Cómo supervisar archivos de registro con Graylog2 en Debian 9

Cómo supervisar archivos de registro con Graylog2 en Debian 9

Su trabajo en equipo, pero más simple, más agradable y más productiva.

Graylog es una herramienta de gestión de registro gratuito y de código abierto basada en Java, Elasticsearch y MongoDB que puede utilizarse para recoger, Índice y analizar cualquier registro de servidor desde una ubicación centralizada. Usted puede monitorear fácilmente las conexiones SSH y actividad inusual para la depuración de aplicaciones y registros de uso Graylog. Graylog proporciona un lenguaje de consulta potente, capacidades de alerta, una tubería de proceso de transformación de datos y mucho más. Puede ampliar la funcionalidad de Graylog a través de una API REST y complementos.

Graylog se compone de tres componentes:

  1. Elasticsearch: Almacena todos los mensajes de la entrada y proporcionan un mecanismo buscando.
  2. MongoDB: Se utiliza para la base de datos, almacena las configuraciones y la información.
  3. Graylog servidor: recibe y procesa los mensajes de varias entradas y proporcionar una interfaz web para análisis y monitoreo.

En este tutorial, vamos a explicar cómo instalar Graylog2 en Debian 9 Servidor.

Requisito previo

  • Un servidor con Debian 9.
  • Mínimo 4 GB DE RAM.
  • Una dirección IP estática 192.168.0.187 configuración en el servidor.

1 Instalar paquetes necesarios

Antes de comenzar, necesita instalar Java 8 y otros paquetes requeridos para el sistema. No todos los requeridos están disponibles paquetes en Debian 9 repositorio de estándar, por lo que necesitarás añadir Backports de Debian a la lista de origen de paquete. Primero, login con usuario root y crear un archivo backport.list:

nano /etc/apt/sources.list.d/backport.list

Agregue la siguiente línea:

deb http://ftp.debian.org/debian jessie-backports main

Guarde el archivo cuando haya terminado, entonces actualizar su sistema con el siguiente comando:

apt-get update -y
apt-get upgrade -y

Una vez que su sistema está actualizado, instalar todos los paquetes con el siguiente comando:

apt-get install apt-transporte-https openjdk 8-jre-sin cabeza-uuid-runtime pwgen -y

Una vez instalados todos los paquetes necesarios, se puede proceder a instalar MongoDB.

2 Instalar MongoDB

MongoDB es necesario para almacenar la configuración y la información. MongoDB está disponible en Debian 9 repositorio de predeterminado, así que para instalar MongoDB, simplemente ejecutando el siguiente comando:

apto-conseguir instalar mongodb-servidor - y

Una vez instalado MongoDB, se puede proceder a instalar Elasticsearch.

3 Instalar Elasticsearch

Elasticsearch es un servidor de búsqueda que almacena todos los registros enviados por el servidor de Graylog actos y muestra los mensajes cada vez que usted solicita. Elasticsearch no está disponible en Debian 9 repositorio de predeterminado. Usted tendrá que añadir el repositorio de Elasticsearch a la fuente de paquetes de Debian.

Primero, descargar y añadir la clave GPG de Elasticsearch con el siguiente comando:

wget - qO – https://packages.elastic.co/gpg-key-elasticsearch | apto-clave añadir –

Siguiente, crear un archivo de la repo de Elasticsearch con el siguiente comando:

nano /etc/apt/sources.list.d/elasticsearch.list

Agregue la siguiente línea:

estable de deb https://packages.elastic.co/elasticsearch/2.x/debian principal

Guarde el archivo cuando esté acabado, luego actualizar el repositorio ejecutando el siguiente comando:

apt-get update -y

Siguiente, Instale Elasticsearch ejecutando el siguiente comando:

apt-get install elasticsearch -y

Una vez instalado Elasticsearch, usted necesitará modificar el archivo de configuración principal de Elasticsearch:

nano /etc/elasticsearch/elasticsearch.yml

Realice los cambios siguientes:

cluster.Name: graylog network.host: 192.168.0.187
discovery.zen.ping.timeout: 10s
discovery.zen.ping.multicast.enabled: false
discovery.zen.ping.unicast.hosts: ["192.168.0.187:9300"]

