日志对于安全来说，非常重要，他记录了系统每天发生的各种各样的事情，你可以通过他来检查错误发生的原因，或者受到***时***者留下的痕迹。日志主要的功能有：审计和监测。他还可以实时的监测系统状态，监测和追踪侵入者等等。

一、日志服务器的搭建

分析rsyslog产生的日志的简单过程：

         一、把日志记入mysql数据库          二、使用loganalyzer分析数据库信息；

1、安装rsyslog

[root@station34 ~]# # yum -y install httpd php mysql mysql-devel php-mysql

已经安装的话就不要安装了

[root@station34 ~]# # yum -y install rsyslog rsyslog-mysql

注：rsyslog-mysql为rsyslog将日志传送到mysql数据库的一个模块，这里必须安装

2、导入数据库文件

[root@station34 ~]# cd /usr/share/doc/rsyslog-mysql-5.8.10/[root@station34 rsyslog-mysql-5.8.10]# mysql -uroot -padmin < createDB.sql

注：如果数据库设置了密码就要采用-u -p的方式来登陆实现对createDB.sql文件的导入

createDB.sql的作用就是创建了Syslog库并在该库中创建了两张空表SystemEvents和SystemEventsProperties

给用户授权：

mysql> grant all on Syslog.* to 'cw'@'localhost' identified by 'admin';mysql> flush privileges;

3、配置/etc/rsyslog.conf

配置服务端支持rsyslog-mysql模块，并开启UDP服务端口获取网内其他LINUX系统日志

[root@station34 ~]# vim /etc/rsyslog.conf

注：$ModLoad ommmysql 必须定义在Module一段中；

添加此语句

*.*                :ommysql:localhost,Syslog,cw,admin

注:localhost表示本地主机，Syslog为数据库名，cw为数据库的用户，admin为该用户密码

4、安装loganalyzer

[root@station34 ~]# tar xf loganalyzer-3.6.4.tar.gz[root@station34 ~]# cd loganalyzer-3.6.4[root@station34 loganalyzer-3.6.4]# mv src/* /www/a/syslog/[root@station34 loganalyzer-3.6.4]# mv contrib/* /www/a/syslog/[root@station34 loganalyzer-3.6.4]# chmod u+x /www/a/syslog/*.sh[root@station34 syslog]#./configure.sh[root@station34 syslog]# ./secure.sh[root@station34 syslog]# chmod 666 config.php[root@station34 syslog]# chown -R daemon.daemon *

注：/www/a为我的虚拟主机的站点目录，syslog目录没有则自己创建

在浏览器输入网址，进入安装向导

http://www.a.com/syslog

1.提示没有配置文件，点击here利用向导生成

注：数据库设置页面里的信息根据自己情况设置

配置成功界面，可以收到日志数据。

至此，日志服务器已经配置成功，可以通过此服务来分析日志了！