Πώς να παρακολουθείτε αρχεία καταγραφής με το Graylog2 στο Debian 9

Πώς να παρακολουθείτε αρχεία καταγραφής με το Graylog2 στο Debian 9

Είναι ομαδική εργασία, αλλά πιο απλή, πιο ευχάριστη και πιο παραγωγική.

Το Graylog είναι ένα εργαλείο διαχείρισης αρχείων ελεύθερης και ανοικτής πηγής που βασίζεται σε Java, Elasticsearch και MongoDB που μπορούν να χρησιμοποιηθούν για τη συλλογή, την ευρετηρίαση και την ανάλυση οποιουδήποτε αρχείου καταγραφής διακομιστών από κεντρική θέση. Μπορείτε να παρακολουθήσετε εύκολα τις συνδέσεις SSH και την ασυνήθιστη δραστηριότητα για την αποσφαλμάτωση εφαρμογών και αρχείων καταγραφής χρησιμοποιώντας το Graylog. Το Graylog παρέχει μια ισχυρή γλώσσα ερωτήσεων, δυνατότητες προειδοποίησης, έναν αγωγό επεξεργασίας για μετασχηματισμό δεδομένων και πολλά άλλα. Μπορείτε να επεκτείνετε τη λειτουργικότητα του Graylog μέσω ενός API REST και προσθέτων.

Το Graylog αποτελείται από τρία στοιχεία:

 1. Elasticsearch: Αποθηκεύει όλα τα εισερχόμενα μηνύματα και παρέχει μια δυνατότητα αναζήτησης.
 2. MongoDB: Χρησιμοποιείται για τη βάση δεδομένων, αποθηκεύει τις ρυθμίσεις παραμέτρων και μετα-πληροφορίες.
 3. Graylog server: Λαμβάνει και επεξεργάζεται μηνύματα από διάφορες εισόδους και παρέχει μια διεπαφή ιστού για ανάλυση και παρακολούθηση.

Σε αυτό το σεμινάριο, θα εξηγήσουμε πώς να εγκαταστήσετε το Graylog2 στο Debian 9 Server.

Προαπαιτούμενο

 • Ένας διακομιστής που εκτελεί το Debian 9.
 • Ελάχιστη τιμή 4 GB RAM.
 • Μια στατική διεύθυνση IP 192.168.0.187 στο διακομιστή σας.

1 Εγκαταστήστε τα απαιτούμενα πακέτα

Πριν ξεκινήσετε, θα χρειαστεί να εγκαταστήσετε το Java 8 και άλλα απαιτούμενα πακέτα στο σύστημά σας. Δεν είναι διαθέσιμα όλα τα απαιτούμενα πακέτα στο βασικό αποθετήριο Debian 9, επομένως θα χρειαστεί να προσθέσετε Debian Backports στη λίστα των πηγών πακέτων. Πρώτον, συνδεθείτε με τον χρήστη root και δημιουργήστε ένα αρχείο backport.list:

nano /etc/apt/sources.list.d/backport.list

Προσθέστε την ακόλουθη γραμμή:

deb http://ftp.debian.org/debian jessie-backports main

Αποθηκεύστε το αρχείο όταν τελειώσετε και, στη συνέχεια, ενημερώστε το σύστημά σας με την ακόλουθη εντολή:

apt-get update -y
apt-get upgrade -y

Μόλις το σύστημά σας είναι ενημερωμένο, εγκαταστήστε όλα τα πακέτα με την ακόλουθη εντολή:

apt-get εγκαταστήστε apt-transport-https openjdk-8-jre-headless uuid-runtime pwgen

Αφού εγκατασταθούν όλα τα απαιτούμενα πακέτα, μπορείτε να προχωρήσετε στην εγκατάσταση του MongoDB.

2 Εγκατάσταση του MongoDB

Το MongoDB απαιτείται για την αποθήκευση των πληροφοριών διαμόρφωσης και μεταβάσεων. Το MongoDB διατίθεται στον προεπιλεγμένο χώρο αποθήκευσης του Debian 9, ώστε να μπορείτε να εγκαταστήσετε το MongoDB απλά τρέχοντας την ακόλουθη εντολή:

apt-get να εγκαταστήσετε το mongodb-server -y

Μόλις εγκατασταθεί το MongoDB, μπορείτε να προχωρήσετε στην εγκατάσταση του Elasticsearch.

