Ako sledovať Log súbory s Graylog2 na Debian 9

Ako sledovať Log súbory s Graylog2 na Debian 9

Je to tímová práca, ale jednoduchšie, príjemnejšie a produktívnejšie.

Graylog je zadarmo a open source log management nástroj založený na Java, Elasticsearch a MongoDB, ktoré môžu byť použité na zhromažďovanie, index a analyzovať akýkoľvek server log z centrálneho miesta. Môžete ľahko sledovať SSH prihlásenie a nezvyčajnú aktivitu pre ladenie aplikácie a denníky pomocou Graylog. Graylog poskytuje výkonné dotaz jazyka, alerting schopnosti, spracovanie potrubia pre transformáciu dát a oveľa viac. Môžete rozšíriť funkčnosť Graylog cez REST API a doplnky.

Graylog sa skladá z troch zložiek:

  1. Elasticsearch: Ukladá všetky prichádzajúce správy a poskytovať vyhľadávanie zariadenia.
  2. MongoDB: Používa sa pre databázu, uložené konfigurácie a meta informácie.
  3. Graylog server: získava a spracováva správy z rôznych vstupov a poskytuje iba webové rozhranie pre analýzu a monitorovanie.

V tomto tutoriále, budeme vysvetľovať ako nainštalovať Graylog2 na Debian 9 Server.

Predpokladom

  • Server beží Debian 9.
  • Minimálne 4 GB RAM.
  • Statická adresa IP 192.168.0.187 nastavenie na serveri.

1 Nainštalovať potrebné balíčky

Pred začatím, budete musieť nainštalovať Java 8 a ostatné požadované balíky do systému. Nie všetky požadované balíky sú k dispozícii v Debiane 9 štandardné úložiska, Takže budete musieť pridať Debiane Backports zoznam balíka source. Prvý, prihlásiť s užívateľom root a vytvoriť súbor backport.list:

nano /etc/apt/sources.list.d/backport.list

Pridajte nasledujúci riadok:

deb http://ftp.debian.org/debian jessie-backports hlavné

Uložte súbor, po dokončení, potom aktualizujte svoj systém s nasledujúci príkaz:

apt-get update -y
apt-get upgrade -y

Potom, čo váš systém je aktualizovaný, Inštalácia všetkých balíkov s nasledujúci príkaz:

apt-get install apt-transport-https openjdk-8-jre-headless uuid-runtime pwgen -y

Akonáhle všetky požadované balíky sú inštalované, môžete pristúpiť k inštalácii MongoDB.

2 Nainštalujte MongoDB

MongoDB je potrebný na uloženie konfigurácie a meta informácie. MongoDB je k dispozícii v Debian 9 Predvolené úložiska, aby ste mohli nainštalovať MongoDB len spustením nasledujúceho príkazu:

apt-get install mongodb-server - y

Akonáhle je nainštalovaný MongoDB, môžete pristúpiť k inštalácii Elasticsearch.

3 Nainštalujte Elasticsearch

Elasticsearch je pôsobí ako vyhľadávací server, ktorý uchováva všetky záznamy zaslané Graylog server a zobrazuje správy kedykoľvek si vyžiadať. Elasticsearch nie je k dispozícii v Debian 9 Predvolené úložiska. Budete musieť pridať repozitár Elasticsearch na zdrojové balíky Debianu.

Prvý, Stiahnuť a pridať Elasticsearch GPG kľúč s nasledujúci príkaz:

wget - qO – https://Packages.Elastic.co/GPG-Key-elasticsearch | Pridať apt-key –

Ďalší, Vytvorenie súboru Elasticsearch repo s nasledujúci príkaz:

nano /etc/apt/sources.list.d/elasticsearch.list

Pridajte nasledujúci riadok:

deb https://packages.elastic.co/elasticsearch/2.x/debian stabilné hlavné

Uložte súbor, keď ste dokončiť, potom aktualizácia úložiska spustením nasledujúceho príkazu:

apt-get update -y

Ďalší, Nainštalujte Elasticsearch spustením nasledujúceho príkazu:

apt-get install elasticsearch -y

Akonáhle je nainštalovaný Elasticsearch, budete musieť upraviť Elasticsearch hlavného konfiguračného súboru:

nano /etc/elasticsearch/elasticsearch.yml

Vykonajte nasledujúce zmeny:

Cluster.Name: graylog network.host: 192.168.0.187
discovery.zen.ping.timeout: 10s
discovery.zen.ping.multicast.enabled: false
discovery.zen.ping.unicast.hosts: ["192.168.0.187:9300"]

