Jak monitorować pliki dziennika z Graylog2 na Debianie 9

Jak monitorować pliki dziennika z Graylog2 na Debianie 9

Jest to praca zespołowa, ale prostsze, bardziej przyjemne i bardziej produktywne.

Graylog jest wolny i otworzyć źródło narzędzie do zarządzania w dzienniku w oparciu o Java, Elasticsearch i MongoDB, który może służyć do zbierania, indeks i analizować wszelkie dziennika serwera z centralnej lokalizacji. Można łatwo monitorować logowania SSH i nietypowa aktywność do debugowania aplikacji i dzienniki za pomocą Graylog. Graylog zapewnia potężny kwerendy języka, ostrzegania umiejętności, Potok przetwarzania transformacja danych i wiele więcej. Można rozszerzyć funkcjonalność Graylog przez interfejs API REST i Dodatki.

Graylog składa się z trzech komponentów:

  1. Elasticsearch: Przechowuje wszystkie przychodzące wiadomości i posiadać funkcję wyszukiwania.
  2. MongoDB: Stosowany jest do bazy danych, są przechowywane konfiguracje i dane meta.
  3. Graylog serwer: odbiera i przetwarza wiadomości z różnych wejść i dostarcza interfejs www do analizy i monitorowania.

W tym samouczku, będziemy wyjaśniać, jak zainstalować Graylog2 na Debianie 9 Serwer.

Warunkiem wstępnym

  • Serwer z systemem Debian 9.
  • Minimalna 4 GB PAMIĘCI RAM.
  • Statyczny adres IP 192.168.0.187 Ustawienia na serwerze.

1 Zainstaluj wymagane pakiety

Przed rozpoczęciem, trzeba będzie zainstalować Java 8 i innych wymaganych pakietów do systemu. Nie wszystkie wymagane pakiety są dostępne w Debianie 9 standardowych repozytorium, więc trzeba będzie dodać do listy źródła pakietu Debian Backports. Pierwszy, Zaloguj się z uprawnieniami roota i utworzyć plik backport.list:

nano /etc/apt/sources.list.d/backport.list

Dodaj następujący wiersz:

deb http://ftp.debian.org/debian jessie-backports głównej

Zapisz plik, po zakończeniu, następnie zaktualizuj system rezygnować ten kolejne rozkazywać:

apt-get update -y
apt-get upgrade -y

Gdy Twój system jest aktualny, Zainstaluj wszystkie pakiety przy użyciu następującego polecenia:

zdolny dostaæ rata apt-transport-https openjdk-8-jre-headless uuid-runtime pwgen -y

Gdy wszystkie wymagane pakiety są zainstalowane, można przystąpić do instalowania bazy danych MongoDB.

2 Zainstalować MongoDB

MongoDB jest wymagana do przechowywania informacji meta i konfiguracja. MongoDB jest dostępne w Debianie 9 domyślne repozytorium, tak można zainstalować MongoDB tylko uruchamiając następujące polecenie:

zdolny dostaæ rata mongodb-server - y

Po zainstalowaniu MongoDB, można przystąpić do instalowania Elasticsearch.

3 Zainstalować Elasticsearch

Elasticsearch to działa jak serwer wyszukiwania, który przechowuje wszystkie dzienniki, które są wysyłane przez serwer Graylog i wyświetla wiadomości, gdy poprosisz. Elasticsearch nie jest dostępne w Debianie 9 domyślne repozytorium. Trzeba będzie dodać repozytorium Elasticsearch do źródła pakietu Debiana.

Pierwszy, pobrać i dodać klucz Elasticsearch GPG przy użyciu następującego polecenia:

wget - qO – https://Packages.Elastic.co/GPG-Key-Elasticsearch | zdolny klucz dodaæ –

Następny, Utwórz plik repo Elasticsearch, wpisując następujące polecenie:

nano /etc/apt/sources.list.d/elasticsearch.list

Dodaj następujący wiersz:

deb https://packages.elastic.co/elasticsearch/2.x/debian stabilne główne

Zapisz plik, gdy jesteś wykończenie, następnie aktualizacja repozytorium, uruchamiając następujące polecenie:

apt-get update -y

Następny, zainstalować Elasticsearch, uruchamiając następujące polecenie:

zdolny dostaæ rata elasticsearch -y

Po zainstalowaniu Elasticsearch, trzeba będzie zmodyfikować plik konfiguracji głównego Elasticsearch:

nano /etc/elasticsearch/elasticsearch.yml

Należy wprowadzić następujące zmiany:

cluster.Name: graylog network.host: 192.168.0.187
discovery.zen.ping.timeout: 10s
discovery.zen.ping.multicast.enabled: false
discovery.zen.ping.unicast.hosts: ["192.168.0.187:9300"]

