كيفية مراقبة ملفات السجل مع Graylog2 على ديبيان 9

كيفية مراقبة ملفات السجل مع Graylog2 على ديبيان 9

ففي العمل الجماعي, لكن أبسط, نتمنى أكثر وأكثر إنتاجية.

جرايلوج أداة لإدارة سجل الحرة والمفتوحة مصدر استناداً إلى جافا, الاستيكسيرتش ومونجودب التي يمكن استخدامها لجمع, فهرسة وتحليل أي سجل الملقم من موقع مركزي. يمكنك بسهولة رصد تسجيلات سة ونشاط غير عادي لتصحيح التطبيقات وسجلات باستخدام جرايلوج. جرايلوج يوفر لغة استعلام قوية, تنبيه قدرات, خط أنابيب معالجة لتحويل البيانات وأكثر من ذلك بكثير. يمكنك توسيع الأداء الوظيفي لجرايلوج من خلال واجهة برمجة تطبيقات الراحة والوظائف الإضافية.

جرايلوج تتكون من ثلاثة مكونات:

  1. الاستيكسيارتش: يقوم بتخزين كافة الرسائل الواردة وتوفير مرفق البحث.
  2. مونجودب: يتم استخدامه لقاعدة البيانات, يخزن تكوينات والمعلومات الوصفية.
  3. خادم جرايلوج: أنه يتلقى ومعالجة الرسائل من المدخلات المختلفة وتوفير واجهة ويب لتحليل ورصد.

في هذا البرنامج التعليمي, ونحن سوف يشرح كيفية تثبيت Graylog2 على ديبيان 9 خادم.

شرط أساسي

  • خادم يقوم بتشغيل ديبيان 9.
  • الحد الأدنى 4 جيجابايت من ذاكرة الوصول العشوائي.
  • عنوان IP ثابت 192.168.0.187 الإعداد على الملقم الخاص بك.

1 تثبيت الحزم المطلوبة

قبل البدء, وسوف تحتاج إلى تثبيت جافا 8 وغيرها من الحزم المطلوبة للنظام الخاص بك. ليس كل المطلوب تتوفر الحزم في ديبيان 9 مستودع القياسية, لذا سوف تحتاج إلى إضافة Backports ديبيان إلى قائمة مصدر الحزمة. الأولى, تسجيل الدخول مع المستخدم الجذر وإنشاء ملف backport.list:

نانو/etc/apt/sources.list.d/backport.list

أضف السطر التالي:

ديب http://ftp.debian.org/debian جيسي backports الرئيسية

حفظ الملف عند الانتهاء, قم بتحديث النظام الخاص بك باستخدام الأمر التالي:

الرابطة بين الحصول على التحديث--y
الرابطة بين الحصول على الترقية-y

بمجرد تحديث النظام الخاص بك, قم بتثبيت كافة حزم مع الأمر التالي:

الرابطة بين الحصول على تثبيت https النقل الرابطة بين openjdk-8-جرى-مقطوعة الرأس uuid وقت التشغيل بوجين-y

حالما يتم تثبيت كافة الحزم المطلوبة, يمكنك المتابعة لتثبيت مونجودب.

2 تثبيت مونجودب

مونجودب مطلوب لتخزين المعلومات الوصفية وتكوين. مونجودب متاح في ديبيان 9 المستودع الافتراضي, حتى تتمكن من تثبيت مونجودب بمجرد تشغيل الأمر التالي:

الرابطة بين الحصول على تثبيت ملقم مونجودب--y

حالما يتم تثبيت مونجودب, يمكنك المتابعة لتثبيت الاستيكسيارتش.

3 تثبيت الاستيكسيرتش

الاستيكسيارتش هو الأفعال كخادم بحث الذي يقوم بتخزين كافة السجلات المرسلة من قبل الملقم جرايلوج ويعرض الرسائل كلما طلب. الاستيكسيرتش غير متوفر في ديبيان 9 المستودع الافتراضي. سوف تحتاج إلى إضافة مستودع الاستيكسيرتش إلى مصدر حزمة دبيان.

