利用Eventlog Analyzer分析日誌

weixin_33858249發表於2017-11-16

利用EventlogAnalyzer分析日誌

ManageEngineEventLogAnalyzer是一個基於Web技術、實時的事件監控管理解決方案,能夠提高企業網路安全、減少工作站伺服器的當機事件。EventLog採用無代理的結構從分散式主機上收集事件日誌,也可以從UNIX主機、路由器交換機及其它網路裝置上收集日誌,並且生成圖形化報表,以便幫助分析提高網路效能。

利用Eventlog Analyzer分析Linux日誌
實驗拓撲圖

  1、伺服器端(192.168.150.149)安裝

    #./ManageEngine_EventLogAnalyzer.bin

  安裝過程非常簡單所有設定就按預設一路點下來就可以。系統安裝在/root/ManageEngine/EventLog目錄下。注意為了安全起見,在選擇協議時候要選擇HTTPS。

利用Eventlog Analyzer分析Linux日誌
圖2

  檢視EventLogAnalyzer服務狀態

    #/etc/init.d/eventloganalyzerstatus

  啟動服務:進入/root/ManageEngine/EventLog/bin/目錄下執行run.sh指令碼。然後在控制端瀏覽器上輸入https://localhost:8400/,首次登陸使用者名稱密碼分別為admin,admin

2、新增主機

  在如圖所示伺服器1上配置/etc/syslog.conf檔案

  加上一行:


  1. *.*@192.168.150.149

  然後重啟syslogd服務,日誌收集埠預設是514,如果修改埠可以編輯/etc/service檔案,找到Syslog514/udp這一行修改埠,但切記在EventLogAnalyzer新增主機時,必需輸入相同的埠號。

  設定完畢。登陸https://192.168.150.149/,在新建選項中選取新新增主機,加入IP和syslog監聽埠:514儲存即可,依次新增上你所要收集的所有網路裝置的IP。

利用Eventlog Analyzer分析Linux日誌

  備註:如果EventLogAnalyzer安裝在SUSELinux平臺上,請保證在<EventLogAnalyzer_Home>/server/default/deploy目錄下的mysql-ds.xml檔案配置正確,並且您需要將<connection-url>jdbc:mysql://localhost:33335/eventlog</connection-url>這行配置資訊修改為當前系統的IP地址和DNS。

  由於在正式環境部署日誌收集伺服器,需要收集伺服器及網路路由交換及防火牆等裝置的日誌,所以對消耗頻寬資源較大,尤其對資料庫的壓力更大,所以我們需要提高資料庫效能,提高MySql效能引數方法如下:

  編輯startDB.bat/sh檔案(位於<EventlogAnalyzer安裝目錄>\bin目錄下)中預設的引數,來提高Mysql的效能。

利用Eventlog Analyzer分析Linux日誌
記憶體分配參考表

  根據您系統記憶體分配情況來適當修改引數,具體位置下圖用游標標註。

利用Eventlog Analyzer分析Linux日誌

3、新增Cisco裝置

  配置Cisco交換機的系統日誌登入交換機。進入配置模式。

  鍵入以下命令配置交換機(此配置適用於Catalyst2900系列裝置)將系統日誌傳送到EventLogAnalyzer伺服器



  1. <Catalyst2900>#configterminal

  2. <Catalyst2900>(config)#logging<EventLogAnalyzerIP>

  對於最新版的Catalyst交換機:

    Catalyst6500(config)#setlogging

  我們也同樣可以配置其它項例如:日誌工具,trap通知等



  1. Catalyst6500(config)#loggingfacilitylocal7

  2. Catalyst6500(config)#loggingtrapnotifications

利用Eventlog Analyzer分析Linux日誌
圖3

141328405.png


圖4

  在管理介面的設定選項中有這非常細化的管理選項,包括主機/主機組的新增與管理,事件告警配置,事件分析儀引數設定,資料庫設定等能夠以非常友好的方式來進行配置,給日常工作繁忙的工程師們節約了不少時間。

利用Eventlog Analyzer分析Linux日誌
圖5

  在這張操控皮膚中反應了所有監控主機的日誌告警情況,並更具錯誤數量,和告警數量進行統計分類。當您需要檢視某一臺主機的某類日誌是隻要點選相應主機就能顯示出來。

141531869.png


圖6

140533614.png


圖7

140114340.png
圖8


140001566.png


在報表選項中可以非常詳細的統計或過濾出我們需要日誌,出了系統提供的模板意外使用者可以更具自己需要自定義報表,使輸出更加符合使用者的需求,並可以用不同格式(PDF,CSC)輸出,以便今後統計分析使用。

  當出現監控到的資訊時,會實時地傳送郵件給系統管理員,及時杜絕入侵者的各種入侵嘗試,保護系統的安全。日誌主機圖表化系統的建立,不但能夠有效提高日誌管理、分析及監測的效率,同時它也對於日誌資訊的安全保護起到了極為重要的作用,一方面它將各伺服器的日誌資訊在日誌主機上進行備份,同時也能夠有效防止入侵痕跡,為系統管理工作提供了極大的便利性,是有效保障系統安全的重要途徑之一。


 本文轉自 李晨光 51CTO部落格,原文連結:http://blog.51cto.com/chenguang/925298,如需轉載請自行聯絡原作者


相關文章