Zapisz i zamknij plik, po zakończeniu, następnie uruchom usługę Elasticsearch i włączyć go uruchomić podczas startu systemu:

systemctl start elasticsearch
systemctl Włącz elasticsearch

Po kilku sekundach, Uruchom następujące czynności, aby przetestować tego Elasticsearch działa prawidłowo:

curl - XGET ' http://192.168.0.187:9200/_cluster/zdrowia? całkiem = true’

Upewnij się, że dane wyjściowe pokazuje stan klastra jako “zielony”:

{
  "cluster_name" : "graylog",
  "status" : "green",
  "timed_out" : false,
  "number_of_nodes" : 1,
  "number_of_data_nodes" : 1,
  "active_primary_shards" : 1,
  "active_shards" : 1,
  "relocating_shards" : 0,
  "initializing_shards" : 0,
  "unassigned_shards" : 1,
  "delayed_unassigned_shards" : 0,
  "number_of_pending_tasks" : 0,
  "number_of_in_flight_fetch" : 0,
  "task_max_waiting_in_queue_millis" : 0,
  "active_shards_percent_as_number" : 50.0
}

Po Elasticsearch jest zainstalowany i działa poprawnie, Możesz przejść do następnego kroku.

4 Zainstalować Graylog

Graylog nie jest dostępne w Debianie 9 domyślne repozytorium, więc trzeba będzie pobrać i zainstalować Graylog 2 repozytorium pierwszy. Można to zrobić, uruchamiając następujące polecenie:

wget https://packages.graylog2.org/repo/packages/graylog-2.2-repository_latest.deb
dpkg -i graylog 2,2 repository_latest.deb

Po zainstalowaniu repozytorium, repozytorium aktualizacji i instalacji Graylog serwera przy użyciu następującego polecenia:

apt-get update -y
zdolny dostaæ rata graylog serwer - y

Po zainstalowaniu Graylog, trzeba będzie ustawić w tajemnicy, aby zabezpieczyć hasła użytkownika, a także ustawić hasło mieszania (sha256) użytkownika root.

Pierwszy, generowania password_secret z następującego polecenia:

pwgen -N 1 -s 96

Powinieneś zobaczyć następujący wynik:

TRXbNPoW4gGC8BN8Gzl4wH3jtfLoi06WCJqia18UtYyPaNLx4r8U7jUPRlIJHoGGxrCjZVqAvW2DcueI6N1zHoy2bKEWLyyC

Następny, wygenerować hash hasła dla użytkownika root z następującego polecenia:

echo - n youradminpassword | sha256sum

Powinieneś zobaczyć następujący wynik:

e3c5925aa22abdfa18cf197a7b218fcad31acb6409d2e2dbebae807d3a9750ee

Uwaga: Należy pamiętać o obu hasło klucz, ponieważ zarówno klucz, należy skonfigurować w server.conf.

Następny, trzeba będzie zmodyfikować plik konfiguracji głównego serwera Graylog znajduje się w/etc/graylog/server/katalogu:

nano /etc/graylog/server/server.conf

Należy wprowadzić następujące zmiany:

is_master = true node_id_file = /etc/graylog/server/node-id ###past-Twojego-hasło-sekret-tutaj ### password_secret = TRXbNPoW4gGC8BN8Gzl4wH3jtfLoi06WCJqia18UtYyPaNLx4r8U7jUPRlIJHoGGxrCjZVqAvW2DcueI6N1zHoy2bKEWLyyC root_ username = admin ###past-your-root-hash-password-here### root_password_sha2 = e3c5925aa22abdfa18cf197a7b218fcad31acb6409d2e2dbebae807d3a9750ee root_timezone = UTC plugin_dir = /usr/share/graylog-server/plugin rest_listen_uri = http://0.0.0.0:9000/api/rest_enable_cors = true web_listen_uri = http://0.0.0.0:9000 / rotation_strategy = liczba elasticsearch_max_docs_per_index = 20000000
elasticsearch_max_number_of_indices = 7
retention_strategy = Usuń elasticsearch_shards = 4
elasticsearch_replicas = 1
elasticsearch_index_prefix = graylog allow_leading_wildcard_searches = true allow_highlighting = false elasticsearch_cluster_name = graylog elasticsearch_discovery_zen_ping_unicast_hosts = 192.168.0.187: 9300 elasticsearch_http_enabled = false elasticsearch_network_host = 0.0.00
elasticsearch_discovery_initial_state_timeout = 3s elasticsearch_analyzer = standardowe output_batch_size = 500
output_flush_interval = 1
output_fault_count_threshold = 5
output_fault_penalty_seconds = 30
processbuffer_processors = 5
outputbuffer_processors = 3
processor_wait_strategy = blokowanie ring_size = 65536
inputbuffer_ring_size = 65536
inputbuffer_processors = 2
inputbuffer_wait_strategy = blokowanie message_journal_enabled = true message_journal_dir = /var/lib/graylog-server/journal async_eventbus_processors = 2
lb_recognition_period_seconds = 3
alert_check_interval = 60
mongodb_uri = mongodb://localhost/graylog mongodb_max_connections = 1000
mongodb_threads_allowed_to_block_multiplier = 5
content_packs_dir = /usr/share/graylog-server/contentpacks content_packs_auto_load = grok-patterns.json proxied_requests_thread_pool_size = 32

