利用EventlogAnalyzer分析日志
ManageEngineEventLogAnalyzer是一個基于Web技術、實時的事件監控管了解決方案,能夠提高企業網絡安全、減少工作站和伺服器的當機事件。EventLog采用無代理的結構從分布式主機上收集事件日志,也可以從UNIX主機、路由器、交換機及其它網絡裝置上收集日志,并且生成圖形化報表,以便幫助分析提高網絡性能。
實驗拓撲圖
1、伺服器端(192.168.150.149)安裝
#./ManageEngine_EventLogAnalyzer.bin
安裝過程非常簡單所有設定就按預設一路點下來就可以。系統安裝在/root/ManageEngine/EventLog目錄下。注意為了安全起見,在選擇協定時候要選擇HTTPS。
圖2
檢視EventLogAnalyzer服務狀态
#/etc/init.d/eventloganalyzerstatus
啟動服務:進入/root/ManageEngine/EventLog/bin/目錄下執行run.sh腳本。然後在控制端浏覽器上輸入https://localhost:8400/,首次登陸使用者名密碼分别為admin,admin
2、添加主機
在如圖所示伺服器1上配置/etc/syslog.conf檔案
加上一行:
*.*@192.168.150.149
然後重新開機syslogd服務,日志收集端口預設是514,如果修改端口可以編輯/etc/service檔案,找到Syslog514/udp這一行修改端口,但切記在EventLogAnalyzer添加主機時,必需輸入相同的端口号。
設定完畢。登陸https://192.168.150.149/,在建立選項中選取新添加主機,加入IP和syslog監聽端口:514儲存即可,依次添加上你所要收集的所有網絡裝置的IP。
備注:如果EventLogAnalyzer安裝在SUSELinux平台上,請保證在<EventLogAnalyzer_Home>/server/default/deploy目錄下的mysql-ds.xml檔案配置正确,并且您需要将<connection-url>jdbc:mysql://localhost:33335/eventlog</connection-url>這行配置資訊修改為目前系統的IP位址和DNS。
由于在正式環境部署日志收集伺服器,需要收集伺服器及網絡路由交換及防火牆等裝置的日志,是以對消耗帶寬資源較大,尤其對資料庫的壓力更大,是以我們需要提高資料庫性能,提高MySql性能參數方法如下:
編輯startDB.bat/sh檔案(位于<EventlogAnalyzer安裝目錄>\bin目錄下)中預設的參數,來提高Mysql的性能。
記憶體配置設定參考表
根據您系統記憶體配置設定情況來适當修改參數,具體位置下圖用光标标注。
3、添加Cisco裝置
配置Cisco交換機的系統日志登入交換機。進入配置模式。
鍵入以下指令配置交換機(此配置适用于Catalyst2900系列裝置)将系統日志發送到EventLogAnalyzer伺服器。
<Catalyst2900>#configterminal
<Catalyst2900>(config)#logging<EventLogAnalyzerIP>
對于最新版的Catalyst交換機:
Catalyst6500(config)#setlogging
我們也同樣可以配置其它項例如:日志工具,trap通知等
Catalyst6500(config)#loggingfacilitylocal7
Catalyst6500(config)#loggingtrapnotifications
圖3
圖4
在管理界面的設定選項中有這非常細化的管理選項,包括主機/主機組的添加與管理,事件告警配置,事件分析儀參數設定,資料庫設定等能夠以非常友好的方式來進行配置,給日常工作繁忙的工程師們節約了不少時間。
圖5
在這張操控面闆中反應了所有監控主機的日志告警情況,并更具錯誤數量,和告警數量進行統計分類。當您需要檢視某一台主機的某類日志是隻要點選相應主機就能顯示出來。
圖6
圖7
圖8
在報表選項中可以非常詳細的統計或過濾出我們需要日志,出了系統提供的模闆意外使用者可以更具自己需要自定義報表,使輸出更加符合使用者的需求,并可以用不同格式(PDF,CSC)輸出,以便今後統計分析使用。
當出現監控到的資訊時,會實時地發送郵件給系統管理者,及時杜絕入侵者的各種入侵嘗試,保護系統的安全。日志主機圖表化系統的建立,不但能夠有效提高日志管理、分析及監測的效率,同時它也對于日志資訊的安全保護起到了極為重要的作用,一方面它将各伺服器的日志資訊在日志主機上進行備份,同時也能夠有效防止入侵痕迹,為系統管理工作提供了極大的便利性,是有效保障系統安全的重要途徑之一。