Uložte a zatvorte súbor, po dokončení, potom spustite službu Elasticsearch a umožňujú ho spustiť pri štarte:

systemctl Štart elasticsearch
systemctl povoliť elasticsearch

Po niekoľkých sekundách, Spustite nasledujúce test že Elasticsearch pracuje správne:

curl - XGET "http://192.168.0.187:9200/_cluster/zdravie? celkom = true’

Skontrolujte, či výstup zobrazuje klastra stav ako “Zelená”:

{
  "cluster_name" : "graylog",
  "status" : "green",
  "timed_out" : false,
  "number_of_nodes" : 1,
  "number_of_data_nodes" : 1,
  "active_primary_shards" : 1,
  "active_shards" : 1,
  "relocating_shards" : 0,
  "initializing_shards" : 0,
  "unassigned_shards" : 1,
  "delayed_unassigned_shards" : 0,
  "number_of_pending_tasks" : 0,
  "number_of_in_flight_fetch" : 0,
  "task_max_waiting_in_queue_millis" : 0,
  "active_shards_percent_as_number" : 50.0
}

Akonáhle je nainštalovaný Elasticsearch a v poriadku, môžete pokračovať na ďalší krok.

4 Nainštalujte Graylog

Graylog nie je k dispozícii v Debian 9 Predvolené úložiska, Takže budete potrebovať stiahnuť a nainštalovať Graylog 2 úložisko prvý. Môžete to urobiť spustením nasledujúceho príkazu:

wget https://packages.graylog2.org/repo/packages/graylog-2.2-repository_latest.deb
dpkg -i graylog-2,2-repository_latest.deb

Akonáhle je nainštalovaný úložiska, aktualizovať repozitára a nainštalovať Graylog server s nasledujúci príkaz:

apt-get update -y
apt-get install graylog-server - y

Po inštalácii Graylog, budete musieť nastaviť v tajnosti na zabezpečenie používateľských hesiel a nastaviť aj hash (sha256) heslo pre užívateľa root.

Prvý, vygenerovať password_secret s nasledujúci príkaz:

pwgen -N 1 -s 96

Mali by ste vidieť nasledujúci výstup:

TRXbNPoW4gGC8BN8Gzl4wH3jtfLoi06WCJqia18UtYyPaNLx4r8U7jUPRlIJHoGGxrCjZVqAvW2DcueI6N1zHoy2bKEWLyyC

Ďalší, generovanie hash heslo pre užívateľa root s nasledujúci príkaz:

echo - n youradminpassword | sha256sum

Mali by ste vidieť nasledujúci výstup:

e3c5925aa22abdfa18cf197a7b218fcad31acb6409d2e2dbebae807d3a9750ee

Poznámka: Nezabudnite oboch heslo kľúč, pretože obe key potrebovať nakonfigurovaný v server.conf.

Ďalší, budete musieť upraviť Graylog server hlavný konfiguračný súbor umiestnený v/etc/graylog/server/adresár:

nano /etc/graylog/server/server.conf

Vykonajte nasledujúce zmeny:

is_master = true node_id_file = /etc/graylog/server/node-id ###past-vaše-heslo-secret-tu ### password_secret = TRXbNPoW4gGC8BN8Gzl4wH3jtfLoi06WCJqia18UtYyPaNLx4r8U7jUPRlIJHoGGxrCjZVqAvW2DcueI6N1zHoy2bKEWLyyC root_ username = admin ###past-your-root-hash-password-here### root_password_sha2 = e3c5925aa22abdfa18cf197a7b218fcad31acb6409d2e2dbebae807d3a9750ee root_timezone = UTC plugin_dir = /usr/share/graylog-server/plugin rest_listen_uri = http://0.0.0.0:9000/api/rest_enable_cors = true web_listen_uri = http://0.0.0.0:9000 / rotation_strategy = počet elasticsearch_max_docs_per_index = 20000000
elasticsearch_max_number_of_indices = 7
retention_strategy = vymazať elasticsearch_shards = 4
elasticsearch_replicas = 1
elasticsearch_index_prefix = graylog allow_leading_wildcard_searches = true allow_highlighting = false elasticsearch_cluster_name = graylog elasticsearch_discovery_zen_ping_unicast_hosts = 192.168.0.187: 9300 elasticsearch_http_enabled = false elasticsearch_network_host = 0.0.00
elasticsearch_discovery_initial_state_timeout = 3s elasticsearch_analyzer = standard output_batch_size = 500
output_flush_interval = 1
output_fault_count_threshold = 5
output_fault_penalty_seconds = 30
processbuffer_processors = 5
outputbuffer_processors = 3
processor_wait_strategy = blokovanie ring_size = 65536
inputbuffer_ring_size = 65536
inputbuffer_processors = 2
inputbuffer_wait_strategy = blokovanie message_journal_enabled = true message_journal_dir = /var/lib/graylog-server/journal async_eventbus_processors = 2
lb_recognition_period_seconds = 3
alert_check_interval = 60
mongodb_uri = mongodb://localhost/graylog mongodb_max_connections = 1000
mongodb_threads_allowed_to_block_multiplier = 5
content_packs_dir = /usr/share/graylog-server/contentpacks content_packs_auto_load = grok patterns.json proxied_requests_thread_pool_size = 32

