讲一下实施环境。三台虚拟机，一台安装数据库，一台配置为rsyslog服务器，同时做备份服务器，最后一台安装apache和loganalyzer。

1、数据库服务器安装mariadb

yum install mariadb-server
systemctl start mariadb.service
#运行安全脚本
mysql_secure_installation 

2、日志服务器修改配置文件
日志服务器自身已有rsyslog，但默认不接受其他主机传来的日志信息。只需要稍微修改下配置文件，加载TCP、UDP模块，监听端口，就可以接收其他主机传来的日志信息。

# 我只加载了UDP模块
# Provides UDP syslog reception
$ModLoad imudp
$UDPServerRun 514

# Provides TCP syslog reception
#$ModLoad imtcp
#$InputTCPServerRun 514

Rsyslog默认将日志文件存储在本地，可以通过配置文件改为存储在MySQL数据库中。需要安装rsyslog-mysql软件包。

 yum install rsyslog-mysql mariadb
 rpm -ql rsyslog-mysql
#上面命令可以看到生成2个文件。一个是模块、一个是初始化数据库的SQL语句
[root@syslog-centos ~]#  rpm -ql rsyslog-mysql
/usr/lib64/rsyslog/ommysql.so
/usr/share/doc/rsyslog-8.24.0/mysql-createDB.sql

3、在数据库服务器上创建用户

[axing@mysql-cfl ~]$ mysql -u root -p
Enter password:
Welcome to the MariaDB monitor.  Commands end with ; or \g.
Your MariaDB connection id is 83
Server version: 5.5.60-MariaDB MariaDB Server

Copyright (c) 2000, 2018, Oracle, MariaDB Corporation Ab and others.

Type 'help;' or '\h' for help. Type '\c' to clear the current input statement.

[axing@mysql-cfl ~]$ mysql -u root -p
Enter password:
Welcome to the MariaDB monitor.  Commands end with ; or \g.
Your MariaDB connection id is 83
Server version: 5.5.60-MariaDB MariaDB Server

Copyright (c) 2000, 2018, Oracle, MariaDB Corporation Ab and others.

Type 'help;' or '\h' for help. Type '\c' to clear the current input statement.

MariaDB [(none)]> grant all on Syslog.* to loguser@'xx.xxx.xxx.%' identified by 'password';
#这里填写日志服务器地址，创建loguser用户和设定密码

4、现在可以在日志服务器上通过MYSQL创建日志数据库了

mysql -uloguser -ppassword -hxx.xxx.xxx.xxx < /usr/share/doc/rsyslog-8.24.0/mysql-createDB.sql

前面都没错的话，现在数据库服务器里就有Syslog数据库了

MariaDB [(none)]> show databases;
+--------------------+
| Database           |
+--------------------+
| information_schema |
| Syslog             |
| mysql              |
| performance_schema |
+--------------------+
4 rows in set (0.00 sec)

MariaDB [(none)]>

5、日志服务器修改配置文件链接数据库
同样是更改/etc/rsyslog.conf

#要放在#### GLOBAL DIRECTIVES ####前面，
#增加数据库模块：
$ModLoad ommysql
#### RULES ####
*.info;mail.none;authpriv.none;cron.none
*.*          :ommysql:xx.xxx.xxx.xxx,Syslog,loguser,passwd

重启服务 systemctl restart rsyslog
这时logger触发日志时，日志服务器将会把日志写入远程数据库Syslog里。
6、WEB服务器安装loganalyzer
先安装httpd和php

[root@syslog-http axing]# yum install httpd php php-mysql php-gd
[root@syslog-http axing]# systemctl start httpd

下载解压loganalyzer软件，现在是4.1.7稳定版

[root@syslog-http ~]# wget http://download.adiscon.com/loganalyzer/loganalyzer-4.1.7.tar.gz
--2019-02-05 19:30:43--  http://download.adiscon.com/loganalyzer/loganalyzer-4.1.7.tar.gz
Resolving download.adiscon.com (download.adiscon.com)... 138.201.116.127, 2a01:4f8:c17:44a6::2
Connecting to download.adiscon.com (download.adiscon.com)|138.201.116.127|:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 2869395 (2.7M) [application/x-gzip]
Saving to: ‘loganalyzer-4.1.7.tar.gz’

100%[==============================================>] 2,869,395   --.-K/s   in 0.1s

2019-02-05 19:30:43 (21.6 MB/s) - ‘loganalyzer-4.1.7.tar.gz’ saved [2869395/2869395]

[root@syslog-http ~]# tar xzvf loganalyzer-4.1.7.tar.gz

[root@syslog-http ~]# cd loganalyzer-4.1.7/
[root@syslog-http loganalyzer-4.1.7]# ls
ChangeLog  contrib  COPYING  doc  INSTALL  src
[root@syslog-http loganalyzer-4.1.7]# mv src/ /var/www/html/log/

现在我们已经把软件安装到了/var/www/html/log/目录下，看一下安装软件要我们做什么

[root@syslog-http log]# cat /root/loganalyzer-4.1.7/contrib/configure.sh
#!/bin/sh

touch config.php
chmod 666 config.php
#需要创建一个空配置文件，照做

然后访问web服务器，http://<IP address>/log/install.php， 图形化安装界面很简单，填好数据库信息，几步就好了。
再去访问http://<IP address>/log/，就可以看到软件界面了。

另外还有一个文件：

[axing@syslog-http ~]$ sudo cat /root/loganalyzer-4.1.7/contrib/secure.sh
#!/bin/sh
chmod 644 config.php

意思为了安全，安装完以后改一下/var/www/html/log/config.php的权限。

至此，服务器部分就全部搞定了，下面简单列一下主机和路由器发送日志的配置案例。
服务器：

vim /etc/rsyslog.conf
#在这之前#### GLOBAL DIRECTIVES ####增加
*.info;mail.none;authpriv.none;cron.none                @xx.xxx.xxx.84
*.info;mail.none;authpriv.none;cron.none                 /var/log/messages
authpriv.*                                    /var/log/secure
mail.*                                        /var/log/maillog
cron.*                                        /var/log/cron
*.emerg                                       *
uucp,news.crit                          /var/log/spooler
local7.*                                      /var/log/boot.log

重启服务systemctl restart rsyslog
Huawei 路由器用info-center命令
info-center loghost xx.xxx.xxx.xx
仅供参考