Jak sledovat soubory protokolů s Graylog2 na Debian 9

Jak sledovat soubory protokolů s Graylog2 na Debian 9

Je to týmová práce, ale jednodušší, příjemnější a produktivnější.

Graylog je svobodný a open source nástroj pro správu protokolu založené na jazyce Java, Elasticsearch a MongoDB, který lze použít ke shromažďování, terapeutický index a analyzovat jakýkoli protokol serveru z jednoho umístění. Můžete snadno sledovat SSH přihlášení a neobvyklou aktivitu pro ladění aplikace a protokoly pomocí Graylog. Graylog poskytuje výkonný dotazovací jazyk, Upozornění schopnosti, kanál pro zpracování pro transformaci dat a mnoho dalšího. Můžete rozšířit funkce Graylog prostřednictvím rozhraní REST API a doplňky.

Graylog se skládá ze tří složek:

  1. Elasticsearch: Uloží všechny příchozí zprávy a poskytují vyhledávání zařízení.
  2. MongoDB: Se používá pro databáze, ukládá konfiguraci a meta informace.
  3. Graylog server: přijímá a zpracovává zprávy z různých vstupů a poskytuje webové rozhraní pro analýzu a sledování.

V tomto kurzu, Budeme vysvětlovat, jak k instalaci Graylog2 na Debian 9 Serveru.

Předpokladem

  • Server se službou Debian 9.
  • Minimální 4 GB RAM.
  • Statická IP adresa 192.168.0.187 instalace na vašem serveru.

1 Nainstalujte požadované balíčky

Před zahájením, budete muset nainstalovat software Java 8 a jiné požadované balíčky do systému. Ne všechny nezbytné balíčky jsou k dispozici v Debianu 9 standardní úložiště, Takže budete muset přidat do seznamu zdroj balíčku Debian Backports. První, přihlášení s uživatelem root a vytvořit soubor backport.list:

Nano /etc/apt/sources.list.d/backport.list

Přidejte následující řádek:

deb http://ftp.debian.org/debian jessie-backports main

Po dokončení uložte soubor, pak aktualizujte systém pomocí následujícího příkazu:

apt-get update -y
apt-get upgrade -y

Jakmile je váš systém aktuální, instalace všech balíčků pomocí následujícího příkazu:

apt-get install apt přenosu https openjdk-8-jre bezhlavý uuid-runtime pwgen -y

Jakmile jsou nainstalovány všechny požadované balíčky, můžete pokračovat v instalaci MongoDB.

2 Instalace MongoDB

MongoDB je povinna ukládat konfiguraci a meta informace. MongoDB je k dispozici v Debian 9 Výchozí úložiště, MongoDB je mohli nainstalovat spuštěním následujícího příkazu:

apt-get instalace mongodb-server - y

Jakmile je nainstalována MongoDB, můžete pokračovat v instalaci Elasticsearch.

3 Instalace Elasticsearch

Elasticsearch je působí jako vyhledávací server, který ukládá všechny protokoly, které jsou odeslané serverem Graylog a zobrazí zprávy při každém požadavku. Elasticsearch není k dispozici v Debian 9 Výchozí úložiště. Budete muset přidat repozitář Elasticsearch ke zdroji balíčku Debianu.

První, Stáhněte a přidejte Elasticsearch GPG klíč pomocí následujícího příkazu:

wget - qO – https://Packages.Elastic.co/GPG-Key-Elasticsearch | apt klíč přidat –

Další, Vytvořte soubor repo Elasticsearch následujícím příkazem:

Nano /etc/apt/sources.list.d/elasticsearch.list

Přidejte následující řádek:

Deb https://packages.elastic.co/elasticsearch/2.x/debian stabilní hlavní

Uložte soubor po dokončení, potom aktualizujte úložiště spuštěním následujícího příkazu:

apt-get update -y

Další, instalace Elasticsearch spuštěním následujícího příkazu:

apt-get install elasticsearch -y

Jakmile je nainstalována Elasticsearch, budete potřebovat upravit Elasticsearch hlavní konfigurační soubor:

Nano /etc/elasticsearch/elasticsearch.yml

Proveďte následující změny:

cluster.Name: graylog network.host: 192.168.0.187
discovery.zen.ping.timeout: 10s
discovery.zen.ping.multicast.enabled: false
discovery.zen.ping.unicast.hosts: ["192.168.0.187:9300"]

