Debian10配置RSyslog+LoganAlyzer日志服务器

一、创建LVM逻辑卷并格式化挂载到目录

# 查看磁盘信息
fdisk -l
# 使用cfdisk分区 并修改分区为LinuxLVM类型
cfdisk /dev/sdb
# 创建PV
pvcreate /dev/sdb1
# 查看PV
pvs
# 创建lvm vg组
# 参数1 -s 控制块大小
# 参数2 vg0为名称
# 参数3 为pv名称 多个可以使用中括号
vgcreate -s 128M vg0 /dev/sdb1
# 查看vg组
vgs
# 创建lvm 逻辑卷
# 参数1 -l 逻辑卷大小
# 参数2 -n 逻辑卷名称
# 参数3 data-vg为使用的vg组
lvcreate -l 100%Free -n data vg0
# 查看lv
lvs
# 查看磁盘列表
fdisk -l
# 格式化磁盘
mkfs.ext4 /dev/vg0/data
# 创建目录
mkdir -p /data
# 挂载
mount /dev/vg0/data /data
# 查看磁盘uuid
blkid /dev/vg0/data
# 设置自动挂载
nano /etc/fstab
# UUID=xxxxxxxxx /data ext4 defaults 0 0

二、安装Mariadb数据库

# 安装数据库
apt install mariadb-server
# 停止数据库
systemctl stop mariadb
# 创建目录
mkdir -p /data/mysql
# 修改目录所属
chown -R mysql.mysql /data/mysql
# 移动数据库文件
mv /var/lib/mysql/* /data/mysql/
# 修改mariadb配置
nano /etc/mysql/mariadb.conf.d/50-server.cnf
# 修改数据库目录
# datadir = /data/mysql
# 修改绑定IP
# bind-address = 0.0.0.0
# 启动mariadb
systemctl start mariadb
# 初始化数据库
mysql_secure_installation

三、安装rsyslog-mysql

# 安装rsyslog-mysql 
# Centos需要寻找sql文件并导入
# rpm -ql rsyslog-mysql.x86_64
# mysql -u xxx -p </usr/share/doc/rsyslog-xxxxxx/mysql-createDB.sql
apt install rsyslog-mysql
# 初始化数据库并设置rsyslog密码
# 登录mysql
mysql -u root -p
# 设置rsyslog用户远程登录
GRANT ALL PRIVILEGES ON *.* TO 'rsyslog'@'%' IDENTIFIED BY '密码' WITH GRANT OPTION;
# 刷新权限
FLUSH PRIVILEGES;
# 退出mysql
QUIT;

四、配置rsyslog

# 打开配置文件
nano /etc/rsyslog.conf

# #### MODULES #### 块取消注释
# 加载udp模块
module(load="imudp")
# 从udp 514端口传入日志 传输给规则集 remote
input(type="imudp" port="514" ruleset="remote")
# 加载udp模块
module(load="imtcp")
# 从tcp 514端口传入日志 传输给规则集 remote
input(type="imtcp" port="514" ruleset="remote")
# 加载mysql模块
module(load="ommysql")
# #### RULES #### 块增加规则 格式详见下文
# 定义规则集 remote
ruleset(name="remote"){
    
    # 传输给mysql模块 
    action(type="ommysql" server="localhost" serverport="3306" db="Syslog" uid="rsyslog" pwd="密码")
}

注：RULES格式

格式：facility.priority Target
facility: 设施 从功能或程序上对日志进行分类
常用facility（参考rsyslog.h）：

priority指定了日志级别（参考rsyslog.h）：

# 重启rsyslog
systemctl restart rsyslog
# 查看运行状态
systemctl status rsyslog

五、安装loganalyzer

# 安装httpd php环境
apt install apache2 php php-mysql php-gd
# 修改默认主页
nano /etc/apache2/mods-enabled/dir.conf
# DirectoryIndex index.php
# 用户目录下创建softs目录
mkdir ~/softs
# 进入softs目录
cd ~/softs
# 下载loganalyzer4.1.12
wget https://download.adiscon.com/loganalyzer/loganalyzer-4.1.12.tar.gz
# 解压
tar -zxvf loganalyzer-4.1.12.tar.gz
# 删除www目录下的文件
rm -rf /var/www/html/*
# 移动loganalyzer至www目录
mv ~/softs/loganalyzer-4.1.12/src/* /var/www/html/
# 进入www目录
cd /var/www/html
# 创建配置文件
touch config.php
# 修改配置文件权限
chmod 666 config.php

1. 访问 http://IP地址/install.php

2. 下一步

3. 校验配置文件权限（前面已修改过）

4. 修改界面配置和数据库

5. 创建数据表

6. 校验SQL反馈

7. 设置web登录用户密码

8. 配置日志数据源

9. 完成安装

六、安装防火墙并配置

# 安装
apt install ufw
# 放行SSH服务
ufw allow ssh
# 允许日志客户端访问地址访问本机的514端口
ufw allow from 日志客户端IP to any port 514
# 允许管理员访问web端口
ufw allow from 管理员IP to any port 80
# 允许管理员访问数据库端口
ufw allow from 管理员IP to any port 3306
# 启用ufw（注意如果通过SSH操作启用前请检查是否打开了ssh端口）
ufw enable
# 查看规则
ufw status numbered
# 重载
ufw reload
# 查看防火墙运行状态
ufw status verbose

七、编码

1. 如果出现中文乱码请检查数据源编码，必须与数据库，数据表，字段编码一致
2. 修改loganalyzer编码

# 打开loganalyzer源码
nano /var/www/html/include/functions_common.php
# 找到 
# return htmlentities($myStr, ENT_NOQUOTES, $content['HeaderDefaultEncoding']);// "UTF-8"); 
# 修改为
# return htmlentities($myStr, ENT_NOQUOTES, "gb2312"); 
# gb2312改为自己用的编码

3. 网页用charset插件强行转为gb2312或者其他编码或者进入AdminCenter修改默认编码