Как отслеживать файлы журнала с Graylog2 на Debian 9

Как отслеживать файлы журнала с Graylog2 на Debian 9

Это совместная работа, но проще, более приятным и более продуктивным.

Graylog является свободным и открытым исходным кодом инструмент управления журнала, основанный на Java, Elasticsearch и MongoDB, которые могут быть использованы для сбора, индексировать и анализировать любой журнал сервера от централизованно. Вы можете легко контролировать SSH логины и необычную активность для отладки приложений и журналов с помощью Graylog. Graylog обеспечивает мощный язык запросов, предупреждая способности, трубопровод обработки для преобразования данных и многого другого. Вы можете расширить функциональные возможности Graylog через REST API и Дополнения.

Graylog состоит из трех компонентов:

  1. Elasticsearch: Он хранит все входящие сообщения и обеспечить испытующе объекта.
  2. MongoDB: Он используется для базы данных, хранит конфигурацию и метаинформации.
  3. Graylog сервер: Он принимает и обрабатывает сообщения от различных входов и предоставляет веб-интерфейс для анализа и мониторинга.

В этом руководстве, мы объясним, как установить Graylog2 на Debian 9 Сервера.

Условием

  • Сервер под управлением Debian 9.
  • Минимум 4 ГБ ОПЕРАТИВНОЙ ПАМЯТИ.
  • Статический IP-адрес 192.168.0.187 Настройка на сервере.

1 Установить необходимые пакеты

Перед началом, вам нужно будет установить Java 8 и другие требуемые пакеты для вашей системы. Не все требуемые пакеты доступны в Debian 9 стандартный репозиторий, так что вам нужно будет добавить Debian Backports к списку источника пакета. Первый, войти в систему с правами суперпользователя пользователя и создать backport.list файл:

нано /etc/apt/sources.list.d/backport.list

Добавьте следующую строку:

Deb http://ftp.debian.org/debian Jessie-Backports Основной

Сохраните файл, когда вы закончите, затем обновить систему с помощью следующей команды:

APT-получить обновление -y
APT получить обновления -y

Как только ваша система современных, установить все пакеты с помощью следующей команды:

APT-получить установку APT-транспортного протокола HTTPS OpenJDK-8-JRE-обезглавленное UUID-среда выполнения PWGen -y

После установки всех необходимых пакетов, вы можете приступить к установке MongoDB.

2 Установить MongoDB

MongoDB требуется для хранения конфигурации и метаинформаций. MongoDB доступен в Debian 9 хранилище по умолчанию, так что вы можете установить MongoDB, просто выполнив следующую команду:

APT-получить установку MongoDB-сервера -y

После того, как MongoDB установлен, вы можете приступить к установке Elasticsearch.

3 Установка Elasticsearch

Elasticsearch это действует как сервер поиска, который хранит все журналы, отправленные сервером Graylog и отображает сообщения, когда вы запрашиваете. Elasticsearch не доступен в Debian 9 хранилище по умолчанию. Вам нужно будет добавить репозиторий Elasticsearch к источнику пакета Debian.

Первый, скачать и добавить ключ Elasticsearch GPG с помощью следующей команды:

Wget - qO – https://packages.elastic.co/GPG-KEY-elasticsearch | APT-ключ добавить –

Следующая, создать файл репо Elasticsearch с помощью следующей команды:

нано /etc/apt/sources.list.d/elasticsearch.list

Добавьте следующую строку:

Deb https://packages.elastic.co/elasticsearch/2.x/debian стабильную магистраль

Сохраните файл, когда вы отделка, затем обновить репозиторий, выполнив следующую команду:

APT-получить обновление -y

Следующая, установить Elasticsearch, выполнив следующую команду:

APT-получить установку elasticsearch -y

После Elasticsearch установлен, Вам нужно будет изменить основной конфигурационный файл Elasticsearch:

нано /etc/elasticsearch/elasticsearch.yml

Внесите следующие изменения:

cluster.name: graylog
network.host: 192.168.0.187
discovery.zen.ping.timeout: 10s
discovery.zen.ping.multicast.enabled: false
discovery.zen.ping.unicast.hosts: ["192.168.0.187:9300"]