Uložte a zavřete soubor po dokončení, potom spusťte službu Elasticsearch a povolte tak, aby při startu:

systemctl start elasticsearch
systemctl enable elasticsearch

Po několika vteřinách, Spusťte následující testování tohoto Elasticsearch běží správně:

Curl - XGET ' http://192.168.0.187:9200/_cluster/zdraví? docela = true’

Ujistěte se, že výstup ukazuje stav clusteru jako “zelená”:

{
  "cluster_name" : "graylog",
  "status" : "green",
  "timed_out" : false,
  "number_of_nodes" : 1,
  "number_of_data_nodes" : 1,
  "active_primary_shards" : 1,
  "active_shards" : 1,
  "relocating_shards" : 0,
  "initializing_shards" : 0,
  "unassigned_shards" : 1,
  "delayed_unassigned_shards" : 0,
  "number_of_pending_tasks" : 0,
  "number_of_in_flight_fetch" : 0,
  "task_max_waiting_in_queue_millis" : 0,
  "active_shards_percent_as_number" : 50.0
}

Jakmile je nainstalován Elasticsearch a funguje bez problémů, můžete přejít k dalšímu kroku.

4 Instalace Graylog

Graylog není k dispozici v Debian 9 Výchozí úložiště, Takže budete muset stáhnout a nainstalovat Graylog 2 úložiště první. Lze provést spuštěním následujícího příkazu:

wget https://packages.graylog2.org/repo/packages/graylog-2.2-repository_latest.deb
dpkg -i graylog 2,2 repository_latest.deb

Jakmile je nainstalován úložiště, aktualizujte úložiště a nainstalujte Graylog server pomocí následujícího příkazu:

apt-get update -y
apt-get install graylog-server - y

Po instalaci Graylog, budete muset nastavit tajný klíč k zabezpečení uživatelských hesel a také nastavit hash (sha256) heslo pro uživatele root.

První, generování password_secret pomocí následujícího příkazu:

pwgen -N 1 -s 96

Zobrazí se následující výstup:

TRXbNPoW4gGC8BN8Gzl4wH3jtfLoi06WCJqia18UtYyPaNLx4r8U7jUPRlIJHoGGxrCjZVqAvW2DcueI6N1zHoy2bKEWLyyC

Další, generovat hodnoty hash hesla pro uživatele root pomocí následujícího příkazu:

echo - n youradminpassword | sha256sum

Zobrazí se následující výstup:

e3c5925aa22abdfa18cf197a7b218fcad31acb6409d2e2dbebae807d3a9750ee

Poznámka: Zapamatovat klíč obě hesla, protože obě klávesy bude muset nakonfigurován v server.conf.

Další, budete potřebovat upravit hlavní konfigurační soubor serveru Graylog se nachází v/etc/graylog/server/adresář:

Nano /etc/graylog/server/server.conf

Proveďte následující změny:

is_master = true node_id_file = /etc/graylog/server/node-id ###past-vaše-heslo-tajemství-zde ### password_secret = TRXbNPoW4gGC8BN8Gzl4wH3jtfLoi06WCJqia18UtYyPaNLx4r8U7jUPRlIJHoGGxrCjZVqAvW2DcueI6N1zHoy2bKEWLyyC root_username = správce ###past-your-root-hash-password-here### root_password_sha2 = e3c5925aa22abdfa18cf197a7b218fcad31acb6409d2e2dbebae807d3a9750ee root_timezone = UTC plugin_dir = /usr/share/graylog-server/plugin rest_listen_uri = http://0.0.0.0:9000/api/rest_enable_cors = true web_listen_uri = http://0.0.0.0:9000 / rotation_strategy = počet elasticsearch_max_docs_per_index = 20000000
elasticsearch_max_number_of_indices = 7
retention_strategy = odstranit elasticsearch_shards = 4
elasticsearch_replicas = 1
elasticsearch_index_prefix = graylog allow_leading_wildcard_searches = true allow_highlighting = false elasticsearch_cluster_name = graylog elasticsearch_discovery_zen_ping_unicast_hosts = 192.168.0.187: 9300 elasticsearch_http_enabled = false elasticsearch_network_host = 0.0.00
elasticsearch_discovery_initial_state_timeout = 3s elasticsearch_analyzer = standardní output_batch_size = 500
output_flush_interval = 1
output_fault_count_threshold = 5
output_fault_penalty_seconds = 30
processbuffer_processors = 5
outputbuffer_processors = 3
processor_wait_strategy = blokování ring_size = 65536
inputbuffer_ring_size = 65536
inputbuffer_processors = 2
inputbuffer_wait_strategy = blokování message_journal_enabled = true message_journal_dir = /var/lib/graylog-server/journal async_eventbus_processors = 2
lb_recognition_period_seconds = 3
alert_check_interval = 60
mongodb_uri = mongodb://localhost/graylog mongodb_max_connections = 1000
mongodb_threads_allowed_to_block_multiplier = 5
content_packs_dir = /usr/share/graylog-server/contentpacks content_packs_auto_load = grok patterns.json proxied_requests_thread_pool_size = 32

