Centos7 Rsyslog 로그 서버

Rsyslog 

 

- syslog 대체 프로그램 

- 성능이 뛰어나며 관리가 단순한 로그 관리 데몬

- udp 뿐 아니라 tcp도 사용하여 신뢰도 높임 

 

---

Log 서버 서비스 시작

 

yum install rsyslog rsyslog-doc -y

rpm -qa | grep rsyslog

 

systemctl enable rsyslog

systemctl start rsyslog

systemctl status rsyslog 

 

nano /etc/rsyslog.conf

주석 제거 

netstat -natlp | grep rsyslog

lsof -i tcp:514 

 

ps -ef | grep rsyslog 

 

---

방화벽 설정 

 

iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 514 -j ACCEPT

iptables -A INPUT -m state --state NEW -m udp -p udp --dport 514 -j ACCEPT

 

firewall-cmd --permanent --add-port=514/tcp

firewall-cmd --permanent --add-port=514/udp

firewall-cmd --reload

firewall-cmd --list-ports

 

---

Rsyslog remote 로그 서버 사용 

 

---

로그 서버에 설정 (master)

 

nano /etc/rsyslog.conf

udp 프로토콜 사용하기 위해 주석 제거 

systemctl restart rsyslog

 

lsof -i udp:514

---

 

로그 클라이언트 설정 (agent) 해당 부분은 캡스톤 작업시 변경이 필요하다!!! 

 

nano /etc/rsyslog.conf

-> 해당 서버 (master) ip 주소를 입력하자 

-> 지금 master 주소는 192.168.109.130 

75번째 줄 작업

systemctl restart rsyslog

 

ps -ef | grep rsyslog 

---

 

Rsyslog 서버 확인

 

< 클라이언트 agent 에서 작업> 

 

systemctl restart sshd 

<서버 master에서 작업>

tail -f /var/log/messages 

netstat -naulp | grep rsyslog 

 

netstat -natlp | grep 514

 

lsof -i tcp:514

 

---

Rsyslog DB사용

 

rpm -qa | grep mariadb

systemctl restart mariadb

lsof -i tcp:3306

 

 

mysql -u root -p

 

GRANT all privileges ON Syslog.* TO rsyslog @'localhost' IDENTIFIED BY 'rsyslog';

FLUSH PRIVILEGES;

EXIT

 

yum install rsyslog-mysql -y

rpm -qa | grep rsyslog

 

mysql -u root -p </usr/share/doc/rsyslog-8.24.0/mysql-createDB.sql

 

nano /etc/rsyslog.conf

이거 그냥 추가함;;; 없네 주석제거 하려고 하니

$ModLoad ommysql

 

$ActionOmmysqlServerPort 3306

*.* :ommysql:127.0.0.1,Syslog,rsyslog,rsyslog

$AllowedSender UDP, 127.0.0.1, 192.168.109.0/24, 192.168.20.0/24

$AllowedSender TCP, 127.0.0.1, 192.168.109.0/24, 192.168.20.0/24

 

 

systemctl restart rsyslog mariadb

 

문제 발생!!! 

 

해당 오류 뜨는데 과연 괜찮을까...

 

해결완료 !! 

 

systemctl restart rsyslog mariadb 여기서 rsyslog 부터 먼저 restart하고 mariadb 하니까 연결이 안 되는 거다 

즉 

 

systemctl restart mariadb rsyslog 하면 제대로 됨 

---

 

 

데이터 베이스 확인

 

USE Syslog;

SHOW TABLES;

SELECT * FROM SystemEvents WHERE ID = 1;

 

 

 

lsof -i tcp 3306

 

rsyslog와 mariadb연결 확인

 

---

LogAnalyzer 사용 

 

cd /usr/local/src

wget http://download.adiscon.com/loganalyzer/loganalyzer-4.1.6.tar.gz

tar -zxvf /usr/local/src/loganalyzer-4.1.6.tar.gz 

 

mv /usr/local/src/loganalyzer-4.1.6/src/* /var/www/html/loganalyzer

mv /usr/local/src/loganalyzer-4.1.6/contrib/* /var/www/html/loganalyzer

chmod +x /var/www/html/loganalyzer/configure.sh /var/www/html/loganalyzer/secure.sh

 

cd /var/www/html/loganalyzer

./configure.sh 

 

# 여기서 안 됨 

 

요래 뜸 

 

이거 PHP 안 깔아서 그럼;;; 

 

yum install -y wget vim httpd php mysql rsyslog rsyslog-mysql mariadb mariadb-server php-mysql 

 

나중에 시작할 때 이거 다 다운하고 시작하자 기본 세팅 

 

다운 하면 제대로 뜬다

 

 

사요나라;;; 

 

 

https://imitator.kr/Linux/3237

CentOS 7 loganalyzer 로그 서버 설치 방법 - Linux - imitator.kr