Guarde y cierre el archivo cuando haya terminado, luego inicie el servicio de Elasticsearch y permiten que inicie en el arranque:

systemctl Inicio elasticsearch
systemctl enable elasticsearch

Después de unos segundos, Ejecute lo siguiente para probar Elasticsearch funciona correctamente:

Curl - XGET ' http://192.168.0.187:9200/_cluster/salud? bastante = true’

Asegúrese de que la salida muestra el estado del cluster como “verde”:

{
  "cluster_name" : "graylog",
  "status" : "green",
  "timed_out" : false,
  "number_of_nodes" : 1,
  "number_of_data_nodes" : 1,
  "active_primary_shards" : 1,
  "active_shards" : 1,
  "relocating_shards" : 0,
  "initializing_shards" : 0,
  "unassigned_shards" : 1,
  "delayed_unassigned_shards" : 0,
  "number_of_pending_tasks" : 0,
  "number_of_in_flight_fetch" : 0,
  "task_max_waiting_in_queue_millis" : 0,
  "active_shards_percent_as_number" : 50.0
}

Una vez instalado Elasticsearch y trabajando bien, puede proceder al siguiente paso.

4 Instalar Graylog

Graylog no está disponible en Debian 9 repositorio de predeterminado, por lo que tendrá que descargar e instalar Graylog 2 repositorio de primera. Puede hacerlo ejecutando el siguiente comando:

wget https://packages.graylog2.org/repo/packages/graylog-2.2-repository_latest.deb
dpkg -i graylog-2.2-repository_latest.deb

Una vez instalado el repositorio, actualizar el repositorio e instalar a Graylog server con el siguiente comando:

apt-get update -y
apt-get install graylog-servidor - y

Después de instalar Graylog, se necesita establecer un secreto para asegurar las contraseñas de usuario y también para definir una contraseña hash (sha256) para el usuario root.

Primero, generar password_secret con el siguiente comando:

PWGen -N 1 -s 96

Debería ver la siguiente salida:

TRXbNPoW4gGC8BN8Gzl4wH3jtfLoi06WCJqia18UtYyPaNLx4r8U7jUPRlIJHoGGxrCjZVqAvW2DcueI6N1zHoy2bKEWLyyC

Siguiente, generar hash contraseña para usuario root con el siguiente comando:

echo - n youradminpassword | sha256sum

Debería ver la siguiente salida:

e3c5925aa22abdfa18cf197a7b218fcad31acb6409d2e2dbebae807d3a9750ee

Nota: Recordar ambos clave de contraseña, porque ambos clave necesitará configura en el server.conf.

Siguiente, usted necesitará modificar el archivo de configuración principal de servidor Graylog encuentra en etcetera/graylog/servidor/directorio:

nano /etc/graylog/server/server.conf

Realice los cambios siguientes:

is_master = true node_id_file = /etc/graylog/server/node-id ###past-su-contraseña-secreto-aquí ### password_secret = TRXbNPoW4gGC8BN8Gzl4wH3jtfLoi06WCJqia18UtYyPaNLx4r8U7jUPRlIJHoGGxrCjZVqAvW2DcueI6N1zHoy2bKEWLyyC root_username = root_password_sha2 ###past-your-root-hash-password-here### admin = e3c5925aa22abdfa18cf197a7b218fcad31acb6409d2e2dbebae807d3a9750ee root_timezone = UTC plugin_dir = /usr/share/graylog-server/plugin rest_listen_uri = http://0.0.0.0:9000/api/rest_enable_cors = true web_listen_uri = http://0.0.0.0:9000 / rotation_strategy = elasticsearch_max_docs_per_index de cuenta = 20000000
elasticsearch_max_number_of_indices = 7
retention_strategy = borrar elasticsearch_shards = 4
elasticsearch_replicas = 1
elasticsearch_index_prefix = graylog allow_leading_wildcard_searches = true allow_highlighting = false elasticsearch_cluster_name = graylog elasticsearch_discovery_zen_ping_unicast_hosts = 192.168.0.187: elasticsearch_http_enabled 9300 = false elasticsearch_network_host = 0.0.00
elasticsearch_discovery_initial_state_timeout = 3s elasticsearch_analyzer = estándar output_batch_size = 500
output_flush_interval = 1
output_fault_count_threshold = 5
output_fault_penalty_seconds = 30
processbuffer_processors = 5
outputbuffer_processors = 3
processor_wait_strategy = bloqueo ring_size = 65536
inputbuffer_ring_size = 65536
inputbuffer_processors = 2
inputbuffer_wait_strategy = bloqueo message_journal_enabled = true message_journal_dir = /var/lib/graylog-server/journal async_eventbus_processors = 2
lb_recognition_period_seconds = 3
alert_check_interval = 60
mongodb_uri = mongodb://localhost/graylog mongodb_max_connections = 1000
mongodb_threads_allowed_to_block_multiplier = 5
content_packs_dir = /usr/share/graylog-server/contentpacks content_packs_auto_load = proxied_requests_thread_pool_size patterns.json grok = 32

