Rsyslog+LogAnalyzer日志系统显示源主机和源IP
Rsyslog+LogAnalyzer 相信很多朋友都在用,也相信很多朋友遇到主机名问题,比如日志的主机名都是localhost,如下图
点击在新窗口中浏览此图片
https://selboo.com/attachment/201205/1337572577_2432d818.jpg
这种情况是由于没有设置合理的主机名导致的,还有一种情况主机名相同但是源IP不同,也可能导致无法详细分析日志
一、修改主机名
[codes=text][root@localhost ~]# vi /etc/sysconfig/network
NETWORKING=yes
NETWORKING_IPV6=no
HOSTNAME=syslog[/codes]
[codes=text][root@localhost ~]# vi /etc/hosts
# Do not remove the following line, or various programs
# that require network functionality will fail.
127.0.0.1 syslog.selboo.com.cn syslog # 建议放到最上面
127.0.0.1 localhost.localdomain localhost
::1 localhost6.localdomain6 localhost6[/codes]
修改完成之后重启 Rsyslog 服务,并查看 /var/log/messages 文件内的localhost是否变为syslog。
二、为LogAnalyzer添加源IP
1、数据库修改
LogAnalyzer 默认表字段只有一个 FromHost,我们在添加一个 FromIP,用于记录源IP地址。
[codes=sql]mysql> use Syslog;
mysql> ALTER TABLE SystemEvents ADD FromIP varchar(60) default NULL AFTER FromHost;[/codes]
2、修改rsyslog.conf
rsyslog 默认情况下插入语句没有 FromIP字段,我们修改插入SQL 语句添加 FromIP字段即可,
[codes=text]$template insertpl,"insert into SystemEvents (Message, Facility, FromHost, FromIP, Priority, DeviceReportedTime, ReceivedAt, InfoUnitID, SysLogTag) values ('%msg%', %syslogfacility%, '%HOSTNAME%', '%fromhost-ip%', %syslogpriority%, '%timereported:::date-mysql%', '%timegenerated:::date-mysql%', %iut%, '%syslogtag%')",SQL
$ModLoad ommysql
*.* :ommysql:localhost,Syslog,root,123456;insertpl# 应用上面SQL语句 [/codes]
3、LogAnalyzer添加源IP地址
添加Fields
点击在新窗口中浏览此图片
https://selboo.com/attachment/201205/1337578173_52529640.jpg
添加views
点击在新窗口中浏览此图片
https://selboo.com/attachment/201205/1337578288_9334290b.jpg
添加DBMappings,用于建立字段对应关系
点击在新窗口中浏览此图片
https://selboo.com/attachment/201205/1337578506_51382a34.jpg
修改数据源配置 修改默认 Table type =>> MonitorWare, 修改为 NewSyslog 也就是上面新添加的NewSyslog。
点击在新窗口中浏览此图片
https://selboo.com/attachment/201205/1337578983_24472620.jpg
查看日志选择 Select View => NewSyslog, 此时我们可以同时查看 源主机和源IP地址了。
点击在新窗口中浏览此图片
https://selboo.com/attachment/201205/1337576818_493872b2.jpg
点击在新窗口中浏览此图片
https://selboo.com/attachment/201207/1342519065_103977b3.jpg
点击在新窗口中浏览此图片https://selboo.com/attachment/201205/1337572577_2432d818.jpg
这种情况是由于没有设置合理的主机名导致的,还有一种情况主机名相同但是源IP不同,也可能导致无法详细分析日志
一、修改主机名
[codes=text][root@localhost ~]# vi /etc/sysconfig/network
NETWORKING=yes
NETWORKING_IPV6=no
HOSTNAME=syslog[/codes]
[codes=text][root@localhost ~]# vi /etc/hosts
# Do not remove the following line, or various programs
# that require network functionality will fail.
127.0.0.1 syslog.selboo.com.cn syslog # 建议放到最上面
127.0.0.1 localhost.localdomain localhost
::1 localhost6.localdomain6 localhost6[/codes]
修改完成之后重启 Rsyslog 服务,并查看 /var/log/messages 文件内的localhost是否变为syslog。
二、为LogAnalyzer添加源IP
1、数据库修改
LogAnalyzer 默认表字段只有一个 FromHost,我们在添加一个 FromIP,用于记录源IP地址。
[codes=sql]mysql> use Syslog;
mysql> ALTER TABLE SystemEvents ADD FromIP varchar(60) default NULL AFTER FromHost;[/codes]
2、修改rsyslog.conf
rsyslog 默认情况下插入语句没有 FromIP字段,我们修改插入SQL 语句添加 FromIP字段即可,
[codes=text]$template insertpl,"insert into SystemEvents (Message, Facility, FromHost, FromIP, Priority, DeviceReportedTime, ReceivedAt, InfoUnitID, SysLogTag) values ('%msg%', %syslogfacility%, '%HOSTNAME%', '%fromhost-ip%', %syslogpriority%, '%timereported:::date-mysql%', '%timegenerated:::date-mysql%', %iut%, '%syslogtag%')",SQL
$ModLoad ommysql
*.* :ommysql:localhost,Syslog,root,123456;insertpl# 应用上面SQL语句 [/codes]
3、LogAnalyzer添加源IP地址
添加Fields
点击在新窗口中浏览此图片https://selboo.com/attachment/201205/1337578173_52529640.jpg
添加views
点击在新窗口中浏览此图片https://selboo.com/attachment/201205/1337578288_9334290b.jpg
添加DBMappings,用于建立字段对应关系
点击在新窗口中浏览此图片https://selboo.com/attachment/201205/1337578506_51382a34.jpg
修改数据源配置 修改默认 Table type =>> MonitorWare, 修改为 NewSyslog 也就是上面新添加的NewSyslog。
点击在新窗口中浏览此图片https://selboo.com/attachment/201205/1337578983_24472620.jpg
查看日志选择 Select View => NewSyslog, 此时我们可以同时查看 源主机和源IP地址了。
点击在新窗口中浏览此图片https://selboo.com/attachment/201205/1337576818_493872b2.jpg
点击在新窗口中浏览此图片https://selboo.com/attachment/201207/1342519065_103977b3.jpg