Uložte a zavřete soubor po dokončení, potom spusťte službu Graylog a povolte tak, aby při startu:

graylog-server spustit systemctl
systemctl enable graylog-server

Jakmile jste hotovi, můžete přejít k dalšímu kroku

5 Konfigurace brány Firewall

Ve výchozím nastavení, Graylog webové rozhraní naslouchá na portu 9000, Takže budete muset povolit portu 9000 prostřednictvím brány firewall UFW. UFW brány firewall není nainstalována v Debianu 9. Takže budete muset nejprve nainstalovat. Můžete jej nainstalovat spuštěním následujícího příkazu:

apt-get install ufw -y

Jakmile je nainstalována UFW, Povolit spuštěním následujícího příkazu;

Povolit UFW

Další, povolení portu 9000 prostřednictvím brány firewall UFW spuštěním následujícího příkazu:

Povolit UFW 9000

Můžete zkontrolovat stav brány firewall UFW kdykoli spuštěním následujícího příkazu.

UFW status

Jakmile je brána firewall nakonfigurována, můžete přejít k dalšímu kroku.

6 Přístup k Graylog webové rozhraní

Graylog webové rozhraní naslouchá na portu 9000. Teď, Otevřete webový prohlížeč a zadejte adresu URL http://192.168.0.187:9000, měli byste vidět následující obrazovku:

Graylog rozhraní

Přihlášení s uživatelským jménem “Správce” a heslo, které jste nakonfigurovali na root_password_sha2 na server.conf. Měli byste vidět následující obrazovku:

Graylog Začínáme

Další, budete muset přidat vstupní zpráva syslog pomocí protokolu UDP. Chcete-li přidat vstup, Klikněte na systému-> Vyberte vstupy-> Syslog UDP-> Klepněte na nové vstupní tlačítko spuštění, měli byste vidět následující obrazovku:

Přidat vstupní zdroj v Graylog

Vyplňte všechny údaje jako název, Přístav, Vytvořit vazbu adresy a nakonec klikněte na tlačítko Uložit, měli byste vidět následující obrazovku:

Zdroj podrobností protokolu

Teď Graylog server obdrží prostřednictvím portu systémové protokoly 8514 od klienta nebo serveru.

V klientském systému, budete muset nakonfigurovat rsyslog tak, aby systém protokolují zprávy odešle na server Graylog. Můžete to provést úpravou souboru rsyslog.conf:

Nano /etc/rsyslog.conf

Přidejte následující řádky:

# poskytuje UDP syslog příjem $ModLoad imudp $UDPServerRun 8514
$Šablona GRAYLOGRFC5424,"%protocol-version% %timestamp:::date-rfc3339% %HOSTNAME% %app-name% %procid% %msg%n"
*.* @192.168.0.187:8514; GRAYLOGRFC5424

Uložte soubor a restartujte službu rsyslog použít tyto změny:

systemctl restartování rsyslog

Další, na Graylog serveru, klikněte na “Graylog zdroje” můžete vidět ssh protokolu s neúspěšných pokusů o přihlášení v následující obrazovce.

Monitoru přihlášení pokusy s Graylog

Závěr

Blahopřejeme! úspěšně jste nainstalovali a nakonfigurovali Graylog server na Debian 9. Nyní můžete snadno vidět protokoly a analýza systémové protokoly z centrálního místa. Můžete také přizpůsobit Graylog a poslat jiný typ protokolů dle vaší potřeby. Další informace můžete získat na stránce dokumentace Graylog http://docs.graylog.org/en/2.2/pages/getting_started.html. Klidně mě komentář, pokud máte jakékoliv dotazy.

Zdroj

One Response

  1. Nathaniel Simch de Morais

Zanech odpověď