Guarde y cierre el archivo cuando haya terminado, luego inicie el servicio de Graylog y permiten que inicie en el arranque:

systemctl iniciar servidor de graylog
systemctl habilitar servidor de graylog

Una vez que haya terminado, puede proceder al siguiente paso

5 Configurar Firewall

De forma predeterminada, Interfaz de la web Graylog se escucha en el puerto 9000, usted va a necesitar permitir que Puerto 9000 a través de cortafuegos UFW. No está instalado el firewall UFW en Debian 9. Así que usted necesitará instalar primero. Se puede instalar ejecutando el siguiente comando:

apt-get install ufw -y

Una vez instalada la UFW, activar ejecutando el siguiente comando;

UFW enable

Siguiente, permite puerto 9000 a través de cortafuegos UFW ejecutando el siguiente comando:

UFW permite 9000

Puede comprobar el estado de firewall UFW cualquier momento ejecutando el comando siguiente.

Estado de la UFW

Una vez que el firewall está configurado, puede proceder al siguiente paso.

6 Interfaz de Web Graylog de acceso

Interfaz de la web Graylog se escucha en el puerto 9000. Ahora, Abra su navegador web y escriba la dirección URL http://192.168.0.187:9000, debería ver la siguiente pantalla:

Interfaz Graylog

Inicio de sesión con nombre de usuario “admin” y la contraseña que configuró en el root_password_sha2 en el server.conf. Debería ver la siguiente pantalla:

Graylog introducción

Siguiente, usted tendrá que agregar la entrada para recibir el mensaje de syslog con la UDP. Para agregar la entrada, Haga clic en sistema-> seleccionar entradas-> UDP syslog-> Haga clic en el botón de entrada nuevo lanzamiento, debería ver la siguiente pantalla:

Añadir fuente de entrada en Graylog

Llenar todos los datos tales como título, Puerto, Dirección de enlace y finalmente haga clic en el botón Save guardar, debería ver la siguiente pantalla:

Detalle de fuente de registro

Ahora el servidor de Graylog recibirá los registros del sistema utilizando el puerto 8514 del cliente o el servidor.

En el sistema cliente, usted necesitará configurar rsyslog para que enviará los mensajes de logs del sistema en el servidor de Graylog. Puede hacer esto editando el fichero rsyslog.conf:

/etc/rsyslog.conf nano

Agregue las líneas siguientes:

# proporciona UDP syslog recepción $ModLoad imudp $UDPServerRun 8514
$plantilla GRAYLOGRFC5424,"%protocol-version% %timestamp:::date-rfc3339% %HOSTNAME% %app-name% %procid% %msg%n"
*.* @192.168.0.187:8514; GRAYLOGRFC5424

Guarde el archivo y reinicie el servicio rsyslog para aplicar los cambios:

systemctl reiniciar rsyslog

Siguiente, en el servidor de Graylog clic en el “Graylog fuentes” puedes ver la sesión ssh con los intentos de inicio de sesión fallidos en la siguiente pantalla.

Los intentos de conexión de monitor con Graylog

Conclusión

¡Felicidades! que con éxito ha instalado y configurado el servidor Graylog en Debian 9. Ahora puedes ver fácilmente los logs y análisis de los registros del sistema desde la ubicación central. También puede personalizar Graylog y enviar otro tipo de registros según su necesidad. Puede obtener más información en la página de documentación Graylog http://docs.graylog.org/en/2.2/pages/getting_started.html. No dude en comentarme si usted tiene alguna pregunta.

Fuente

una respuesta

  1. Nathaniel Simch de Morais