Graylog2 günlük dosyalarıyla Debian üzerinde izlemek nasıl 9

Graylog2 günlük dosyalarıyla Debian üzerinde izlemek nasıl 9

Bu takım çalışması, Ama daha basit, daha hoş ve daha verimli.

Graylog Java tabanlı ücretsiz ve açık kaynak günlüğü yönetim aracıdır, toplamak için kullanılabilir Elasticsearch ve MongoDB, indeks ve merkezi bir yerden herhangi bir sunucu günlüğü analiz. Kolayca ayıklama uygulamaları için SSH oturumların ve sıradışı etkinliği izleyebilir ve Graylog kullanarak günlükleri. Graylog güçlü sorgu dili sağlar, yeteneklerini uyarı, veri dönüşümü ve çok daha fazlası için bir işleme boru hattı. Bir REST API aracılığıyla Graylog işlevselliğini genişletmek ve eklentiler olabilir.

Graylog üç bileşenden oluşur:

  1. Elasticsearch: Tüm gelen iletileri saklar ve bir arama tesis sağlamak.
  2. MongoDB: Bu veritabanı için kullanılır, konfigürasyonları ve meta bilgilerini depolayan.
  3. Graylog sunucusu: Bu alır ve farklı girişlerden gelen mesajları işler ve analiz ve izlenmesi için bir web arayüz sağlamak.

Bu eğitimde, Biz Debian'daki Graylog2 yükleme açıklayacağız 9 Sunucu.

Ön koşul

  • Debian çalışıyorsa Bir sunucu 9.
  • En az 4 GB RAM.
  • Bir statik IP adresi 192.168.0.187 Sunucunuzda kurulum.

1 Gerekli paketleri yüklemek

Başlamadan önce, Java yüklemeniz gerekecektir 8 ve diğer sisteminize paketleri gereklidir. Gerekli tüm paketler Debian mevcuttur Değil 9 standart depo, Böylece paket kaynağının listesine Debian backports eklemeniz gerekir. İlk, Kök kullanıcıyla giriş yapıp bir backport.list dosyası oluşturmak:

nano /etc/apt/sources.list.d/backport.list

aşağıdaki satırı ekleyin:

deb http://ftp.debian.org/debian Jessie-backports ana

İşiniz bittiğinde dosyayı kaydedin, sonra aşağıdaki komut ile sisteminizi güncelleyin:

uygun-almak güncelleþtirmek -y
apt-get yükseltme -y

Sisteminizi güncel olduğunda, Aşağıdaki komutla bütün paketleri yükleme:

PWGen -y apt-taşıma-https OpenJDK-8-jre-başsız uuid-çalıştırma yükleyin apt-get

Tüm gerekli paketleri yüklendikten sonra, Eğer MongoDB kurulum aşamasına geçebilirsiniz.

2 NoSQL yüklemek

MongoDB yapılandırma ve meta bilgileri depolamak için gereklidir. MongoDB Debian mevcuttur 9 varsayılan deposu, yüzden sadece aşağıdaki komutu çalıştırarak MongoDB yükleyebilirsiniz:

mongodb-sunucu -y install apt-get

MongoDB yüklendikten sonra, Eğer Elasticsearch kurulum aşamasına geçebilirsiniz.

3 Elasticsearch yüklemek

Elasticsearch Graylog sunucusu tarafından gönderilen tüm günlükleri saklayan bir arama sunucusu olarak davranır ve sen istemek her mesajları görüntüler. Elasticsearch Debian mevcut değildir 9 varsayılan deposu. Debian paketi kaynağına Elasticsearch deposunu eklemek gerekir.

İlk, indirmek ve şu komutla Elasticsearch GPG anahtarını ekleyin:

wget - gitmek – https://packages.elastic.co/GPG-KEY-elasticsearch | apt-key add –

Sonraki, Aşağıdaki komutla bir Elasticsearch repo dosyası oluşturmak:

nano /etc/apt/sources.list.d/elasticsearch.list

aşağıdaki satırı ekleyin:

deb kararlı main https://packages.elastic.co/elasticsearch/2.x/debian

bitiş olduğunda dosyayı kaydedin, sonra aşağıdaki komutu çalıştırarak depoyu güncelleme:

uygun-almak güncelleþtirmek -y

Sonraki, Aşağıdaki komutu çalıştırarak Elasticsearch yükleyin:

elasticsearch -y install apt-get

Elasticsearch yüklendikten sonra, Eğer Elasticsearch ana yapılandırma dosyasını değiştirmek gerekir:

nano /etc/elasticsearch/elasticsearch.yml

Aşağıdaki değişiklikleri yapın:

cluster.name: graylog
network.host: 192.168.0.187
discovery.zen.ping.timeout: 10s
discovery.zen.ping.multicast.enabled: false
discovery.zen.ping.unicast.hosts: ["192.168.0.187:9300"]