Zapisz i zamknij plik, po zakończeniu, następnie uruchom usługę Graylog i włączyć go uruchomić podczas startu systemu:

systemctl start graylog serwer
systemctl Włącz graylog serwer

Po zakończeniu, Możesz przejść do następnego kroku

5 Konfigurowanie zapory

Domyślnie, Graylog interfejs sieci web nasłuchuje na porcie 9000, więc będziesz musiał umożliwić portu 9000 przez zaporę UFW. UFW zapory nie jest zainstalowany w systemie Debian 9. Więc trzeba będzie najpierw zainstalować. Można go zainstalować, uruchamiając następujące polecenie:

zdolny dostaæ rata ufw -y

Po zainstalowaniu UFW, go włączyć, uruchamiając następujące polecenie;

UFW po

Następny, Zezwalaj na port 9000 przez zaporę UFW, uruchamiając następujące polecenie:

UFW pozwala 9000

Można sprawdzić stan UFW zapory na każdej chwili uruchamiając następujące polecenie.

UFW stanu

Po skonfigurowaniu zapory, Możesz przejść do następnego kroku.

6 Dostęp do interfejsu WWW Graylog

Graylog interfejs sieci web nasłuchuje na porcie 9000. Teraz, Otwórz przeglądarkę internetową i wpisz adres URL http://192.168.0.187:9000, powinieneś zobaczyć następujący ekran:

Interfejs Graylog

Zaloguj się używając nazwy użytkownika “admin” i hasło skonfigurowane w root_password_sha2 na server.conf. Powinieneś zobaczyć następujący ekran:

Graylog wprowadzenie

Następny, trzeba będzie dodać dane wejściowe, aby otrzymać wiadomość syslog, przy użyciu protokołu UDP. Aby dodać dane wejściowe, Kliknij na System-> Wybierz Wejścia-> Syslog UDP-> Kliknij na Uruchom nowy przycisk input, powinieneś zobaczyć następujący ekran:

Dodawanie źródła danych wejściowych w Graylog

Wypełnić wszystkie szczegóły, takie jak tytuł, Port, Powiązać adres i na koniec kliknij na przycisk Zapisz, powinieneś zobaczyć następujący ekran:

Szczegóły źródła dziennika

Teraz serwer Graylog otrzymają Dzienniki systemu przy użyciu portu 8514 od klienta lub serwera.

W systemie klienckim, trzeba będzie skonfigurować rsyslog, tak, że system dzienników wiadomości wyśle do serwera Graylog. Można to zrobić edytując plik rsyslog.conf:

nano /etc/rsyslog.conf

Dodaj następujące wiersze:

# zapewnia UDP syslog recepcji $ModLoad imudp $UDPServerRun 8514
$szablon GRAYLOGRFC5424,"%protocol-version% %timestamp:::date-rfc3339% %HOSTNAME% %app-name% %procid% %msg%n"
*.* @192.168.0.187:8514; GRAYLOGRFC5424

Zapisz plik i ponownie uruchom usługę rsyslog, aby zastosować te zmiany:

systemctl ponownie rsyslog

Następny, na serwerze Graylog kliknij na “Źródła Graylog” Możesz zobaczyć logowania ssh z nieudanymi próbami w następujący ekran.

Próbach logowania monitora z Graylog

Wniosek

Gratulacje! można pomyślnie zainstalowany i skonfigurowany serwer Graylog na Debianie 9. Teraz można łatwo zobaczyć logi i analizy logów systemowych z centralnej lokalizacji. Można również dostosować Graylog i wysłać inny rodzaj dzienniki, jak na swoje potrzeby. Więcej informacji można uzyskać na stronie dokumentacji Graylog http://docs.graylog.org/en/2.2/pages/getting_started.html. Zapraszam do mnie komentarz, jeśli masz jakiekolwiek pytania.

Źródła

jedna odpowiedź

  1. Nathaniel Simch de Morais