كيفية مراقبة ملفات السجل مع Graylog2 على ديبيان 9

كيفية مراقبة ملفات السجل مع Graylog2 على ديبيان 9

ففي العمل الجماعي, لكن أبسط, نتمنى أكثر وأكثر إنتاجية.

جرايلوج أداة لإدارة سجل الحرة والمفتوحة مصدر استناداً إلى جافا, الاستيكسيرتش ومونجودب التي يمكن استخدامها لجمع, فهرسة وتحليل أي سجل الملقم من موقع مركزي. يمكنك بسهولة رصد تسجيلات سة ونشاط غير عادي لتصحيح التطبيقات وسجلات باستخدام جرايلوج. جرايلوج يوفر لغة استعلام قوية, تنبيه قدرات, خط أنابيب معالجة لتحويل البيانات وأكثر من ذلك بكثير. يمكنك توسيع الأداء الوظيفي لجرايلوج من خلال واجهة برمجة تطبيقات الراحة والوظائف الإضافية.

جرايلوج تتكون من ثلاثة مكونات:

  1. الاستيكسيارتش: يقوم بتخزين كافة الرسائل الواردة وتوفير مرفق البحث.
  2. مونجودب: يتم استخدامه لقاعدة البيانات, يخزن تكوينات والمعلومات الوصفية.
  3. خادم جرايلوج: أنه يتلقى ومعالجة الرسائل من المدخلات المختلفة وتوفير واجهة ويب لتحليل ورصد.

في هذا البرنامج التعليمي, ونحن سوف يشرح كيفية تثبيت Graylog2 على ديبيان 9 خادم.

شرط أساسي

  • خادم يقوم بتشغيل ديبيان 9.
  • الحد الأدنى 4 جيجابايت من ذاكرة الوصول العشوائي.
  • عنوان IP ثابت 192.168.0.187 الإعداد على الملقم الخاص بك.

1 تثبيت الحزم المطلوبة

قبل البدء, وسوف تحتاج إلى تثبيت جافا 8 وغيرها من الحزم المطلوبة للنظام الخاص بك. ليس كل المطلوب تتوفر الحزم في ديبيان 9 مستودع القياسية, لذا سوف تحتاج إلى إضافة Backports ديبيان إلى قائمة مصدر الحزمة. الأولى, تسجيل الدخول مع المستخدم الجذر وإنشاء ملف backport.list:

نانو/etc/apt/sources.list.d/backport.list

أضف السطر التالي:

ديب http://ftp.debian.org/debian جيسي backports الرئيسية

حفظ الملف عند الانتهاء, قم بتحديث النظام الخاص بك باستخدام الأمر التالي:

الرابطة بين الحصول على التحديث--y
الرابطة بين الحصول على الترقية-y

بمجرد تحديث النظام الخاص بك, قم بتثبيت كافة حزم مع الأمر التالي:

الرابطة بين الحصول على تثبيت https النقل الرابطة بين openjdk-8-جرى-مقطوعة الرأس uuid وقت التشغيل بوجين-y

حالما يتم تثبيت كافة الحزم المطلوبة, يمكنك المتابعة لتثبيت مونجودب.

2 تثبيت مونجودب

مونجودب مطلوب لتخزين المعلومات الوصفية وتكوين. مونجودب متاح في ديبيان 9 المستودع الافتراضي, حتى تتمكن من تثبيت مونجودب بمجرد تشغيل الأمر التالي:

الرابطة بين الحصول على تثبيت ملقم مونجودب--y

حالما يتم تثبيت مونجودب, يمكنك المتابعة لتثبيت الاستيكسيارتش.

3 تثبيت الاستيكسيرتش

الاستيكسيارتش هو الأفعال كخادم بحث الذي يقوم بتخزين كافة السجلات المرسلة من قبل الملقم جرايلوج ويعرض الرسائل كلما طلب. الاستيكسيرتش غير متوفر في ديبيان 9 المستودع الافتراضي. سوف تحتاج إلى إضافة مستودع الاستيكسيرتش إلى مصدر حزمة دبيان.