3 Εγκαταστήστε το Elasticsearch

Το Elasticsearch λειτουργεί ως διακομιστής αναζήτησης που αποθηκεύει όλα τα αρχεία καταγραφής που αποστέλλονται από το διακομιστή Graylog και εμφανίζει τα μηνύματα όποτε το ζητήσετε. Η ελαστική αναζήτηση δεν είναι διαθέσιμη στην αποθήκη προεπιλογής του Debian 9. Θα χρειαστεί να προσθέσετε το αποθετήριο Elasticsearch στην πηγή πακέτου του Debian.

Πρώτα, κατεβάστε και προσθέστε το κλειδί GPL Elasticsearch με την ακόλουθη εντολή:

wget -qO - https://packages.elastic.co/GPG-KEY-ελαστική αναζήτηση | apt-key add -

Στη συνέχεια, δημιουργήστε ένα αρχείο επιστροφής Elasticsearch με την ακόλουθη εντολή:

nano /etc/apt/sources.list.d/elasticsearch.list

Προσθέστε την ακόλουθη γραμμή:

deb https://packages.elastic.co/elasticsearch/2.x/debian stable main

Αποθηκεύστε το αρχείο όταν τελειώσετε, στη συνέχεια ενημερώστε το χώρο αποθήκευσης εκτελώντας την ακόλουθη εντολή:

apt-get update -y

Στη συνέχεια, εγκαταστήστε το Elasticsearch εκτελώντας την ακόλουθη εντολή:

apt-get εγκατάσταση elasticsearch -y

Μόλις εγκατασταθεί το Elasticsearch, θα χρειαστεί να τροποποιήσετε το κύριο αρχείο ρύθμισης Elasticsearch:

nano /etc/elasticsearch/elasticsearch.yml

Κάντε τις ακόλουθες αλλαγές:

cluster.name: graylog
network.host: 192.168.0.187
discovery.zen.ping.timeout: 10s
discovery.zen.ping.multicast.enabled: false
discovery.zen.ping.unicast.hosts: ["192.168.0.187:9300"]

Αποθηκεύστε και κλείστε το αρχείο όταν τελειώσετε, στη συνέχεια ξεκινήστε την υπηρεσία Elasticsearch και ενεργοποιήστε την για εκκίνηση κατά την εκκίνηση:

αρχική ελαστική αναζήτηση
systemctl enable elasticsearch

After a few seconds, run the following to test that Elasticsearch is running properly:

curl -XGET 'http://192.168.0.187:9200/_cluster/health?pretty=true'

Make sure the output shows the cluster status as "green":

{
 "cluster_name" : "graylog",
 "status" : "green",
 "timed_out" : false,
 "number_of_nodes" : 1,
 "number_of_data_nodes" : 1,
 "active_primary_shards" : 1,
 "active_shards" : 1,
 "relocating_shards" : 0,
 "initializing_shards" : 0,
 "unassigned_shards" : 1,
 "delayed_unassigned_shards" : 0,
 "number_of_pending_tasks" : 0,
 "number_of_in_flight_fetch" : 0,
 "task_max_waiting_in_queue_millis" : 0,
 "active_shards_percent_as_number" : 50.0
}

Once Elasticsearch is installed and working fine, you can proceed to the next step.

4 Install Graylog

Graylog is not available in the Debian 9 default repository, so you will need to download and install Graylog 2 repository first. You can do this by running the following command:

wget https://packages.graylog2.org/repo/packages/graylog-2.2-repository_latest.deb
dpkg -i graylog-2.2-repository_latest.deb

Once the repository is installed, update the repository and install Graylog server with the following command:

apt-get update -y
apt-get install graylog-server -y

After installing Graylog, you will need to set a secret to secure the user passwords and also set a hash (sha256) password for the root user.

First, generate password_secret with the following command:

pwgen -N 1 -s 96

You should see the following output:

TRXbNPoW4gGC8BN8Gzl4wH3jtfLoi06WCJqia18UtYyPaNLx4r8U7jUPRlIJHoGGxrCjZVqAvW2DcueI6N1zHoy2bKEWLyyC

Next, generate hash password for root user with the following command:

echo -n youradminpassword | sha256sum

You should see the following output:

e3c5925aa22abdfa18cf197a7b218fcad31acb6409d2e2dbebae807d3a9750ee

Note: Remember both password key, because both key will need to configured in the server.conf.