الأولى, قم بتحميل وإضافة مفتاح GPG الاستيكسيرتش باستخدام الأمر التالي:

wget-qO – https://packages.elastic.co/GPG-KEY-elasticsearch | إضافة مفتاح شقة –

القادم, قم بإنشاء ملف الريبو الاستيكسيرتش باستخدام الأمر التالي:

نانو/etc/apt/sources.list.d/elasticsearch.list

أضف السطر التالي:

ديب https://packages.elastic.co/elasticsearch/2.x/debian مستقرة الرئيسية

حفظ الملف عند الانتهاء, قم بتحديث المستودع عن طريق تشغيل الأمر التالي:

الرابطة بين الحصول على التحديث--y

القادم, تثبيت الاستيكسيرتش عن طريق تشغيل الأمر التالي:

الرابطة بين الحصول على تثبيت الاستيكسيرتش-y

حالما يتم تثبيت الاستيكسيارتش, سوف تحتاج لتعديل ملف التكوين الرئيسي الاستيكسيرتش:

نانو/etc/elasticsearch/elasticsearch.yml

قم بإجراء التغييرات التالية:

cluster.name: network.host جرايلوج: 192.168.0.187
discovery.zen.ping.timeout: 10s
discovery.zen.ping.multicast.enabled: false
discovery.zen.ping.unicast.hosts: ["192.168.0.187:9300"]

احفظ وأغلق الملف عند الانتهاء, ثم بدء تشغيل خدمة الاستيكسيارتش وتمكينها من بدء في التمهيد:

سيستيمكتل ابدأ الاستيكسيرتش
تمكين سيستيمكتل الاستيكسيرتش

وبعد بضع ثوان, قم بتشغيل الإجراءات التالية لاختبار هذا الاستيكسيرتش يعمل بشكل صحيح:

كورل-إكسجيت ' http://192.168.0.187:9200/_cluster/الصحة؟ جميلة = true’

تأكد من الإخراج يبين حالة الكتلة “الأخضر”:

{
  "cluster_name" : "graylog",
  "status" : "green",
  "timed_out" : false,
  "number_of_nodes" : 1,
  "number_of_data_nodes" : 1,
  "active_primary_shards" : 1,
  "active_shards" : 1,
  "relocating_shards" : 0,
  "initializing_shards" : 0,
  "unassigned_shards" : 1,
  "delayed_unassigned_shards" : 0,
  "number_of_pending_tasks" : 0,
  "number_of_in_flight_fetch" : 0,
  "task_max_waiting_in_queue_millis" : 0,
  "active_shards_percent_as_number" : 50.0
}

حالما يتم تثبيت الاستيكسيرتش وتعمل بشكل جيد, يمكنك المتابعة إلى الخطوة التالية.

4 تثبيت جرايلوج

جرايلوج غير متوفر في ديبيان 9 المستودع الافتراضي, لذا سوف تحتاج إلى تحميل وتثبيت جرايلوج 2 المستودع الأول. يمكنك القيام بذلك عن طريق تشغيل الأمر التالي:

wget https://packages.graylog2.org/repo/packages/graylog-2.2-repository_latest.deb
dpkg-i جرايلوج-2، 2--repository_latest.deb

حالما يتم تثبيت المستودع, تحديث المستودع وتثبيت خادم جرايلوج باستخدام الأمر التالي:

الرابطة بين الحصول على التحديث--y
الرابطة بين الحصول على تثبيت ملقم جرايلوج--y

بعد تثبيت جرايلوج, وسوف تحتاج إلى تعيين سراً لتأمين كلمات المرور المستخدم وأيضا تعيين كلمة مرور تجزئة (sha256) للمستخدم الجذر.