Сохраните и закройте файл, когда вы закончите, затем запустить службу Elasticsearch и включить его запуск при загрузке:

systemctl начать elasticsearch
systemctl включить elasticsearch

Через несколько секунд, выполните следующие действия, чтобы проверить, что Elasticsearch работает правильно:

локон -XGET «http://192.168.0.187:9200/_cluster/health?pretty=true’

Убедитесь в том, что вывод, показывающий состояние кластера как “Грин”:

{
  "cluster_name" : "graylog",
  "status" : "green",
  "timed_out" : false,
  "number_of_nodes" : 1,
  "number_of_data_nodes" : 1,
  "active_primary_shards" : 1,
  "active_shards" : 1,
  "relocating_shards" : 0,
  "initializing_shards" : 0,
  "unassigned_shards" : 1,
  "delayed_unassigned_shards" : 0,
  "number_of_pending_tasks" : 0,
  "number_of_in_flight_fetch" : 0,
  "task_max_waiting_in_queue_millis" : 0,
  "active_shards_percent_as_number" : 50.0
}

После установки и работает нормально Elasticsearch, Вы можете перейти к следующему шагу.

4 Установить Graylog

Graylog не доступен в Debian 9 хранилище по умолчанию, так что вам нужно будет скачать и установить Graylog 2 хранилище первого. Вы можете сделать это, выполнив следующую команду:

Wget https://packages.graylog2.org/repo/packages/graylog-2.2-repository_latest.deb
DPKG -i Graylog-2,2-repository_latest.deb

После того, как хранилище установлено, обновить репозиторий и установить сервер Graylog с помощью следующей команды:

APT-получить обновление -y
APT-получить установку Graylog-сервера -y

После установки Graylog, вам нужно будет установить секрет для защиты паролей пользователей, а также установить хэш (sha256) пароль для корневого пользователя.

Первый, генерировать password_secret с помощью следующей команды:

pwgen -N 1 -s 96

Вы должны увидеть следующий вывод:

TRXbNPoW4gGC8BN8Gzl4wH3jtfLoi06WCJqia18UtYyPaNLx4r8U7jUPRlIJHoGGxrCjZVqAvW2DcueI6N1zHoy2bKEWLyyC

Следующая, генерировать хэш-пароль для суперпользователя с помощью следующей команды:

эхо -n youradminpassword | sha256sum

Вы должны увидеть следующий вывод:

e3c5925aa22abdfa18cf197a7b218fcad31acb6409d2e2dbebae807d3a9750ee

Примечание: Помните, как ключ пароля, потому как ключ будет необходимо настроить в server.conf.

Следующая, Вам нужно будет изменить сервер конфигурационный файл Graylog, расположенный в / и т.д. / Graylog / сервера / каталога:

нано /etc/graylog/server/server.conf

Внесите следующие изменения:

is_master = true
node_id_file = /etc/graylog/server/node-id
########past-your-password-secret-here#########
password_secret = TRXbNPoW4gGC8BN8Gzl4wH3jtfLoi06WCJqia18UtYyPaNLx4r8U7jUPRlIJHoGGxrCjZVqAvW2DcueI6N1zHoy2bKEWLyyC
root_username = admin
#######past-your-root-hash-password-here##########
root_password_sha2 = e3c5925aa22abdfa18cf197a7b218fcad31acb6409d2e2dbebae807d3a9750ee
root_timezone = UTC
plugin_dir = /usr/share/graylog-server/plugin
rest_listen_uri = http://0.0.0.0:9000/api/
rest_enable_cors = true
web_listen_uri = http://0.0.0.0:9000/
rotation_strategy = count
elasticsearch_max_docs_per_index = 20000000
elasticsearch_max_number_of_indices = 7
retention_strategy = delete
elasticsearch_shards = 4
elasticsearch_replicas = 1
elasticsearch_index_prefix = graylog
allow_leading_wildcard_searches = true
allow_highlighting = false
elasticsearch_cluster_name = graylog
elasticsearch_discovery_zen_ping_unicast_hosts = 192.168.0.187:9300
elasticsearch_http_enabled = false
elasticsearch_network_host = 0.0.00
elasticsearch_discovery_initial_state_timeout = 3s
elasticsearch_analyzer = standard
output_batch_size = 500
output_flush_interval = 1
output_fault_count_threshold = 5
output_fault_penalty_seconds = 30
processbuffer_processors = 5
outputbuffer_processors = 3
processor_wait_strategy = blocking
ring_size = 65536
inputbuffer_ring_size = 65536
inputbuffer_processors = 2
inputbuffer_wait_strategy = blocking
message_journal_enabled = true
message_journal_dir = /var/lib/graylog-server/journal
async_eventbus_processors = 2
lb_recognition_period_seconds = 3
alert_check_interval = 60
mongodb_uri = mongodb://localhost/graylog
mongodb_max_connections = 1000
mongodb_threads_allowed_to_block_multiplier = 5
content_packs_dir = /usr/share/graylog-server/contentpacks
content_packs_auto_load = grok-patterns.json
proxied_requests_thread_pool_size = 32