İşiniz bittiğinde dosyayı kaydedip, Sonra Elasticsearch hizmetini başlatmak ve açılışta başlayacak şekilde etkinleştirmek:

elasticsearch başlamak systemctl
elasticsearch etkinleştirmek systemctl

Birkaç saniye sonra, Elasticsearch düzgün çalıştığını sınamak için aşağıdaki çalıştırın:

bukle -XGET ‘http://192.168.0.187:9200/_cluster/health?pretty=true’

Emin olun çıktı küme durumunu olarak gösterir “Yeşil”:

{
  "cluster_name" : "graylog",
  "status" : "green",
  "timed_out" : false,
  "number_of_nodes" : 1,
  "number_of_data_nodes" : 1,
  "active_primary_shards" : 1,
  "active_shards" : 1,
  "relocating_shards" : 0,
  "initializing_shards" : 0,
  "unassigned_shards" : 1,
  "delayed_unassigned_shards" : 0,
  "number_of_pending_tasks" : 0,
  "number_of_in_flight_fetch" : 0,
  "task_max_waiting_in_queue_millis" : 0,
  "active_shards_percent_as_number" : 50.0
}

Elasticsearch yüklenmiş ve iyi çalışıyor sonra, bir sonraki adıma devam edebilirsiniz.

4 Graylog yükleyin

Graylog Debian mevcut değildir 9 varsayılan deposu, böylece Graylog indirmek ve yüklemek gerekir 2 ilk depo. Aşağıdaki komutu çalıştırarak bunu yapabilirsiniz:

wget https://packages.graylog2.org/repo/packages/graylog-2.2-repository_latest.deb
-i graylog-2.2-repository_latest.deb dpkg

depo yüklendikten sonra, depoyu güncellemek ve şu komutla Graylog sunucusu yükleyin:

uygun-almak güncelleþtirmek -y
graylog-sunucu -y install apt-get

Graylog kurduktan sonra, Eğer kullanıcı şifrelerini güvenli bir sır ayarlayabilir ve ayrıca kök kullanıcı için bir karma (sha256) parolası ayarlamanız gerekir.

İlk, Aşağıdaki komutla password_secret oluşturmak:

pwgen -N 1 -s 96

Aşağıdaki çıkış görmeniz gerekir:

TRXbNPoW4gGC8BN8Gzl4wH3jtfLoi06WCJqia18UtYyPaNLx4r8U7jUPRlIJHoGGxrCjZVqAvW2DcueI6N1zHoy2bKEWLyyC

Sonraki, Aşağıdaki komutla kök kullanıcı için karma şifre oluşturmak:

-n youradminpassword yankı | sha256sum

Aşağıdaki çıkış görmeniz gerekir:

e3c5925aa22abdfa18cf197a7b218fcad31acb6409d2e2dbebae807d3a9750ee

Not: Her iki şifre anahtarı hatırla, Her iki anahtar Server.conf yapılandırılmış gerekir çünkü.

Sonraki, / etc / graylog / sunucu / dizinde yer alan Graylog sunucusu ana yapılandırma dosyasını değiştirmek gerekir:

nano /etc/graylog/server/server.conf

Aşağıdaki değişiklikleri yapın:

is_master = true
node_id_file = /etc/graylog/server/node-id
########past-your-password-secret-here#########
password_secret = TRXbNPoW4gGC8BN8Gzl4wH3jtfLoi06WCJqia18UtYyPaNLx4r8U7jUPRlIJHoGGxrCjZVqAvW2DcueI6N1zHoy2bKEWLyyC
root_username = admin
#######past-your-root-hash-password-here##########
root_password_sha2 = e3c5925aa22abdfa18cf197a7b218fcad31acb6409d2e2dbebae807d3a9750ee
root_timezone = UTC
plugin_dir = /usr/share/graylog-server/plugin
rest_listen_uri = http://0.0.0.0:9000/api/
rest_enable_cors = true
web_listen_uri = http://0.0.0.0:9000/
rotation_strategy = count
elasticsearch_max_docs_per_index = 20000000
elasticsearch_max_number_of_indices = 7
retention_strategy = delete
elasticsearch_shards = 4
elasticsearch_replicas = 1
elasticsearch_index_prefix = graylog
allow_leading_wildcard_searches = true
allow_highlighting = false
elasticsearch_cluster_name = graylog
elasticsearch_discovery_zen_ping_unicast_hosts = 192.168.0.187:9300
elasticsearch_http_enabled = false
elasticsearch_network_host = 0.0.00
elasticsearch_discovery_initial_state_timeout = 3s
elasticsearch_analyzer = standard
output_batch_size = 500
output_flush_interval = 1
output_fault_count_threshold = 5
output_fault_penalty_seconds = 30
processbuffer_processors = 5
outputbuffer_processors = 3
processor_wait_strategy = blocking
ring_size = 65536
inputbuffer_ring_size = 65536
inputbuffer_processors = 2
inputbuffer_wait_strategy = blocking
message_journal_enabled = true
message_journal_dir = /var/lib/graylog-server/journal
async_eventbus_processors = 2
lb_recognition_period_seconds = 3
alert_check_interval = 60
mongodb_uri = mongodb://localhost/graylog
mongodb_max_connections = 1000
mongodb_threads_allowed_to_block_multiplier = 5
content_packs_dir = /usr/share/graylog-server/contentpacks
content_packs_auto_load = grok-patterns.json
proxied_requests_thread_pool_size = 32