Next, you will need to modify the Graylog server main configuration file located in /etc/graylog/server/ directory:

nano /etc/graylog/server/server.conf

Κάντε τις ακόλουθες αλλαγές:

is_master = true
node_id_file = /etc/graylog/server/node-id
########past-your-password-secret-here#########
password_secret = TRXbNPoW4gGC8BN8Gzl4wH3jtfLoi06WCJqia18UtYyPaNLx4r8U7jUPRlIJHoGGxrCjZVqAvW2DcueI6N1zHoy2bKEWLyyC
root_username = admin
#######past-your-root-hash-password-here##########
root_password_sha2 = e3c5925aa22abdfa18cf197a7b218fcad31acb6409d2e2dbebae807d3a9750ee
root_timezone = UTC
plugin_dir = /usr/share/graylog-server/plugin
rest_listen_uri = http://0.0.0.0:9000/api/
rest_enable_cors = true
web_listen_uri = http://0.0.0.0:9000/
rotation_strategy = count
elasticsearch_max_docs_per_index = 20000000
elasticsearch_max_number_of_indices = 7
retention_strategy = delete
elasticsearch_shards = 4
elasticsearch_replicas = 1
elasticsearch_index_prefix = graylog
allow_leading_wildcard_searches = true
allow_highlighting = false
elasticsearch_cluster_name = graylog
elasticsearch_discovery_zen_ping_unicast_hosts = 192.168.0.187:9300
elasticsearch_http_enabled = false
elasticsearch_network_host = 0.0.00
elasticsearch_discovery_initial_state_timeout = 3s
elasticsearch_analyzer = standard
output_batch_size = 500
output_flush_interval = 1
output_fault_count_threshold = 5
output_fault_penalty_seconds = 30
processbuffer_processors = 5
outputbuffer_processors = 3
processor_wait_strategy = blocking
ring_size = 65536
inputbuffer_ring_size = 65536
inputbuffer_processors = 2
inputbuffer_wait_strategy = blocking
message_journal_enabled = true
message_journal_dir = /var/lib/graylog-server/journal
async_eventbus_processors = 2
lb_recognition_period_seconds = 3
alert_check_interval = 60
mongodb_uri = mongodb://localhost/graylog
mongodb_max_connections = 1000
mongodb_threads_allowed_to_block_multiplier = 5
content_packs_dir = /usr/share/graylog-server/contentpacks
content_packs_auto_load = grok-patterns.json
proxied_requests_thread_pool_size = 32

Save and close the file when you are finished, then start the Graylog service and enable it to start on boot:

systemctl start graylog-server
systemctl enable graylog-server

Once you are finished, you can proceed to the next step

5 Configure Firewall

By default, Graylog web interface is listening on port 9000, so you will need to allow port 9000 through UFW firewall. UFW firewall is not installed in Debian 9. So you will need to install it first. You can install it by running the following command:

apt-get install ufw -y

Once UFW is installed, enable it by running the following command;

ufw enable

Next, allow port 9000 through UFW firewall by running the following command:

ufw allow 9000

You can check the status of UFW firewall any time by running the following command.

ufw status

Once firewall is configured, you can proceed to the next step.

6 Access Graylog Web Interface

Graylog web interface is listening on port 9000. Now, open your web browser and type the URL http://192.168.0.187:9000, you should see the following screen:

Graylog Interface

Login with username "διαχειριστής" and the password you configured at root_password_sha2 on server.conf. You should see the following screen:

Graylog getting started

Next, you will need to add the input to receive the syslog message using the UDP. To add the input, Click on System -> select Inputs -> Syslog UDP -> click on Launch new input button, you should see the following screen:

Add input source in Graylog

Fill up all the details such as Title, Port, Bind address and finally Click on Save button, you should see the following screen:

Log source detail

Now the Graylog server will receive the system logs using the port 8514 from the client or server.

On the Client system, you will need to configure rsyslog so that it will send the system logs messages to the Graylog server. You can do this by editing rsyslog.conf file:

nano /etc/rsyslog.conf

Προσθέστε τις ακόλουθες γραμμές:

# provides UDP syslog reception
$ModLoad imudp
$UDPServerRun 8514
$template GRAYLOGRFC5424,"%protocol-version% %timestamp:::date-rfc3339% %HOSTNAME% %app-name% %procid% %msg%n"
*.* @192.168.0.187:8514;GRAYLOGRFC5424

Save the file and restart rsyslog service to apply these changes:

systemctl restart rsyslog

Next, on the Graylog server click on the "Graylog Sources" you can see the ssh log with failed login attempts in the following screen.

Monitor login attempts with Graylog

Συμπέρασμα

Congratulations! you have successfully installed and configured Graylog server on Debian 9. You can now easily see the logs and analysis of the system logs from the central location. You can also customize Graylog and send another type of logs as per your need. You can get more information from the Graylog documentation page http://docs.graylog.org/en/2.2/pages/getting_started.html. Feel free to comment me if you have any questions.

Πηγή

Αφήστε μια απάντηση