Hogyan viselkedni idegen rádióadást figyel fatörzs fájlokat-val Graylog2 a Debian 9

Hogyan viselkedni idegen rádióadást figyel fatörzs fájlokat-val Graylog2 a Debian 9

Ez csapatmunka, de egyszerűbb, kellemesebb és termelékenyebb.

Graylog egy szabad és nyit forrás napló vezetés szerszám azon alapszik Jávai ember, Elasticsearch és MongoDB, hogy lehet használni, hogy összegyűjtse, index és elemezni minden szerver log központi helyről. Könnyedén nyomon az SSH bejelentkezés és szokatlan tevékenység hibakeresés alkalmazások és rönköt segítségével Graylog. Graylog egy erőteljes lekérdező nyelvet, riasztási képességek, feldolgozó csővezeték adatátalakításhoz és még sok más. Te is kiterjeszti a funkcionalitást Graylog keresztül REST API és bővítmények.

Graylog alkotja három összetevőből áll:

  1. Elasticsearch: Ez tárolja az összes bejövő üzeneteket, és a keresési lehetőség.
  2. MongoDB: Ezt alkalmazzák az adatbázis, tárolja a konfigurációkat és meta-adatok.
  3. Graylog szerver: Fogadja és feldolgozza az üzeneteket a különböző bemenetek, és a webes felületen az elemzés és felügyelet.

Ebben a tutorial, fogjuk magyarázni, hogyan kell telepíteni Graylog2 Debian 9 Szerver.

Előfeltétel

  • A szerver fut Debian 9.
  • Minimális 4 GB RAM.
  • A statikus IP-cím 192.168.0.187 beállítva a szerveren.

1 Telepítse a szükséges csomagok

Megkezdése előtt, akkor kell telepíteni a Java 8 és a többi szükséges csomagokat a rendszer. Nem minden szükséges csomagok állnak rendelkezésre a Debian 9 szabvány adattár, így szükség lesz hozzá Debian Backports a listát csomag forrás. Első, jelentkezzen be root felhasználói és hozzon létre egy backport.list file:

nano /etc/apt/sources.list.d/backport.list

Adjuk hozzá a következő sort:

deb http://ftp.debian.org/debian Jessie-backports fő

Mentsd el a fájlt, ha elkészült, majd frissítse a rendszert a következő parancsot:

apt-get update -y
apt-get upgrade -y

Miután a rendszer up-to-date, telepíteni az összes csomagot a következő paranccsal:

apt-get install apt-közlekedéssel https OpenJDK-8-JRE-fejetlen uuid-runtime pwgen -y

Miután minden szükséges csomagok telepítése, akkor folytassa telepíteni MongoDB.

2 MongoDB telepítése

MongoDB van szükség, hogy tárolja a konfigurációt és meta-adatok. MongoDB elérhető a Debian 9 alapértelmezett lerakat, így telepíteni MongoDB mellett csak a következő parancs futtatásával:

apt-get install MongoDB-server -y

Miután MongoDB telepítve, akkor folytassa telepíteni Elasticsearch.

3 Elasticsearch telepítése

Elasticsearch is működik, mint egy keresési kiszolgáló, amely tárolja az összes naplók által küldött Graylog szerver és üzenetek jelennek meg, amikor az Ön által kért. Elasticsearch nem elérhető a Debian 9 alapértelmezett lerakat. Meg kell adnia a Elasticsearch adattár a Debian csomag forrás.

Első, töltse le és adjuk hozzá a Elasticsearch GPG kulcsot a következő parancsot:

wget - qO – https://packages.elastic.co/GPG-KEY-elasticsearch | apt-key add –

Következő, hozzon létre egy Elasticsearch repo fájlt a következő paranccsal:

nano /etc/apt/sources.list.d/elasticsearch.list

Adjuk hozzá a következő sort:

deb https://packages.elastic.co/elasticsearch/2.x/debian stabil fő

Mentsd el a fájlt, ha célba, majd frissítse az adattár a következő parancs futtatásával:

apt-get update -y

Következő, telepíteni Elasticsearch futtatásával a következő parancsot:

apt-get install elasticsearch -y

Miután Elasticsearch telepítve, akkor módosítani kell a Elasticsearch fő konfigurációs fájl:

nano /etc/elasticsearch/elasticsearch.yml

Hogy a következő módosításokat:

cluster.name: graylog
network.host: 192.168.0.187
discovery.zen.ping.timeout: 10s
discovery.zen.ping.multicast.enabled: false
discovery.zen.ping.unicast.hosts: ["192.168.0.187:9300"]

