本教程逐步介紹了如何將RSYSLOG服務器安裝到Debian 6（Squeeze）操作系統上，還逐步介紹了如何從多個客戶端服務器將syslog數據發送到該服務器系統上。我們還將演示如何安裝一臺Apache Web服務器和MySQL數據庫服務器以便收集syslog數據，并且演示如何安裝LogAnalyzer（日志分析器），以便使用互聯網瀏覽器，輕松地瀏覽收集而來的數據。

為此，我使用了一個預先準備好的OpenVZ虛擬化模板，但是該模板應該也適用于大多數基于Debian的操作系統上。

我并不保準這個模板同樣適用于你的環境！

安裝RSYSLOG服務器

這第一個部分描述的是如何搭建從客戶端收集syslog數據的RSYSLOG服務器。在該例子中，我們的服務器名為rsyslog.domain.com，其固定IP地址為192.168.0.15。

首先，我們安裝一些依賴項。

apt-get update
apt-get upgrade
apt-get install rsyslog rsyslog-mysql unzip zip binutils cpp fetchmail flex gcc libarchive-zip-perl libc6-dev libcompress-zlib-perl libpcre3 libpopt-dev lynx m4 make ncftp nmap openssl perl perl-modules zlib1g-dev autoconf automake1.9 libtool bison autotools-dev g++ mysql-server mysql-client libmysqlclient15-dev apache2 apache2-doc apache2-mpm-prefork apache2-utils libexpat1 ssl-cert libdb4.6-dev libapache2-mod-php5 php5 php5-common php5-curl php5-dev php5-gd php5-idn php-pear php5-imagick php5-imap php5-json php5-mcrypt php5-memcache php5-mhash php5-ming php5-mysql php5-ps php5-pspell php5-recode php5-snmp php5-sqlite php5-tidy php5-xmlrpc php5-xsl

安裝過程中要求你輸入MySQL服務器的密碼時，創建一個密碼！

我的OpenVZ模板已準備好了一切，所以下面這個命令對你來說可能沒有必要……

apt-get install linux-kernel-headers

確保相應服務已創建并運行起來……

/etc/init.d/rsyslog restart
/etc/init.d/mysql restart
/etc/init.d/apache2 restart

確保服務器在偵聽合適的TCP IP端口（端口80和端口3306）。這時，RSYSLOG還沒有偵聽任何端口。

rsyslog:~# netstat -tapn
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name
tcp        0      0 127.0.0.1:3306          0.0.0.0:*               LISTEN      415/mysqld        
tcp        0      0 0.0.0.0:80              0.0.0.0:*               LISTEN      581/apache2

然后，我們可以構建rsyslog數據庫：

mysqladmin -u root -p create rsyslog

接下來，我們啟動MySQL命令外殼程序，創建rsyslog用戶：

mysql -u root -p
GRANT SELECT, INSERT, UPDATE, DELETE ON rsyslog.* TO 'rsyslog'@'localhost' IDENTIFIED BY 'ENTER-YOUR-NEW-RSYSLOG-PASSWORD-HERE';
FLUSH PRIVILEGES;
quit

接下來，我們配置rsyslog服務器，以便偵聽TCP端口514：

vi /etc/rsyslog.conf

添加這幾行……（要記得將密碼更改成你在創建MySQL服務器的rsyslog用戶時輸入的那個密碼。）

$ModLoad MySQL
*.*       >127.0.0.1,rsyslog,rsyslog,ENTER-YOUR-NEW-RSYSLOG-PASSWORD-HERE

……并去掉處理TCP syslog接收的幾行代碼前面的注釋。

# rsyslog v3的/etc/rsyslog.conf配置文件
#
# 想了解更多信息，請參閱/usr/share/doc/rsyslog-doc/html/rsyslog_conf.html
$ModLoad MySQL
*.* >127.0.0.1,rsyslog,rsyslog,ENTER-YOUR-NEW-RSYSLOG-PASSWORD-HERE
#################
#### 模塊 ####
#################
$ModLoad imuxsock # 提供對本地系統日志的支持
$ModLoad imklog # 提供內核日志支持（以前由rklogd來提供）
#$ModLoad immark # 提供--MARK--息功能
# 提供UDP syslog接收
#$ModLoad imudp
#$UDPServerRun 514
# 提供TCP syslog接收
$ModLoad imtcp
$InputTCPServerRun 514
###########################
#### 全局指令 ####
###########################

