Debian の Graylog2 のログ ファイルを監視する方法 9

Debian の Graylog2 のログ ファイルを監視する方法 9

それはチームワークです, シンプルです, 快適なより生産的です.

Graylog は、Java に基づいて無料でオープン ソースのログ管理ツール, 収集するために使用することができElasticsearchとMongoDBの, インデックスと集中場所から任意のサーバーログを分析. あなたは簡単にGraylogを使用してデバッグするアプリケーションやログのSSHログインおよび異常なアクティビティを監視することができます. Graylogは、強力なクエリ言語を提供します, 能力を警告, データ変換など多くの処理パイプライン. あなたは、REST APIを通じてGraylogの機能を拡張し、アドオンを追加することができます.

Graylogは、3つのコンポーネントで構成されています。

  1. Elasticsearch:それはすべての受信メッセージを格納し、検索機能を提供.
  2. MongoDBは:これは、データベースに使用されます, 店舗構成とメタ情報.
  3. Graylogサーバー:それは受信して、様々な入力からのメッセージを処理し、分析および監視のためのWebインターフェイスを提供します.

このチュートリアルで, 私たちは、Debian上Graylog2をインストールする方法を説明します 9 サーバー.

前提条件

  • Debianを使用してサーバー 9.
  • 最小値 4 GB の RAM.
  • 静的 IP アドレス 192.168.0.187 サーバーのセットアップ.

1 必要なパッケージをインストールします。

開始する前に, あなたは、Javaをインストールする必要があります 8 お使いのシステムに、その他の必要なパッケージ. すべての必要なパッケージは、Debianで提供されていません 9 標準リポジトリ, あなたはパッケージソースのリストにはDebianバックポートを追加する必要があります. まずは, rootユーザーでログインし、backport.listファイルを作成します。

ナノ/etc/apt/sources.list.d/backport.list

次の行を追加します。

DEB http://ftp.debian.org/debianジェシー-backportsのメイン

完了したら、ファイルを保存します。, 次のコマンドを使用して、システムを更新します。

更新apt-getを-y
適当です-行きますアップグレード y

お使いのシステムが最新になったら, 次のコマンドを使用して、すべてのパッケージをインストールします。

pwgenの-yのapt-輸送-HTTPS OpenJDKの-8-jreを-ヘッドレスUUID-ランタイムをインストールapt-getを

すべての必要なパッケージがインストールされていたら、, あなたはMongoDBのインストールに進むことができます.

2 MongoDB をインストールします。

MongoDBは設定およびメタ情報を記憶することが要求されます. MongoDBはDebianで提供されています 9 デフォルトのリポジトリ, あなたは、単に次のコマンドを実行して、MongoDBのをインストールすることができます。

MongoDBのサーバ-yをインストールapt-getを

MongoDBはインストールされると, あなたはElasticsearchをインストールに進むことができます.

3 Elasticsearch をインストールします。

ElasticsearchはGraylogサーバーから送信されたすべてのログを保存し、検索サーバとして機能しているとあなたが要求したときにメッセージを表示します. Elasticsearchは、Debianには使用できません。 9 デフォルトのリポジトリ. あなたは、DebianパッケージソースにElasticsearchリポジトリを追加する必要があります.

まずは, ダウンロードして、次のコマンドでElasticsearch GPGキーを追加します。

wget qO – https://packages.elastic.co/GPG-KEY-elasticsearch | apt-キーアドオン –

次に, 次のコマンドでElasticsearchレポファイルを作成します。

ナノ/etc/apt/sources.list.d/elasticsearch.list

次の行を追加します。

DEBは、安定したメインをhttps://packages.elastic.co/elasticsearch/2.x/debian

あなたがフィニッシュしているときにファイルを保存します, その後、次のコマンドを実行して、リポジトリを更新します。

更新apt-getを-y

次に, 次のコマンドを実行してElasticsearchをインストールします。

elasticsearch -yをインストールapt-getを

Elasticsearchがインストールされると, あなたはElasticsearchメインの設定ファイルを変更する必要があります。

ナノ/etc/elasticsearch/elasticsearch.yml

次の変更を行います。

cluster.name: graylog
network.host: 192.168.0.187
discovery.zen.ping.timeout: 10s
discovery.zen.ping.multicast.enabled: false
discovery.zen.ping.unicast.hosts: ["192.168.0.187:9300"]