Сохраните и закройте файл, когда вы закончите, затем запустить службу Graylog и включить его запуск при загрузке:

systemctl начать Graylog-сервер
systemctl включить Graylog-сервер

После того как вы закончите, Вы можете перейти к следующему шагу

5 Настройка брандмауэра

По умолчанию, Веб-интерфейс Graylog прослушивает порт 9000, так что вам будет необходимо, чтобы порт 9000 через брандмауэр UFW. UFW брандмауэр не установлен в Debian 9. Так что вам нужно будет установить его первым. Вы можете установить его, выполнив следующую команду:

APT-получить установку UFW -y

После UFW установлен, включите его, выполнив следующую команду;

Включение UFW

Следующая, разрешить порт 9000 через UFW брандмауэр, выполнив следующую команду:

UFW позволяют 9000

Вы можете проверить статус UFW брандмауэра в любое время, выполнив следующую команду.

статус UFW

После того, как брандмауэр настроен, Вы можете перейти к следующему шагу.

6 Доступ Graylog веб-интерфейс

Веб-интерфейс Graylog прослушивает порт 9000. Теперь, Откройте веб-браузер и введите URL-адрес http://192.168.0.187:9000, Вы должны увидеть следующий экран:

Graylog интерфейс

Вход с паролем “Администратор” и пароль, который вы настроены на root_password_sha2 на server.conf. Вы должны увидеть следующий экран:

Graylog начала работы

Следующая, вам нужно будет добавить ввод получить сообщение системного журнала с помощью UDP. Чтобы добавить вход, Нажмите на System -> выберите Входы -> Syslog UDP -> нажмите на старт новой кнопки ввода, Вы должны увидеть следующий экран:

Добавить источник входного сигнала в Graylog

Заполните все детали, такие как Заголовок, Порт, Bind адрес и, наконец, нажмите на кнопку Сохранить, Вы должны увидеть следующий экран:

Подробный источник Вход

Теперь сервер Graylog получит системные журналы с помощью порта 8514 от клиента или сервера.

О системе клиента, вам нужно будет настроить Rsyslog так, что он будет посылать системные журналы сообщения на сервер Graylog. Вы можете сделать это путем редактирования rsyslog.conf файла:

Нано-/etc/rsyslog.conf

Добавьте следующие строки:

# provides UDP syslog reception
$ModLoad imudp
$UDPServerRun 8514
$шаблон GRAYLOGRFC5424,"%protocol-version% %timestamp:::date-rfc3339% %HOSTNAME% %app-name% %procid% %msg%n"
*.* @ 192.168.0.187: 8514; GRAYLOGRFC5424

Сохраните файл и перезапустите Rsyslog службу, чтобы применить эти изменения:

systemctl перезагрузка Rsyslog

Следующая, на сервере нажмите Graylog на “Источники Graylog” вы можете увидеть журнал SSH с неудачными попытками входа в следующем окне.

Контролировать попытки входа в систему с Graylog

Заключение

Поздравления! Вы успешно установили и настроили сервер Graylog на Debian 9. Теперь вы можете легко увидеть, журналы и анализ системных журналов из центрального местоположения. Вы также можете настроить Graylog и отправить другой тип бревен в соответствии с вашими потребностями. Вы можете получить более подробную информацию на странице документации Graylog http://docs.graylog.org/en/2.2/pages/getting_started.html. Не стесняйтесь комментировать мне, если у вас есть какие-либо вопросы,.

Источник