并重啟rsyslog服務。

/etc/init.d/rsyslog restart

確保服務器在偵聽合適的TCP IP端口。（端口80、端口514和端口3306。）

rsyslog:~# netstat -tapn
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name
tcp        0      0 0.0.0.0:514             0.0.0.0:*               LISTEN      618/rsyslogd   
tcp        0      0 127.0.0.1:3306          0.0.0.0:*               LISTEN      415/mysqld        
tcp        0      0 0.0.0.0:80              0.0.0.0:*               LISTEN      581/apache2

接著我們下載LogAnalyzer，并配置Apache web服務器，以便顯示日志。

cd /tmp
wget http://download.adiscon.com/loganalyzer/loganalyzer-3.4.1.tar.gz
tar xvzf loganalyzer-3.4.1.tar.gz
mv loganalyzer-3.4.1/ /var/www/
cd /var/www

接著我們為Apache web服務器配置www文件夾用戶權限。

chown www-data:www-data * . -Rf

然后，我們對LogAnalyzer文件夾作了一些“改進”工作。

mv loganalyzer-3.4.1/ loganalyzer
cd contrib/
cp * ./../src/
cd ./../src/
sh ./configure.sh

我們已準備使用我們的互聯網服務器來輸入LogAnalyzer的最后設置項。往你的互聯網瀏覽器里面輸入rsyslog服務器的固定IP地址，本文中是http://192.168.0.15/loganalyzer/src/install.php。

運行簡單的設置腳本（很簡單，只要點擊next -> next。）

現在，你應該有了正常運行的rsyslog服務器，而且LogAnalyzer已創建并運行起來。

接下來，我們配置RSYSLOG客戶端，以便將其syslog數據發送到rsyslog服務器：

#p# 配置RSYSLOG客戶端

我們要做的通常僅僅是配置rsyslog.conf文件，然后重啟服務。（幾乎所有Debian操作系統都預先安裝了rsyslog。）

vi /etc/rsyslog.conf

添加萬一網絡連接中斷要用到的work spool目錄這幾行，并將你的rsyslog服務器IP地址更改成192.168.0.15。（你可能還想要用mkdir命令來創建/rsyslog/work spool目錄。）

# 提供TCP syslog接收
#$ModLoad imtcp
#$InputTCPServerRun 514
$WorkDirectory /rsyslog/work # work（spool）文件的默認位置
$ActionQueueType LinkedList # 使用異步處理
$ActionQueueFileName srvrfwd # 設置文件名稱，還啟用磁盤模式
$ActionResumeRetryCount -1 # 插入失敗后，無限次重試
$ActionQueueSaveOnShutdown on # 如果rsyslog關閉，保存內存中數據
*.* @@YOUR-RSYSLOG-SERVER-ADDRESS-HERE
###########################
#### 全局指令####
###########################
并重啟rsyslog服務。
/etc/init.d/rsyslog restart

服務器已通過合適的TCP IP端口（端口514）連接。

root@ic1:~# netstat -tapn
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name
tcp        0      0 192.168.0.100:49188     192.168.0.15:514         ESTABLISHED 13289/rsyslogd

這就是成功搭建的系統的樣子。

附注：Rsyslog是一種在UNIX和Unix類的計算機系統上使用的開源軟件實用工具，用于轉發IP網絡中的日志消息。它實施了基本的syslog（系統日志）協議，并且為syslog協議擴增了基于內容的過渡、豐富的過濾功能和靈活的配置選項，還增添了一些重要功能，比如使用TCP進行傳輸。詳見http://www.rsyslog.com/。
 
原文鏈接：http://www.howtoforge.com/centralized-rsyslog-server-monitoring