保存し、終わったら、ファイルを閉じます, その後、Elasticsearchサービスを開始し、ブート時に起動するように、それを有効にします。

elasticsearch開始systemctl
elasticsearchを有効systemctl

数秒後, Elasticsearchが正常に動作していることをテストするには、次を実行します。

カール-XGET「http://192.168.0.187:9200/_cluster/health?pretty=true’

出力は、クラスタの状態を示していることを確認します “グリーン”:

{
  "cluster_name" : "graylog",
  "status" : "green",
  "timed_out" : false,
  "number_of_nodes" : 1,
  "number_of_data_nodes" : 1,
  "active_primary_shards" : 1,
  "active_shards" : 1,
  "relocating_shards" : 0,
  "initializing_shards" : 0,
  "unassigned_shards" : 1,
  "delayed_unassigned_shards" : 0,
  "number_of_pending_tasks" : 0,
  "number_of_in_flight_fetch" : 0,
  "task_max_waiting_in_queue_millis" : 0,
  "active_shards_percent_as_number" : 50.0
}

Elasticsearchがインストールされ、正常に動作したら, 次のステップに進むことができます。.

4 Graylogをインストールします。

Graylogは、Debianには使用できません。 9 デフォルトのリポジトリ, あなたはGraylogをダウンロードしてインストールする必要があります。 2 最初のリポジトリ. 次のコマンドを実行することによってこれを行うことができます。

wgetのhttps://packages.graylog2.org/repo/packages/graylog-2.2-repository_latest.deb
-i graylog-2.2-repository_latest.debをdpkgの

リポジトリがインストールされると, リポジトリを更新し、次のコマンドを使用してGraylogサーバーをインストールします。

更新apt-getを-y
graylogサーバ-yをインストールapt-getを

Graylogをインストールした後, あなたは、ユーザーのパスワードを保護するために秘密を設定しても、rootユーザーのためのハッシュ(SHA256)パスワードを設定する必要があります。.

まずは, 次のコマンドでpassword_secret生成します。

pwgen N 1 -s 96

次の出力が表示されます。

TRXbNPoW4gGC8BN8Gzl4wH3jtfLoi06WCJqia18UtYyPaNLx4r8U7jUPRlIJHoGGxrCjZVqAvW2DcueI6N1zHoy2bKEWLyyC

次に, 次のコマンドを使用して、rootユーザーのハッシュパスワードを生成します。

-n youradminpasswordエコー| sha256sum

次の出力が表示されます。

e3c5925aa22abdfa18cf197a7b218fcad31acb6409d2e2dbebae807d3a9750ee

注:両方のパスワードキーを覚えておいてください, 両方のキーがserver.confで設定する必要がありますので、.

次に, あなたは、/ etc / graylog /サーバ/ディレクトリにあるGraylogサーバメインの設定ファイルを変更する必要があります。

ナノ/etc/graylog/server/server.conf

次の変更を行います。

is_master = true
node_id_file = /etc/graylog/server/node-id
########past-your-password-secret-here#########
password_secret = TRXbNPoW4gGC8BN8Gzl4wH3jtfLoi06WCJqia18UtYyPaNLx4r8U7jUPRlIJHoGGxrCjZVqAvW2DcueI6N1zHoy2bKEWLyyC
root_username = admin
#######past-your-root-hash-password-here##########
root_password_sha2 = e3c5925aa22abdfa18cf197a7b218fcad31acb6409d2e2dbebae807d3a9750ee
root_timezone = UTC
plugin_dir = /usr/share/graylog-server/plugin
rest_listen_uri = http://0.0.0.0:9000/api/
rest_enable_cors = true
web_listen_uri = http://0.0.0.0:9000/
rotation_strategy = count
elasticsearch_max_docs_per_index = 20000000
elasticsearch_max_number_of_indices = 7
retention_strategy = delete
elasticsearch_shards = 4
elasticsearch_replicas = 1
elasticsearch_index_prefix = graylog
allow_leading_wildcard_searches = true
allow_highlighting = false
elasticsearch_cluster_name = graylog
elasticsearch_discovery_zen_ping_unicast_hosts = 192.168.0.187:9300
elasticsearch_http_enabled = false
elasticsearch_network_host = 0.0.00
elasticsearch_discovery_initial_state_timeout = 3s
elasticsearch_analyzer = standard
output_batch_size = 500
output_flush_interval = 1
output_fault_count_threshold = 5
output_fault_penalty_seconds = 30
processbuffer_processors = 5
outputbuffer_processors = 3
processor_wait_strategy = blocking
ring_size = 65536
inputbuffer_ring_size = 65536
inputbuffer_processors = 2
inputbuffer_wait_strategy = blocking
message_journal_enabled = true
message_journal_dir = /var/lib/graylog-server/journal
async_eventbus_processors = 2
lb_recognition_period_seconds = 3
alert_check_interval = 60
mongodb_uri = mongodb://localhost/graylog
mongodb_max_connections = 1000
mongodb_threads_allowed_to_block_multiplier = 5
content_packs_dir = /usr/share/graylog-server/contentpacks
content_packs_auto_load = grok-patterns.json
proxied_requests_thread_pool_size = 32

