正在加载...

      Rsyslog+LogAnalyzer 相信很多朋友都在用,也相信很多朋友遇到主机名问题,比如日志的主机名都是localhost,如下图

点击在新窗口中浏览此图片

      这种情况是由于没有设置合理的主机名导致的,还有一种情况主机名相同但是源IP不同,也可能导致无法详细分析日志

一、修改主机名

This is The Text Code
[root@localhost ~]# vi /etc/sysconfig/network
NETWORKING=yes
NETWORKING_IPV6=no
HOSTNAME=syslog
Parsed in 0.000 seconds at 516.93 KB/s


This is The Text Code
[root@localhost ~]# vi /etc/hosts
# Do not remove the following line, or various programs
# that require network functionality will fail.
127.0.0.1 syslog.selboo.com.cn syslog    # 建议放到最上面
127.0.0.1               localhost.localdomain localhost
::1             localhost6.localdomain6 localhost6
Parsed in 0.000 seconds at 1197.07 KB/s


修改完成之后重启 Rsyslog 服务,并查看 /var/log/messages 文件内的localhost是否变为syslog。

二、为LogAnalyzer添加源IP

1、数据库修改

      LogAnalyzer 默认表字段只有一个 FromHost,我们在添加一个 FromIP,用于记录源IP地址。

This is The SQL Code
mysql> USE Syslog;
mysql> ALTER TABLE SystemEvents ADD FromIP VARCHAR(60) DEFAULT NULL AFTER FromHost;
Parsed in 0.003 seconds at 34.54 KB/s


2、修改rsyslog.conf

      rsyslog 默认情况下插入语句没有 FromIP字段,我们修改插入SQL 语句添加 FromIP字段即可,

This is The Text Code
$template insertpl,"insert into SystemEvents (Message, Facility, FromHost, FromIP, Priority, DeviceReportedTime, ReceivedAt, InfoUnitID, SysLogTag) values ('%msg%', %syslogfacility%, '%HOSTNAME%', '%fromhost-ip%', %syslogpriority%, '%timereported:::date-mysql%', '%timegenerated:::date-mysql%', %iut%, '%syslogtag%')",SQL

$ModLoad ommysql
*.*       :ommysql:localhost,Syslog,root,123456;insertpl# 应用上面SQL语句
Parsed in 0.000 seconds at 1605.63 KB/s


3、LogAnalyzer添加源IP地址

      添加Fields

点击在新窗口中浏览此图片

      添加views

点击在新窗口中浏览此图片

      添加DBMappings,用于建立字段对应关系

点击在新窗口中浏览此图片

      修改数据源配置 修改默认 Table type =>> MonitorWare, 修改为 NewSyslog 也就是上面新添加的NewSyslog。

点击在新窗口中浏览此图片

      查看日志选择 Select View => NewSyslog, 此时我们可以同时查看 源主机和源IP地址了。

点击在新窗口中浏览此图片

点击在新窗口中浏览此图片
最后编辑: selboo 编辑于2012/07/17 17:57
,
小猪
2014/09/18 17:22
为什么我用的3.6.5版本无法增加新的view呢?
小猪
2014/09/18 17:22
为什么我用的3.6.5版本无法增加新的view呢?
selboo 回复于 2014/09/26 21:03
换个浏览器试试。
haha
2014/08/20 11:55
ip空白的问题可以到我空间去看。http://hi.baidu.com/gaodi2002/item/8092449af8b1ecbdcd80e5c3
gaodi
2014/08/20 10:10
我是loganalyzer3.6.3,增加了ip后怎么显示空白?
rolin
2014/04/10 20:43
你好,我想把这样改变 ,但是不可以使用
我想通过改变hostname为'%fromhost-ip%'   992975991@qq.com
sylee
2013/07/22 12:34
我用loganalyzer-3.6.3,用你这个方法ip字段显示空白,貌似获取不到ip
follow-yz
2012/07/17 16:42
对了 顺便问下是否有办法记录经过路由器的日志啊?$fromhost-ip$这个变量里面是网关的地址
selboo 回复于 2012/07/17 17:59
刚才试了下,可以跨路由的,上面有个截图,获取是我Blog IP地址,并非网关地址
$fromhost-ip$ 记录的是 源主机的地址

如何你想记录 路由器 信息需要开启 syslog
Cisco 可以使用 logging on 命令开启
follow-yz
2012/07/17 16:19
更换了一个较低版本的可以用了,这个后台真不咋地啊 呵呵
follow-yz
2012/07/17 10:41
hi 楼主 你的loganalyzer是什么版本的,我在添加自定义view的时候出现了问题,在点击添加列到list的时候总是添加的第一列没法添加更多的。可能是view.php的bug?
selboo 回复于 2012/07/17 11:06
我用的是 Adiscon LogAnalyzer Version 3.4.1
分页: 1/1 第一页 1 最后页
发表评论
表情
打开HTML
打开UBB
打开表情
隐藏
记住我
昵称   密码   游客无需密码
网址   电邮   [注册]