Uložte a zatvorte súbor, po dokončení, potom spustite službu Graylog a umožňujú ho spustiť pri štarte:

systemctl Štart graylog-server
systemctl povoliť graylog-server

Po skončení, môžete pokračovať na ďalší krok

5 Konfigurácia brány Firewall

V predvolenom nastavení, Graylog webové rozhranie na porte nenačúva 9000, Takže budete musieť povoliť port 9000 pomocou UFW firewall. UFW firewall nie je nainštalovaný v Debiane 9. Takže budete musieť najprv nainštalovať. Môžete ho nainštalovať spustením nasledujúceho príkazu:

apt-get install ufw -y

Akonáhle je nainštalovaný UFW, zapnúť spustením nasledujúceho príkazu;

zapnúť ufw

Ďalší, povoliť port 9000 pomocou UFW firewall spustením nasledujúceho príkazu:

ufw umožňujú 9000

Môžete skontrolovať stav UFW firewall kedykoľvek spustením nasledujúceho príkazu.

ufw stav

Keď firewall je nakonfigurovaný, môžete pokračovať na ďalší krok.

6 Prístup Graylog webového rozhrania

Graylog webové rozhranie na porte nenačúva 9000. Teraz, Otvorte webový prehľadávač a zadajte adresu URL http://192.168.0.187:9000, mali by ste vidieť nasledujúcu obrazovku:

Graylog rozhranie

Prihlasovacie meno “admin” a heslo, ktoré ste nakonfigurovali na root_password_sha2 na server.conf. Mali by ste vidieť nasledujúcu obrazovku:

Graylog Začíname

Ďalší, budete musieť pridať vstupné prijímať syslog správy pomocou protokolu UDP. Pridať vstup, Kliknite na systém-> Výber vstupov-> Syslog UDP-> kliknite na nové vstupné tlačidlo spustenia, mali by ste vidieť nasledujúcu obrazovku:

Pridajte vstupný zdroj Graylog

Vyplniť všetky údaje ako názov, Port, Naviazať adresu a nakoniec kliknite na tlačidlo Uložiť, mali by ste vidieť nasledujúcu obrazovku:

Denník zdroja detail

Teraz Graylog server dostane denníky systému použitím portu 8514 od klienta alebo servera.

Na strane klienta systému, budete musieť nakonfigurovať rsyslog tak, že pošle systémové logy správy na serveri Graylog. Môžete to urobiť pomocou editácie súboru rsyslog.conf:

nano /etc/rsyslog.conf

Pridajte nasledujúce riadky:

# poskytuje UDP syslog príjem $ModLoad imudp $UDPServerRun 8514
$šablóny GRAYLOGRFC5424,"%protocol-version% %timestamp:::date-rfc3339% %HOSTNAME% %app-name% %procid% %msg%n"
*.* @192.168.0.187:8514; GRAYLOGRFC5424

Uložte súbor a reštartujte službu rsyslog tieto zmeny:

systemctl reštart rsyslog

Ďalší, na serveri Graylog kliknite na “Graylog zdrojov” môžete vidieť ssh prihlásenie zlyhalo prihlásenie pokusy v nasledujúcej obrazovke.

Monitor prihlasovacie pokusy s Graylog

Záver

Gratulujem! ste úspešne nainštalovaný a nakonfigurovaný Graylog server na Debian 9. Môžete ľahko pozrieť záznamy a analýzy systémové protokoly z centrálneho miesta. Môžete tiež prispôsobiť Graylog a odoslanie iného typu záznamy podľa svojej potreby. Môžete získať viac informácií na stránke Graylog dokumentácie http://docs.graylog.org/en/2.2/pages/getting_started.html. Nebojte sa mi komentár, ak máte akékoľvek otázky.

Zdroj

One Response

  1. Nathaniel Simch de Morais

Zanechať Odpoveď