保存し、終わったら、ファイルを閉じます, その後、Graylogサービスを開始し、ブート時に起動するように、それを有効にします。

graylog-サーバを起動systemctl
graylog-サーバを有効にsystemctl

終了したら, 次のステップに進むことができます。

5 ファイアウォールを構成します。

既定では, Graylog Webインターフェイスはポートで待機しています 9000, あなたはポートを許可する必要があります。 9000 UFW ファイアウォール経由. UFWファイアウォールは、Debianにインストールされていません 9. だから、最初にそれをインストールする必要があります。. あなたは、次のコマンドを実行してインストールすることができます:

UFW -yをインストールapt-getを

UFWがインストールされると, 次のコマンドを実行して、それを有効に。

UFW可能

次に, ポートを許可します 9000 次のコマンドを実行してUFWファイアウォールを通過:

UFW許可 9000

あなたは、次のコマンドを実行して、UFWファイアウォールの状態をいつでも確認することができます.

UFW状況

ファイアウォールが設定されたら、, 次のステップに進むことができます。.

6 アクセスGraylog Webインターフェイス

Graylog Webインターフェイスはポートで待機しています 9000. 今, web ブラウザーを開き、URL を入力 http://192.168.0.187:9000, 次の画面を参照してくださいする必要があります。

Graylogインタフェース

ユーザ名でログイン “管理者” そして、パスワードは、あなたはserver.conf上root_password_sha2で構成されました. 次の画面を参照してくださいする必要があります。

Graylogを始めます

次に, あなたは、UDPを使用してSyslogメッセージを受信するための入力を追加する必要があります. 入力を追加するには, システムをクリックします - > 入力を選択 - > SyslogのUDP - > 打ち上げ新しい入力ボタンをクリックしてください, 次の画面を参照してくださいする必要があります。

Graylogで入力ソースを追加します。

タイトルなどのすべての詳細を埋めます, ポート, アドレスをバインドし、最後に[保存]ボタンをクリックします。, 次の画面を参照してくださいする必要があります。

ログソースの詳細

今Graylogサーバは、ポートを使用してシステムログを受信します 8514 クライアントまたはサーバから.

クライアントシステム上, それはGraylogサーバにシステムログメッセージを送信するように、あなたはrsyslogのを設定する必要があります. あなたはrsyslog.confファイルを編集することによってこれを行うことができます。

ナノ/etc/rsyslog.conf

次の行を追加します。

# provides UDP syslog reception
$ModLoad imudp
$UDPServerRun 8514
$テンプレートGRAYLOGRFC5424,"%protocol-version% %timestamp:::date-rfc3339% %HOSTNAME% %app-name% %procid% %msg%n"
*.* @ 192.168.0.187:8514; GRAYLOGRFC5424

ファイルを保存し、これらの変更を適用するにはrsyslogのサービスを再起動します。

systemctl再起動rsyslogの

次に, 上のGraylogサーバーをクリックしたときに、 “Graylogソース” 次の画面で失敗したログイン試行でのsshログを見ることができます.

Graylogでログイン試行を監視

結論

おめでとうございます!あなたは成功したのDebian上Graylogサーバーをインストールおよび設定されています 9. これで、簡単に中央の場所からシステムログのログと分析を見ることができます. またGraylogをカスタマイズし、あなたの必要性に従ってログの別のタイプを送ることができます. あなたはGraylogのドキュメントページからのより多くの情報を得ることができます http://docs.graylog.org/en/2.2/pages/getting_started.html. ご質問がある場合は私にコメントすること自由に感じ.

ソース