Mentse és zárja be a fájlt, ha befejezte, majd indítsa el a Elasticsearch szolgáltatást, és meg lehessen kezdeni a boot:

systemctl indul elasticsearch
systemctl lehetővé elasticsearch

Néhány másodperc múlva, futtassa a következő tesztelni, hogy Elasticsearch megfelelően működik:

curl -XGET „http://192.168.0.187:9200/_cluster/health?pretty=true’

Ellenőrizze, hogy a kimenet jelzi, a klaszter állapotot “zöld”:

{
  "cluster_name" : "graylog",
  "status" : "green",
  "timed_out" : false,
  "number_of_nodes" : 1,
  "number_of_data_nodes" : 1,
  "active_primary_shards" : 1,
  "active_shards" : 1,
  "relocating_shards" : 0,
  "initializing_shards" : 0,
  "unassigned_shards" : 1,
  "delayed_unassigned_shards" : 0,
  "number_of_pending_tasks" : 0,
  "number_of_in_flight_fetch" : 0,
  "task_max_waiting_in_queue_millis" : 0,
  "active_shards_percent_as_number" : 50.0
}

Miután Elasticsearch telepítve van és jól működik, akkor folytassa a következő lépéssel.

4 Graylog telepítése

Graylog nem elérhető a Debian 9 alapértelmezett lerakat, így szükség lesz, hogy töltse le és telepítse Graylog 2 adattár első. Megteheti ezt a következő parancs futtatásával:

wget https://packages.graylog2.org/repo/packages/graylog-2.2-repository_latest.deb
dpkg -i graylog-2.2-repository_latest.deb

Ha a tároló telepítve, frissítheti a forrás és telepíteni Graylog szervert a következő parancsot:

apt-get update -y
apt-get install graylog-server -y

Telepítése után Graylog, akkor be kell állítania egy titkos, hogy biztosítsa a felhasználói jelszavakat, továbbá meghatározhatja a hash (sha256) jelszót a root felhasználó.

Első, generál password_secret a következő parancsot:

pwgen -N 1 -s 96

Meg kell látni az eredményt kapjuk:

TRXbNPoW4gGC8BN8Gzl4wH3jtfLoi06WCJqia18UtYyPaNLx4r8U7jUPRlIJHoGGxrCjZVqAvW2DcueI6N1zHoy2bKEWLyyC

Következő, generál hash jelszót a root felhasználó a következő parancsot:

echo -n youradminpassword | sha256sum

Meg kell látni az eredményt kapjuk:

e3c5925aa22abdfa18cf197a7b218fcad31acb6409d2e2dbebae807d3a9750ee

Megjegyzés: Ne feledje mindkét jelszó kulcs, mert mindkét kulcsot kell konfigurálni a server.conf.

Következő, akkor módosítani kell a Graylog kiszolgáló fő konfigurációs fájl az / etc / graylog / server / könyvtárban:

nano /etc/graylog/server/server.conf

Hogy a következő módosításokat:

is_master = true
node_id_file = /etc/graylog/server/node-id
########past-your-password-secret-here#########
password_secret = TRXbNPoW4gGC8BN8Gzl4wH3jtfLoi06WCJqia18UtYyPaNLx4r8U7jUPRlIJHoGGxrCjZVqAvW2DcueI6N1zHoy2bKEWLyyC
root_username = admin
#######past-your-root-hash-password-here##########
root_password_sha2 = e3c5925aa22abdfa18cf197a7b218fcad31acb6409d2e2dbebae807d3a9750ee
root_timezone = UTC
plugin_dir = /usr/share/graylog-server/plugin
rest_listen_uri = http://0.0.0.0:9000/api/
rest_enable_cors = true
web_listen_uri = http://0.0.0.0:9000/
rotation_strategy = count
elasticsearch_max_docs_per_index = 20000000
elasticsearch_max_number_of_indices = 7
retention_strategy = delete
elasticsearch_shards = 4
elasticsearch_replicas = 1
elasticsearch_index_prefix = graylog
allow_leading_wildcard_searches = true
allow_highlighting = false
elasticsearch_cluster_name = graylog
elasticsearch_discovery_zen_ping_unicast_hosts = 192.168.0.187:9300
elasticsearch_http_enabled = false
elasticsearch_network_host = 0.0.00
elasticsearch_discovery_initial_state_timeout = 3s
elasticsearch_analyzer = standard
output_batch_size = 500
output_flush_interval = 1
output_fault_count_threshold = 5
output_fault_penalty_seconds = 30
processbuffer_processors = 5
outputbuffer_processors = 3
processor_wait_strategy = blocking
ring_size = 65536
inputbuffer_ring_size = 65536
inputbuffer_processors = 2
inputbuffer_wait_strategy = blocking
message_journal_enabled = true
message_journal_dir = /var/lib/graylog-server/journal
async_eventbus_processors = 2
lb_recognition_period_seconds = 3
alert_check_interval = 60
mongodb_uri = mongodb://localhost/graylog
mongodb_max_connections = 1000
mongodb_threads_allowed_to_block_multiplier = 5
content_packs_dir = /usr/share/graylog-server/contentpacks
content_packs_auto_load = grok-patterns.json
proxied_requests_thread_pool_size = 32

