Hvordan man kan overvåge logfilerne med Graylog2 på Debian 9

Hvordan man kan overvåge logfilerne med Graylog2 på Debian 9

Det teamwork, men enklere, mere behageligt og mere produktive.

Graylog er et gratis og open source log ledelsesværktøj baseret på Java, Elasticsearch og MongoDB, der kan bruges til at indsamle, indeks og analysere enhver server log fra et centralt sted. Du kan nemt overvåge SSH logins og usædvanlig aktivitet til debugging applikationer og log Med Graylog. Graylog giver et stærkt forespørgsel sprog, alarmering evner, en behandling rørledning til transformation af data og meget mere. Du kan udvide funktionaliteten af ​​Graylog gennem et REST-API og Tilføjelser.

Graylog består af tre komponenter:

  1. Elasticsearch: Den gemmer alle de indgående beskeder og give en søgende facilitet.
  2. MongoDB: Det bruges til databasen, gemmer konfigurationer og meta-information.
  3. Graylog server: Det modtager og behandler meddelelser fra forskellige input og give en web-grænseflade til analyse og overvågning.

I denne tutorial, vi vil forklare, hvordan du installerer Graylog2 på Debian 9 Server.

Forudsætning

  • En server, der kører Debian 9.
  • Minimum 4 GB RAM.
  • En statisk IP-adresse 192.168.0.187 opsætning på din server.

1 Installer krævede pakker

Før du starter, du bliver nødt til at installere Java 8 og andre nødvendige pakker til dit system. Ikke alle krævede pakker er tilgængelige i Debian 9 standard repository, så du bliver nødt til at tilføje Debian Backports til listen over pakken kilde. Første, log med root-bruger og oprette en backport.list fil:

nano /etc/apt/sources.list.d/backport.list

Tilføj følgende linje:

deb http://ftp.debian.org/debian jessie-backports main

Gem filen, når du er færdig, derefter opdatere dit system med følgende kommando:

apt-get update -y
apt-get upgrade -y

Når dit system er up-to-date, installere alle de pakker med følgende kommando:

apt-get install apt-transport-https OpenJDK-8-JRE-hovedløs UUID-runtime pwgen -y

Når alle de nødvendige pakker er installeret, du kan fortsætte med at installere MongoDB.

2 Installer MongoDB

MongoDB er nødvendig for at gemme konfigurationen og meta information. MongoDB er tilgængelig i Debian 9 standard repository, så du kan installere MongoDB ved blot at køre følgende kommando:

apt-get install MongoDB-server -y

Når MongoDB er installeret, du kan fortsætte med at installere Elasticsearch.

3 Installer Elasticsearch

Elasticsearch er virker som en søgning server, der gemmer alle de logfiler, der sendes af Graylog serveren og viser de meddelelser, når du anmoder. Elasticsearch er ikke tilgængelig i Debian 9 standard repository. Du bliver nødt til at tilføje den Elasticsearch repository til Debian-pakke kilde.

Første, downloade og tilsæt Elasticsearch GPG-nøgle med følgende kommando:

wget - qO – https://packages.elastic.co/GPG-KEY-elasticsearch | apt-key add –

Næste, skabe en Elasticsearch repo-fil med følgende kommando:

nano /etc/apt/sources.list.d/elasticsearch.list

Tilføj følgende linje:

deb https://packages.elastic.co/elasticsearch/2.x/debian stabil main

Gem filen, når du er færdig, derefter opdatere lageret ved at køre følgende kommando:

apt-get update -y

Næste, installere Elasticsearch ved at køre følgende kommando:

apt-get install elasticsearch -y

Når Elasticsearch er installeret, du bliver nødt til at ændre Elasticsearch vigtigste konfigurationsfil:

nano /etc/elasticsearch/elasticsearch.yml

Foretag følgende ændringer:

cluster.name: graylog
network.host: 192.168.0.187
discovery.zen.ping.timeout: 10s
discovery.zen.ping.multicast.enabled: false
discovery.zen.ping.unicast.hosts: ["192.168.0.187:9300"]