الأولى, قم بتحميل وإضافة مفتاح GPG الاستيكسيرتش باستخدام الأمر التالي:

wget-qO – https://packages.elastic.co/GPG-KEY-elasticsearch | إضافة مفتاح شقة –

القادم, قم بإنشاء ملف الريبو الاستيكسيرتش باستخدام الأمر التالي:

نانو/etc/apt/sources.list.d/elasticsearch.list

أضف السطر التالي:

ديب https://packages.elastic.co/elasticsearch/2.x/debian مستقرة الرئيسية

حفظ الملف عند الانتهاء, قم بتحديث المستودع عن طريق تشغيل الأمر التالي:

الرابطة بين الحصول على التحديث--y

القادم, تثبيت الاستيكسيرتش عن طريق تشغيل الأمر التالي:

الرابطة بين الحصول على تثبيت الاستيكسيرتش-y

حالما يتم تثبيت الاستيكسيارتش, سوف تحتاج لتعديل ملف التكوين الرئيسي الاستيكسيرتش:

نانو/etc/elasticsearch/elasticsearch.yml

قم بإجراء التغييرات التالية:

cluster.name: graylog
network.host: 192.168.0.187
discovery.zen.ping.timeout: 10s
discovery.zen.ping.multicast.enabled: false
discovery.zen.ping.unicast.hosts: ["192.168.0.187:9300"]

احفظ وأغلق الملف عند الانتهاء, ثم بدء تشغيل خدمة الاستيكسيارتش وتمكينها من بدء في التمهيد:

سيستيمكتل ابدأ الاستيكسيرتش
تمكين سيستيمكتل الاستيكسيرتش

وبعد بضع ثوان, قم بتشغيل الإجراءات التالية لاختبار هذا الاستيكسيرتش يعمل بشكل صحيح:

كورل-إكسجيت ' http://192.168.0.187:9200/_cluster/الصحة؟ جميلة = true’

تأكد من الإخراج يبين حالة الكتلة “الأخضر”:

{
  "cluster_name" : "graylog",
  "status" : "green",
  "timed_out" : false,
  "number_of_nodes" : 1,
  "number_of_data_nodes" : 1,
  "active_primary_shards" : 1,
  "active_shards" : 1,
  "relocating_shards" : 0,
  "initializing_shards" : 0,
  "unassigned_shards" : 1,
  "delayed_unassigned_shards" : 0,
  "number_of_pending_tasks" : 0,
  "number_of_in_flight_fetch" : 0,
  "task_max_waiting_in_queue_millis" : 0,
  "active_shards_percent_as_number" : 50.0
}

حالما يتم تثبيت الاستيكسيرتش وتعمل بشكل جيد, يمكنك المتابعة إلى الخطوة التالية.

4 تثبيت جرايلوج

جرايلوج غير متوفر في ديبيان 9 المستودع الافتراضي, لذا سوف تحتاج إلى تحميل وتثبيت جرايلوج 2 المستودع الأول. يمكنك القيام بذلك عن طريق تشغيل الأمر التالي:

wget https://packages.graylog2.org/repo/packages/graylog-2.2-repository_latest.deb
dpkg-i جرايلوج-2، 2--repository_latest.deb

حالما يتم تثبيت المستودع, تحديث المستودع وتثبيت خادم جرايلوج باستخدام الأمر التالي:

الرابطة بين الحصول على التحديث--y
الرابطة بين الحصول على تثبيت ملقم جرايلوج--y

بعد تثبيت جرايلوج, وسوف تحتاج إلى تعيين سراً لتأمين كلمات المرور المستخدم وأيضا تعيين كلمة مرور تجزئة (sha256) للمستخدم الجذر.

