none /var/log/messages

5.查詢r(jià)syslog程序是否運(yùn)行正常，執(zhí)行命令#systemctl status rsyslog，可以看到如圖6的信息。由Started System Logging Serv...說明rsyslog程序正常運(yùn)行。

安裝和配置LogAnalyzer

安裝這個(gè)程序的目的是讓同事通過瀏覽器軟件就可以直接查看日志信息，不用再單獨(dú)安裝連接MySql的客戶端軟件了，雖然有好處，但是配置特別繁瑣，下面我就是不再說細(xì)說明每一個(gè)步驟，就把需要注意的地方說明一下。

圖6 查詢是否正常運(yùn)行

圖7 創(chuàng)建一個(gè)可以連接日志數(shù)據(jù)庫的用戶名和密碼

1.安裝

我們是直接從loganalyzer的網(wǎng)站上下載的最新版本的程序，該程序放在/home/lrx目錄下了。

#mkdir-p/var/www/html/loganalyzer

# cp -rf src/* /var/www/html/loganalyzer/

#cp-rf contrib/*/var/www/html/loganalyzer

[root@localhost loganalyzer-4.1.6]#cd/var/www/html/loganalyzer/

[root@localhost loganalyzer]#sh configure.sh

2.配置過程中需要注意的三個(gè)問題

（1）config.php文件不可寫的問題

這個(gè)問題除了要注意chmod 666外，還要注意，之前說過修改LINUX里面的一個(gè)配置文件的問題。

（2）連接數(shù)據(jù)庫的問題

LogAnalyzer要想配置成功，關(guān)鍵問題是要能夠連接數(shù)據(jù)庫，核心是連接數(shù)據(jù)的用戶名和密碼，在這里我們首先要在數(shù)據(jù)庫里面創(chuàng)新一個(gè)用戶，本例中為syslog1，密碼要符合規(guī)定，然后要明確連接數(shù)據(jù)庫的名稱為Syslog，最后要自己在命令行中測試一遍，確認(rèn)沒有問題的話，才能在Web的配置界面中配置成功，如圖7所示，就是一個(gè)創(chuàng)建連接數(shù)據(jù)庫的用戶名的界面。

mysql>grant all on Syslog.*to syslog1@'local host'identified by 'Wbzlr x95!';

mysql>flush privilege s;

注意：最后還有一個(gè)連接數(shù)據(jù)庫的操作，這里面的用戶名為root，密碼為root的密碼，這個(gè)跟之前的那個(gè)用戶名是不一樣的。

（3）登錄查詢信息

使用syslog1/W***95!這個(gè)帳號(hào)和密碼進(jìn)行登錄，在登錄時(shí)能夠登錄上，但是會(huì)出現(xiàn)一個(gè)錯(cuò)誤提示，大概的意思是顯示不出來日志信息是因?yàn)榕渲梦募衅磳戝e(cuò)誤，我們通過以下操作來解決的：

即進(jìn)入/var/www/html/loganalyzer這個(gè)目錄，查看config.php文件，會(huì)發(fā)現(xiàn)里面把記錄日志數(shù)據(jù)庫文件的表名寫錯(cuò)了，大小寫與實(shí)際的表名不一致，改成一致的就可以了，如下所示。

$CFG['Sources']['Source1']['DBTableName'] ='SystemEvents';

$CFG['Sources']['Source1']['DBEnableRowCounting']= false;

總結(jié)

通過在Linux操作系統(tǒng)上，使用rsyslog軟件來建立日志服務(wù)器，讓我們對于公司網(wǎng)絡(luò)內(nèi)的主要的網(wǎng)絡(luò)設(shè)備的運(yùn)行狀態(tài)有了更加清晰準(zhǔn)確的了解，通過對記錄的日志信息的分析讓我們及時(shí)了解了網(wǎng)絡(luò)中存在的問題和隱患，從而便于我們提前預(yù)防和解決。

實(shí)踐證明通過建立日志服務(wù)器來保障網(wǎng)絡(luò)更加穩(wěn)定安全運(yùn)行是有效的，在第一臺(tái)外網(wǎng)日志服務(wù)器建立后，我們又陸續(xù)建立了內(nèi)網(wǎng)日志服務(wù)器、區(qū)縣外網(wǎng)日志服務(wù)器等等，也都發(fā)揮了應(yīng)用的作用，以后隨著網(wǎng)絡(luò)規(guī)模的擴(kuò)大和業(yè)務(wù)應(yīng)用的增加，還將建立更多日志服務(wù)器。