Mentse és zárja be a fájlt, ha befejezte, majd indítsa el a Graylog szolgáltatást, és meg lehessen kezdeni a boot:

systemctl indul graylog-szerver
systemctl lehetővé graylog-szerver

Miután befejeztük a, akkor folytassa a következő lépéssel

5 Beállítás tűzfal

Alapértelmezés, Graylog webes felületen porton figyel 9000, így szükség lesz ahhoz, hogy port 9000 keresztül UFW tűzfal. UFW tűzfal nincs telepítve Debian 9. Tehát akkor kell telepíteni az első. Akkor telepítse azt a következő parancs futtatásával:

apt-get install ufw -y

Miután UFW telepítve, engedélyezheti, ha a következő parancs futtatásával;

UFW engedélyezése

Következő, lehetővé port 9000 keresztül UFW tűzfal fut a következő parancsot:

ufw lehetővé 9000

Akkor állapotának ellenőrzése UFW tűzfal bármikor a következő parancs futtatásával.

UFW állapota

Miután tűzfal beállítása, akkor folytassa a következő lépéssel.

6 Access Graylog webes felület

Graylog webes felületen porton figyel 9000. Most, nyissa meg a böngészőt, és írja be az URL http://192.168.0.187:9000, látnunk kell a következő képernyő:

Graylog Interface

Jelentkezz be a felhasználóneveddel “admin” és jelszó segítségével konfigurált root_password_sha2 a server.conf. Látnia kell a következő képernyő:

Graylog kezdetekhez

Következő, akkor meg kell adni a bemeneti, hogy megkapja a syslog üzenet UDP. Ahhoz, hogy az input, Kattintson System -> válassza bemenet -> Syslog UDP -> kattintson a Launch új beviteli gombot, látnunk kell a következő képernyő:

Add bemeneti forrás Graylog

Töltsük fel a részleteket, mint például címe, Port, Bind cím és végül kattintson a Mentés gombra, látnunk kell a következő képernyő:

Log forrás részletesen

Most a Graylog szerver megkapja a rendszernaplókat a port 8514 a kliens vagy szerver.

Az Ügyfél rendszer, akkor kell beállítani rsyslog úgy, hogy elküldi a rendszer naplók üzeneteket a szerver Graylog. Megteheti ezt szerkesztésével rsyslog.conf file:

nano /etc/rsyslog.conf

Adja hozzá a következő sorokat:

# provides UDP syslog reception
$ModLoad imudp
$UDPServerRun 8514
$sablon GRAYLOGRFC5424,"%protocol-version% %timestamp:::date-rfc3339% %HOSTNAME% %app-name% %procid% %msg%n"
*.* @ 192.168.0.187: 8514; GRAYLOGRFC5424

Mentsd el a fájlt, és indítsa újra rsyslog szolgáltatás ezeket a módosításokat:

systemctl újraindítás rsyslog

Következő, A Graylog szerver kattintson a “Graylog forrásai” láthatjuk az ssh napló sikertelen bejelentkezés a következő képernyő.

Monitor bejelentkezési kísérletek a Graylog

Következtetés

Gratulálok! sikeresen telepítve és konfigurálva Graylog szerver Debian 9. Most könnyedén látni a naplók és elemzés a rendszer naplókat a központtól. Azt is testre Graylog és elküldi egy másik típusú naplók mint egy a szükséges. Tudod kap több információt a Graylog dokumentációs oldal http://docs.graylog.org/en/2.2/pages/getting_started.html. Nyugodtan megjegyzést nekem, ha bármilyen kérdése van.

Forrás