الأولى, إنشاء password_secret باستخدام الأمر التالي:

بوجين-N 1 -s 96

يجب أن تشاهد الإخراج التالي:

TRXbNPoW4gGC8BN8Gzl4wH3jtfLoi06WCJqia18UtYyPaNLx4r8U7jUPRlIJHoGGxrCjZVqAvW2DcueI6N1zHoy2bKEWLyyC

القادم, إنشاء تجزئة كلمة مرور المستخدم الجذر باستخدام الأمر التالي:

صدى يورادمينباسوورد-n | sha256sum

يجب أن تشاهد الإخراج التالي:

e3c5925aa22abdfa18cf197a7b218fcad31acb6409d2e2dbebae807d3a9750ee

ملاحظة: تذكر كلمة السر الرئيسية على حد سواء, لكل مفتاح سوف تحتاج إلى تكوين في server.conf.

القادم, سوف تحتاج لتعديل ملف التكوين الرئيسي الملقم جرايلوج الموجود في/إلخ/جرايلوج/الخادم/الدليل:

نانو/etc/graylog/server/server.conf

قم بإجراء التغييرات التالية:

is_master = true
node_id_file = /etc/graylog/server/node-id
########past-your-password-secret-here#########
password_secret = TRXbNPoW4gGC8BN8Gzl4wH3jtfLoi06WCJqia18UtYyPaNLx4r8U7jUPRlIJHoGGxrCjZVqAvW2DcueI6N1zHoy2bKEWLyyC
root_username = admin
#######past-your-root-hash-password-here##########
root_password_sha2 = e3c5925aa22abdfa18cf197a7b218fcad31acb6409d2e2dbebae807d3a9750ee
root_timezone = UTC
plugin_dir = /usr/share/graylog-server/plugin
rest_listen_uri = http://0.0.0.0:9000/api/
rest_enable_cors = true
web_listen_uri = http://0.0.0.0:9000/
rotation_strategy = count
elasticsearch_max_docs_per_index = 20000000
elasticsearch_max_number_of_indices = 7
retention_strategy = delete
elasticsearch_shards = 4
elasticsearch_replicas = 1
elasticsearch_index_prefix = graylog
allow_leading_wildcard_searches = true
allow_highlighting = false
elasticsearch_cluster_name = graylog
elasticsearch_discovery_zen_ping_unicast_hosts = 192.168.0.187:9300
elasticsearch_http_enabled = false
elasticsearch_network_host = 0.0.00
elasticsearch_discovery_initial_state_timeout = 3s
elasticsearch_analyzer = standard
output_batch_size = 500
output_flush_interval = 1
output_fault_count_threshold = 5
output_fault_penalty_seconds = 30
processbuffer_processors = 5
outputbuffer_processors = 3
processor_wait_strategy = blocking
ring_size = 65536
inputbuffer_ring_size = 65536
inputbuffer_processors = 2
inputbuffer_wait_strategy = blocking
message_journal_enabled = true
message_journal_dir = /var/lib/graylog-server/journal
async_eventbus_processors = 2
lb_recognition_period_seconds = 3
alert_check_interval = 60
mongodb_uri = mongodb://localhost/graylog
mongodb_max_connections = 1000
mongodb_threads_allowed_to_block_multiplier = 5
content_packs_dir = /usr/share/graylog-server/contentpacks
content_packs_auto_load = grok-patterns.json
proxied_requests_thread_pool_size = 32

احفظ وأغلق الملف عند الانتهاء, ثم بدء تشغيل خدمة جرايلوج وتمكينها من بدء في التمهيد:

سيستيمكتل بدء تشغيل خادم جرايلوج
سيستيمكتل تمكين خادم جرايلوج

وبمجرد الانتهاء, يمكنك المتابعة إلى الخطوة التالية

5 تكوين جدار الحماية

بشكل افتراضي, واجهة ويب جرايلوج يتم الاستماع على منفذ 9000, لذا سوف تحتاج إلى السماح للمنفذ 9000 من خلال جدار حماية UFW. لم يتم تثبيت جدار حماية يوفو في ديبيان 9. لذا سوف تحتاج إلى تثبيته أولاً. يمكنك تثبيته بواسطة تشغيل الأمر التالي:

الرابطة بين الحصول على تثبيت يوفو-y

حالما يتم تثبيت يوفو, تمكينها بواسطة تشغيل الأمر التالي؛

تمكين يوفو

القادم, يسمح منفذ 9000 من خلال جدار حماية يوفو عن طريق تشغيل الأمر التالي:

السماح يوفو 9000

يمكنك التحقق من حالة جدار الحماية يوفو أي وقت عن طريق تشغيل الأمر التالي.

مركز يوفو

حالما يتم تكوين جدار الحماية, يمكنك المتابعة إلى الخطوة التالية.

6 واجهة ويب جرايلوج الوصول

واجهة ويب جرايلوج يتم الاستماع على منفذ 9000. الآن, فتح مستعرض ويب الخاص بك، واكتب عنوان URL http://192.168.0.187:9000, يجب أن تشاهد الشاشة التالية:

واجهة جرايلوج

تسجيل الدخول باسم المستخدم “المشرف” وكلمة المرور التي تم تكوينها في root_password_sha2 في server.conf. يجب أن تشاهد الشاشة التالية:

جرايلوج الشروع في العمل

القادم, سوف تحتاج إلى إضافة الإدخال استخدام UDP رسالة syslog. لإضافة الإدخال, انقر فوق النظام-> تحديد المدخلات-> Syslog UDP-> انقر فوق زر بدء الإدخال الجديد, يجب أن تشاهد الشاشة التالية:

إضافة مصدر الإدخال في جرايلوج

تملأ جميع التفاصيل مثل العنوان, منفذ, ربط عنوان، وأخيراً انقر على الزر حفظ, يجب أن تشاهد الشاشة التالية:

تفاصيل مصدر السجل

الآن سوف تتلقى الملقم جرايلوج سجلات النظام باستخدام منفذ 8514 من العميل أو الخادم.

على نظام العميل, سوف تحتاج إلى تكوين رسيسلوج حيث أنها سوف ترسل رسائل سجلات النظام على الملقم جرايلوج. يمكنك القيام بذلك عن طريق تحرير الملف rsyslog.conf:

نانو/etc/rsyslog.conf

أضف الأسطر التالية:

# provides UDP syslog reception
$ModLoad imudp
$UDPServerRun 8514
$قالب GRAYLOGRFC5424,"%protocol-version% %timestamp:::date-rfc3339% %HOSTNAME% %app-name% %procid% %msg%n"
*.* @192.168.0.187:8514؛ GRAYLOGRFC5424

قم بحفظ الملف ثم إعادة تشغيل خدمة رسيسلوج لتطبيق هذه التغييرات:

سيستيمكتل إعادة تشغيل رسيسلوج

القادم, انقر فوق الملقم جرايلوج في “مصادر جرايلوج” يمكنك أن ترى سة تسجيل محاولات تسجيل الدخول الفاشلة في الشاشة التالية.

شاشة تسجيل دخول محاولات مع جرايلوج

الاستنتاج

تهانينا! قمت بنجاح بتثبيت وتكوين خادم جرايلوج على ديبيان 9. يمكنك الآن مشاهدة بسهولة تحليل سجلات النظام من الموقع المركزي وسجلات. يمكنك أيضا تخصيص جرايلوج وإرسال نوع آخر من سجلات وفقا للحاجة الخاصة بك. يمكنك الحصول على مزيد من المعلومات من صفحة الوثائق جرايلوج http://docs.graylog.org/en/2.2/pages/getting_started.html. لا تتردد في التعليق لي إذا كان لديك أي أسئلة.

المصدر