الأولى, إنشاء password_secret باستخدام الأمر التالي:

بوجين-N 1 -s 96

يجب أن تشاهد الإخراج التالي:

TRXbNPoW4gGC8BN8Gzl4wH3jtfLoi06WCJqia18UtYyPaNLx4r8U7jUPRlIJHoGGxrCjZVqAvW2DcueI6N1zHoy2bKEWLyyC

القادم, إنشاء تجزئة كلمة مرور المستخدم الجذر باستخدام الأمر التالي:

صدى يورادمينباسوورد-n | sha256sum

يجب أن تشاهد الإخراج التالي:

e3c5925aa22abdfa18cf197a7b218fcad31acb6409d2e2dbebae807d3a9750ee

ملاحظة: تذكر كلمة السر الرئيسية على حد سواء, لكل مفتاح سوف تحتاج إلى تكوين في server.conf.

القادم, سوف تحتاج لتعديل ملف التكوين الرئيسي الملقم جرايلوج الموجود في/إلخ/جرايلوج/الخادم/الدليل:

نانو/etc/graylog/server/server.conf

قم بإجراء التغييرات التالية:

is_master = true node_id_file =/etc/graylog/server/node-id ###past--الخاص بك-كلمة المرور-سر-هنا # # # password_secret = TRXbNPoW4gGC8BN8Gzl4wH3jtfLoi06WCJqia18UtYyPaNLx4r8U7jUPRlIJHoGGxrCjZVqAvW2DcueI6N1zHoy2bKEWLyyC root_ اسم المستخدم = المشرف ###past-your-root-hash-password-here### root_password_sha2 = e3c5925aa22abdfa18cf197a7b218fcad31acb6409d2e2dbebae807d3a9750ee root_timezone = UTC plugin_dir =/usr/share/graylog-server/plugin rest_listen_uri = http://0.0.0.0:9000/api/rest_enable_cors = true web_listen_uri = http://0.0.0.0:9000/rotation_strategy = elasticsearch_max_docs_per_index عد = 20000000
elasticsearch_max_number_of_indices = 7
retention_strategy = حذف elasticsearch_shards = 4
elasticsearch_replicas = 1
elasticsearch_index_prefix = allow_leading_wildcard_searches جرايلوج = true allow_highlighting = false elasticsearch_cluster_name = elasticsearch_discovery_zen_ping_unicast_hosts جرايلوج = 192.168.0.187: 9300 elasticsearch_http_enabled = false elasticsearch_network_host = 0.0.00
elasticsearch_discovery_initial_state_timeout = 3s elasticsearch_analyzer = output_batch_size القياسية = 500
output_flush_interval = 1
output_fault_count_threshold = 5
output_fault_penalty_seconds = 30
processbuffer_processors = 5
outputbuffer_processors = 3
processor_wait_strategy = ring_size حظر = 65536
inputbuffer_ring_size = 65536
inputbuffer_processors = 2
inputbuffer_wait_strategy = message_journal_enabled حظر = true message_journal_dir =/var/lib/graylog-server/journal async_eventbus_processors = 2
lb_recognition_period_seconds = 3
alert_check_interval = 60
mongodb_uri = mongodb://localhost/graylog mongodb_max_connections = 1000
mongodb_threads_allowed_to_block_multiplier = 5
content_packs_dir =/usr/share/graylog-server/contentpacks content_packs_auto_load = proxied_requests_thread_pool_size patterns.json جروك = 32

احفظ وأغلق الملف عند الانتهاء, ثم بدء تشغيل خدمة جرايلوج وتمكينها من بدء في التمهيد:

سيستيمكتل بدء تشغيل خادم جرايلوج
سيستيمكتل تمكين خادم جرايلوج

وبمجرد الانتهاء, يمكنك المتابعة إلى الخطوة التالية

5 تكوين جدار الحماية

بشكل افتراضي, واجهة ويب جرايلوج يتم الاستماع على منفذ 9000, لذا سوف تحتاج إلى السماح للمنفذ 9000 من خلال جدار حماية UFW. لم يتم تثبيت جدار حماية يوفو في ديبيان 9. لذا سوف تحتاج إلى تثبيته أولاً. يمكنك تثبيته بواسطة تشغيل الأمر التالي:

الرابطة بين الحصول على تثبيت يوفو-y

حالما يتم تثبيت يوفو, تمكينها بواسطة تشغيل الأمر التالي؛

تمكين يوفو

القادم, يسمح منفذ 9000 من خلال جدار حماية يوفو عن طريق تشغيل الأمر التالي:

السماح يوفو 9000

يمكنك التحقق من حالة جدار الحماية يوفو أي وقت عن طريق تشغيل الأمر التالي.

مركز يوفو

حالما يتم تكوين جدار الحماية, يمكنك المتابعة إلى الخطوة التالية.

6 واجهة ويب جرايلوج الوصول

واجهة ويب جرايلوج يتم الاستماع على منفذ 9000. الآن, فتح مستعرض ويب الخاص بك، واكتب عنوان URL http://192.168.0.187:9000, يجب أن تشاهد الشاشة التالية:

واجهة جرايلوج

تسجيل الدخول باسم المستخدم “المشرف” وكلمة المرور التي تم تكوينها في root_password_sha2 في server.conf. يجب أن تشاهد الشاشة التالية:

جرايلوج الشروع في العمل

القادم, سوف تحتاج إلى إضافة الإدخال استخدام UDP رسالة syslog. لإضافة الإدخال, انقر فوق النظام-> تحديد المدخلات-> Syslog UDP-> انقر فوق زر بدء الإدخال الجديد, يجب أن تشاهد الشاشة التالية:

إضافة مصدر الإدخال في جرايلوج

تملأ جميع التفاصيل مثل العنوان, منفذ, ربط عنوان، وأخيراً انقر على الزر حفظ, يجب أن تشاهد الشاشة التالية:

تفاصيل مصدر السجل

الآن سوف تتلقى الملقم جرايلوج سجلات النظام باستخدام منفذ 8514 من العميل أو الخادم.

على نظام العميل, سوف تحتاج إلى تكوين رسيسلوج حيث أنها سوف ترسل رسائل سجلات النظام على الملقم جرايلوج. يمكنك القيام بذلك عن طريق تحرير الملف rsyslog.conf:

نانو/etc/rsyslog.conf

أضف الأسطر التالية:

# يوفر UDP syslog الاستقبال $ModLoad إيمودب $UDPServerRun 8514
$قالب GRAYLOGRFC5424,"%protocol-version% %timestamp:::date-rfc3339% %HOSTNAME% %app-name% %procid% %msg%n"
*.* @192.168.0.187:8514؛ GRAYLOGRFC5424

قم بحفظ الملف ثم إعادة تشغيل خدمة رسيسلوج لتطبيق هذه التغييرات:

سيستيمكتل إعادة تشغيل رسيسلوج

القادم, انقر فوق الملقم جرايلوج في “مصادر جرايلوج” يمكنك أن ترى سة تسجيل محاولات تسجيل الدخول الفاشلة في الشاشة التالية.

شاشة تسجيل دخول محاولات مع جرايلوج

الاستنتاج

تهانينا! قمت بنجاح بتثبيت وتكوين خادم جرايلوج على ديبيان 9. يمكنك الآن مشاهدة بسهولة تحليل سجلات النظام من الموقع المركزي وسجلات. يمكنك أيضا تخصيص جرايلوج وإرسال نوع آخر من سجلات وفقا للحاجة الخاصة بك. يمكنك الحصول على مزيد من المعلومات من صفحة الوثائق جرايلوج http://docs.graylog.org/en/2.2/pages/getting_started.html. لا تتردد في التعليق لي إذا كان لديك أي أسئلة.

المصدر

استجابة واحدة

  1. ناثانيل سيمتش دي مورايس

اترك رد