Gem og luk filen, når du er færdig, start derefter Elasticsearch tjeneste og for at kunne starte på boot:

systemctl starte elasticsearch
systemctl enable elasticsearch

Efter et par sekunder, køre følgende for at teste, at Elasticsearch kører korrekt:

krølle -XGET ’http://192.168.0.187:9200/_cluster/health?pretty=true’

Sørg for, at outputtet viser klynge status som “grøn”:

{
  "cluster_name" : "graylog",
  "status" : "green",
  "timed_out" : false,
  "number_of_nodes" : 1,
  "number_of_data_nodes" : 1,
  "active_primary_shards" : 1,
  "active_shards" : 1,
  "relocating_shards" : 0,
  "initializing_shards" : 0,
  "unassigned_shards" : 1,
  "delayed_unassigned_shards" : 0,
  "number_of_pending_tasks" : 0,
  "number_of_in_flight_fetch" : 0,
  "task_max_waiting_in_queue_millis" : 0,
  "active_shards_percent_as_number" : 50.0
}

Når Elasticsearch er installeret og fungerer fint, du kan gå videre til næste trin.

4 Installer Graylog

Graylog er ikke tilgængelig i Debian 9 standard repository, så du bliver nødt til at hente og installere Graylog 2 repository først. Du kan gøre dette ved at køre følgende kommando:

wget https://packages.graylog2.org/repo/packages/graylog-2.2-repository_latest.deb
dpkg -i graylog-2,2-repository_latest.deb

Når lageret er installeret, opdatere lageret og installere Graylog server med følgende kommando:

apt-get update -y
apt-get install graylog-server -y

Efter installation Graylog, du bliver nødt til at sætte en hemmelighed at sikre brugernes passwords og også indstille en hash (SHA256) adgangskode til root-brugeren.

Første, generere password_secret med følgende kommando:

pwgen -N 1 -s 96

Du bør se følgende output:

TRXbNPoW4gGC8BN8Gzl4wH3jtfLoi06WCJqia18UtYyPaNLx4r8U7jUPRlIJHoGGxrCjZVqAvW2DcueI6N1zHoy2bKEWLyyC

Næste, generere hash adgangskode til root brugeren med følgende kommando:

echo -n youradminpassword | sha256sum

Du bør se følgende output:

e3c5925aa22abdfa18cf197a7b218fcad31acb6409d2e2dbebae807d3a9750ee

Bemærk: Husk både adgangskode nøgle, fordi både nøglen bliver nødt til at konfigureres i server.conf.

Næste, du bliver nødt til at ændre Graylog serveren vigtigste konfigurationsfil placeret i / etc / graylog / server / mappe:

nano /etc/graylog/server/server.conf

Foretag følgende ændringer:

is_master = true
node_id_file = /etc/graylog/server/node-id
########past-your-password-secret-here#########
password_secret = TRXbNPoW4gGC8BN8Gzl4wH3jtfLoi06WCJqia18UtYyPaNLx4r8U7jUPRlIJHoGGxrCjZVqAvW2DcueI6N1zHoy2bKEWLyyC
root_username = admin
#######past-your-root-hash-password-here##########
root_password_sha2 = e3c5925aa22abdfa18cf197a7b218fcad31acb6409d2e2dbebae807d3a9750ee
root_timezone = UTC
plugin_dir = /usr/share/graylog-server/plugin
rest_listen_uri = http://0.0.0.0:9000/api/
rest_enable_cors = true
web_listen_uri = http://0.0.0.0:9000/
rotation_strategy = count
elasticsearch_max_docs_per_index = 20000000
elasticsearch_max_number_of_indices = 7
retention_strategy = delete
elasticsearch_shards = 4
elasticsearch_replicas = 1
elasticsearch_index_prefix = graylog
allow_leading_wildcard_searches = true
allow_highlighting = false
elasticsearch_cluster_name = graylog
elasticsearch_discovery_zen_ping_unicast_hosts = 192.168.0.187:9300
elasticsearch_http_enabled = false
elasticsearch_network_host = 0.0.00
elasticsearch_discovery_initial_state_timeout = 3s
elasticsearch_analyzer = standard
output_batch_size = 500
output_flush_interval = 1
output_fault_count_threshold = 5
output_fault_penalty_seconds = 30
processbuffer_processors = 5
outputbuffer_processors = 3
processor_wait_strategy = blocking
ring_size = 65536
inputbuffer_ring_size = 65536
inputbuffer_processors = 2
inputbuffer_wait_strategy = blocking
message_journal_enabled = true
message_journal_dir = /var/lib/graylog-server/journal
async_eventbus_processors = 2
lb_recognition_period_seconds = 3
alert_check_interval = 60
mongodb_uri = mongodb://localhost/graylog
mongodb_max_connections = 1000
mongodb_threads_allowed_to_block_multiplier = 5
content_packs_dir = /usr/share/graylog-server/contentpacks
content_packs_auto_load = grok-patterns.json
proxied_requests_thread_pool_size = 32