İşiniz bittiğinde dosyayı kaydedip, Sonra Graylog hizmetini başlatmak ve açılışta başlayacak şekilde etkinleştirmek:

graylog-sunucuyu başlatın systemctl
graylog-sunucusunu etkinleştirmek systemctl

Bir kez sen are bitmiş, bir sonraki adıma devam edebilirsiniz

5 Güvenlik duvarını yapılandırma

Varsayılan olarak, Graylog web arayüzü bağlantı noktasını dinlediğini 9000, Böylece port izin gerekecek 9000 UFW güvenlik duvarı üzerinden. UFW duvarı Debian yüklü değil 9. Bu nedenle öncelikle onu yüklemeniz gerekecektir. Aşağıdaki komutu çalıştırarak yükleyebilirsiniz:

UFW -y install apt-get

UFW yüklendikten sonra, aşağıdaki komutu çalıştırarak etkinleştirmek;

UFW etkinleştir

Sonraki, port izin 9000 UFW aracılığıyla aşağıdaki komutu çalıştırarak güvenlik duvarını:

UFW izin 9000

Aşağıdaki komutu çalıştırarak UFW güvenlik duvarı statü her zaman kontrol edebilirsiniz.

UFW durumu

güvenlik duvarı yapılandırıldıktan sonra, bir sonraki adıma devam edebilirsiniz.

6 Erişim Graylog Web Arayüzü

Graylog web arayüzü bağlantı noktasını dinlediğini 9000. Şimdi, web tarayıcınızı açın ve tip belgili tanımlık URL http://192.168.0.187:9000, Aşağıdaki ekranı göreceksiniz:

Graylog Arayüz

Kullanıcı adınızı “admin” ve şifre Server.conf üzerinde root_password_sha2 yapılandırılmış. Aşağıdaki ekranı göreceksiniz:

Graylog başlarken

Sonraki, Eğer UDP kullanarak syslog mesaj almak için giriş eklemeniz gerekir. girişi eklemek için, Sistem üzerine tıklayın -> Girişler seç -> Sistem Günlüğü UDP -> Lansman yeni giriş butonuna tıklayın, Aşağıdaki ekranı göreceksiniz:

Graylog giriş kaynağı ekle

Başlık gibi tüm ayrıntıları doldurun, Bağlantı noktası, Bind adres ve nihayet kaydet butonuna tıklayın, Aşağıdaki ekranı göreceksiniz:

Günlük kaynak detay

Şimdi Graylog sunucu portunu kullanarak sistem günlükleri alacak 8514 istemci veya sunucudan.

İstemci sisteminde, o Graylog sunucusuna sistem günlükleri mesajlar gönderir, böylece rsyslog yapılandırmanız gerekir. Dosyanın rsyslog.conf düzenleyerek bunu yapabilirsiniz:

nano /etc/rsyslog.conf

Aşağıdaki satırları ekleyin:

# provides UDP syslog reception
$ModLoad imudp
$UDPServerRun 8514
$şablon GRAYLOGRFC5424,"%protocol-version% %timestamp:::date-rfc3339% %HOSTNAME% %app-name% %procid% %msg%n"
*.* @ 192.168.0.187: 8514; GRAYLOGRFC5424

Dosyayı kaydedin ve bu değişiklikleri uygulamak için rsyslog hizmetini yeniden başlatın:

systemctl restart rsyslog

Sonraki, üzerinde Graylog sunucu tıklamasında “Graylog Kaynakları” Aşağıdaki ekranda başarısız oturum açma girişimleri ile ssh günlüğünü görebilirsiniz.

Graylog ile giriş denemelerini izle

Sonuç

Tebrik ederiz! Eğer başarılı bir şekilde yüklenip Debian Graylog sunucusu yapılandırmış 9. Artık kolaylıkla merkezi bir konumdan sistem günlüklerinin günlükleri ve analizlere bakabilirsiniz. Ayrıca Graylog özelleştirmek ve ihtiyaca göre günlükleri başka türde gönderebilir. Sen Graylog dokümantasyon sayfasından daha fazla bilgi alabilirsiniz http://docs.graylog.org/en/2.2/pages/getting_started.html. Herhangi bir sorunuz varsa bana yorum yapmaktan çekinmeyin.

Kaynak