Gem og luk filen, når du er færdig, start derefter Graylog tjeneste og for at kunne starte på boot:

systemctl starte graylog-server
systemctl aktivere graylog-server

Når du er færdig, du kan gå videre til næste trin

5 Konfigurer firewall

Som standard, Graylog webinterface lytter på port 9000, så du bliver nødt til at tillade port 9000 gennem UFW firewall. UFW firewall er ikke installeret i Debian 9. Så du bliver nødt til at installere det først. Du kan installere den ved at køre følgende kommando:

apt-get install UFW -y

Når UFW er installeret, aktivere den ved at køre følgende kommando;

UFW aktivere

Næste, tillade port 9000 gennem UFW firewall ved at køre følgende kommando:

UFW tillade 9000

Du kan kontrollere status for UFW firewall som helst ved at køre følgende kommando.

UFW status

Når firewall er konfigureret, du kan gå videre til næste trin.

6 Adgang Graylog Webgrænseflade

Graylog webinterface lytter på port 9000. Nu, Åbn webbrowseren, og skriv URL http://192.168.0.187:9000, du bør se følgende skærmbillede:

Graylog grænseflade

Log ind med brugernavn “admin” og den adgangskode, du har konfigureret på root_password_sha2 på server.conf. Du bør se følgende skærmbillede:

Graylog at komme i gang

Næste, du bliver nødt til at tilføje input til at modtage syslog besked ved hjælp af UDP. At tilføje input, Klik på System -> vælg indgange -> Syslog UDP -> klik på Launch nye input knap, du bør se følgende skærmbillede:

Tilføj indgangskilden i Graylog

Fyld op alle detaljer såsom titel, Port, Bind adresse og til sidst klik på Gem-knappen, du bør se følgende skærmbillede:

Log detalje kilde

Nu Graylog serveren vil modtage systemets logfiler hjælp havnen 8514 fra kunden eller server.

På klientsystemet, du skal konfigurere rsyslog så det vil sende systemets logfiler meddelelser til Graylog serveren. Du kan gøre dette ved at redigere rsyslog.conf fil:

nano /etc/rsyslog.conf

Tilføj følgende linjer:

# provides UDP syslog reception
$ModLoad imudp
$UDPServerRun 8514
$skabelon GRAYLOGRFC5424,"%protocol-version% %timestamp:::date-rfc3339% %HOSTNAME% %app-name% %procid% %msg%n"
*.* @ 192.168.0.187: 8514; GRAYLOGRFC5424

Gem filen og genstart rsyslog tjeneste til at anvende disse ændringer:

systemctl genstart rsyslog

Næste, på Graylog serveren klik på “Graylog Kilder” du kan se den ssh loggen med mislykkede login-forsøg i følgende skærmbillede.

Overvåg login-forsøg med Graylog

Konklusion

Tillykke! du har installeret og konfigureret Graylog server på Debian 9. Du kan nu nemt se logs og analyse af systemets logfiler fra den centrale placering. Du kan også tilpasse Graylog og sende en anden type af logfiler som pr dine behov. Du kan få mere information fra Graylog dokumentation side http://docs.graylog.org/en/2.2/pages/getting_started.html. Du er velkommen til at kommentere mig, hvis du har spørgsmål.

Kilde