Làm thế nào để giám sát các tập tin đăng nhập với Graylog2 trên Debian 9

Làm thế nào để giám sát các tập tin đăng nhập với Graylog2 trên Debian 9

Đó là tinh thần đồng đội, nhưng đơn giản hơn, Dễ chịu hơn và năng suất cao hơn.

Graylog là một công cụ quản lý đăng nhập miễn phí và mã nguồn mở dựa trên Java, Elasticsearch và MongoDB có thể được sử dụng để thu thập, đánh chỉ mục và phân tích bất kỳ đăng nhập máy chủ từ một địa điểm tập trung. Bạn có thể dễ dàng theo dõi các thông tin đăng nhập SSH và các hoạt động bất thường để gỡ lỗi các ứng dụng và các bản ghi bằng cách sử dụng Graylog. Graylog cung cấp một ngôn ngữ truy vấn mạnh mẽ, cảnh báo khả năng, một đường ống xử lý dữ liệu chuyển đổi và nhiều hơn nữa. Bạn có thể mở rộng các chức năng của Graylog thông qua một API REST và tiện ích.

Graylog này bao gồm ba thành phần:

  1. Elasticsearch: Nó lưu trữ tất cả các thư đến tin nhắn và cung cấp một cơ sở tìm kiếm.
  2. MongoDB: Nó được sử dụng cho cơ sở dữ liệu, Mua sắm các cấu hình và thông tin meta.
  3. Máy chủ Graylog: nó nhận được tin nhắn từ các đầu vào các quá trình và cung cấp một giao diện web để phân tích và giám sát.

Trong hướng dẫn này, chúng tôi sẽ giải thích làm thế nào để cài đặt Graylog2 trên Debian 9 Máy chủ.

Điều kiện tiên quyết

  • Một máy chủ chạy Debian 9.
  • Tối thiểu 4 GB RAM.
  • Một địa chỉ IP tĩnh 192.168.0.187 thiết lập trên máy chủ của bạn.

1 Cài đặt gói cần thiết

Trước khi bắt đầu, bạn sẽ cần phải cài đặt Java 8 và gói khác cần thiết để hệ thống của bạn. Không phải tất cả yêu cầu gói có sẵn trong Debian 9 tiêu chuẩn kho, Vì vậy, bạn sẽ cần phải thêm Debian Backports vào danh sách các gói phần mềm nguồn. Đầu tiên, đăng nhập với người dùng root và tạo ra một tập tin backport.list:

Nano /etc/apt/sources.list.d/backport.list

Thêm dòng sau:

deb http://ftp.debian.org/debian jessie-backports main

Lưu các tập tin khi bạn hoàn tất, sau đó cập nhật hệ thống của bạn với các lệnh sau đây:

apt-get update -y
apt-get nâng cấp -y

Một khi hệ thống của bạn được Cập Nhật, cài đặt tất cả các gói với lệnh sau đây:

sudo apt-get install apt-vận tải-https openjdk-8-jre-headless uuid-thời gian chạy pwgen -y

Sau khi tất cả các gói cần thiết được cài đặt, bạn có thể tiến hành cài đặt MongoDB.

2 Cài đặt MongoDB

MongoDB được yêu cầu để lưu trữ các cấu hình và thông tin meta. MongoDB có sẵn trong Debian 9 kho lưu trữ mặc định, Vì vậy, bạn có thể cài đặt MongoDB bằng cách chỉ cần chạy lệnh sau:

sudo apt-get install máy chủ mongodb - y

Khi MongoDB được cài đặt, bạn có thể tiến hành cài đặt Elasticsearch.

3 Cài đặt Elasticsearch

Elasticsearch là hành động như một máy chủ tìm kiếm mua sắm tất cả các bản ghi được gửi bởi các máy chủ Graylog và hiển thị các thông báo bất cứ khi nào quý vị yêu cầu. Elasticsearch là không có sẵn trong Debian 9 kho lưu trữ mặc định. Bạn sẽ cần phải thêm Elasticsearch kho nguồn Debian gói.

Đầu tiên, tải về và thêm Elasticsearch GPG key với lệnh sau đây:

wget - qO – https://packages.Elastic.co/GPG-Key-elasticsearch | apt-key thêm –

Tiếp theo, tạo một tập tin repo Elasticsearch với lệnh sau đây:

Nano /etc/apt/sources.list.d/elasticsearch.list

Thêm dòng sau:

deb https://packages.elastic.co/elasticsearch/2.x/debian ổn định chính

Lưu các tập tin khi bạn kết thúc, sau đó Cập Nhật kho lưu trữ bằng cách chạy lệnh sau:

apt-get update -y

Tiếp theo, cài đặt Elasticsearch bằng cách chạy lệnh sau:

sudo apt-get install elasticsearch -y

Khi Elasticsearch được cài đặt, bạn sẽ cần phải sửa đổi tập tin cấu hình chính Elasticsearch:

Nano /etc/elasticsearch/elasticsearch.yml

Thực hiện các thay đổi sau đây:

Cluster.name: graylog network.host: 192.168.0.187
discovery.zen.ping.timeout: 10s
discovery.zen.ping.multicast.enabled: false
discovery.zen.ping.unicast.hosts: ["192.168.0.187:9300"]

Lưu và đóng tập tin khi bạn hoàn tất, sau đó, bắt đầu dịch vụ Elasticsearch và cho phép nó để bắt đầu khởi động:

systemctl bắt đầu elasticsearch
systemctl kích elasticsearch

Sau vài giây, chạy sau để kiểm tra rằng Elasticsearch đang chạy đúng cách:

Curl – XGET ' http://192.168.0.187:9200/_cluster/sức khỏe? khá = true’

Đảm bảo đầu ra cho thấy tình trạng cụm sao như “màu xanh lá cây”:

{
  "cluster_name" : "graylog",
  "status" : "green",
  "timed_out" : false,
  "number_of_nodes" : 1,
  "number_of_data_nodes" : 1,
  "active_primary_shards" : 1,
  "active_shards" : 1,
  "relocating_shards" : 0,
  "initializing_shards" : 0,
  "unassigned_shards" : 1,
  "delayed_unassigned_shards" : 0,
  "number_of_pending_tasks" : 0,
  "number_of_in_flight_fetch" : 0,
  "task_max_waiting_in_queue_millis" : 0,
  "active_shards_percent_as_number" : 50.0
}

Khi Elasticsearch được cài đặt và làm việc tốt, bạn có thể tiến hành bước tiếp theo.

4 Cài đặt Graylog

Graylog là không có sẵn trong Debian 9 kho lưu trữ mặc định, Vì vậy, bạn sẽ cần phải tải về và cài đặt Graylog 2 kho lưu trữ đầu tiên. Bạn có thể làm điều này bằng cách chạy lệnh sau:

wget https://packages.graylog2.org/repo/packages/graylog-2.2-repository_latest.deb
dpkg -i graylog-2.2-repository_latest.deb

Khi kho lưu trữ được cài đặt, Cập Nhật kho lưu trữ và cài đặt Graylog server với lệnh sau đây:

apt-get update -y
sudo apt-get install máy chủ graylog - y

Sau khi cài đặt Graylog, bạn sẽ cần phải thiết lập một bí quyết để bảo đảm mật khẩu người dùng và cũng thiết lập một mật khẩu băm (sha256) cho người dùng root.

Đầu tiên, tạo ra các password_secret với lệnh sau đây:

pwgen -N 1 -s 96

Bạn sẽ thấy đầu ra sau đây:

TRXbNPoW4gGC8BN8Gzl4wH3jtfLoi06WCJqia18UtYyPaNLx4r8U7jUPRlIJHoGGxrCjZVqAvW2DcueI6N1zHoy2bKEWLyyC

Tiếp theo, tạo ra hash mật khẩu cho người dùng root với lệnh sau đây:

echo - n youradminpassword | sha256sum

Bạn sẽ thấy đầu ra sau đây:

e3c5925aa22abdfa18cf197a7b218fcad31acb6409d2e2dbebae807d3a9750ee

Lưu ý: Nhớ cả chìa khóa mật khẩu, bởi vì hai phím sẽ cần phải đặt cấu hình trong server.conf.

Tiếp theo, bạn sẽ cần phải sửa đổi tập tin cấu hình chính máy chủ Graylog nằm trong/etc/graylog/máy chủ/thư mục:

Nano /etc/graylog/server/server.conf

Thực hiện các thay đổi sau đây:

is_master = true node_id_file = /etc/graylog/server/node-id ###past-của-mật khẩu-bí mật-đây ### password_secret = TRXbNPoW4gGC8BN8Gzl4wH3jtfLoi06WCJqia18UtYyPaNLx4r8U7jUPRlIJHoGGxrCjZVqAvW2DcueI6N1zHoy2bKEWLyyC root_ tên người dùng = admin ###past-your-root-hash-password-here### root_password_sha2 = e3c5925aa22abdfa18cf197a7b218fcad31acb6409d2e2dbebae807d3a9750ee root_timezone = UTC plugin_dir = /usr/share/graylog-server/plugin rest_listen_uri = http://0.0.0.0:9000/api/rest_enable_cors = true web_listen_uri = http://0.0.0.0:9000 / rotation_strategy = count elasticsearch_max_docs_per_index = 20000000
elasticsearch_max_number_of_indices = 7
retention_strategy = xóa elasticsearch_shards = 4
elasticsearch_replicas = 1
elasticsearch_index_prefix = graylog allow_leading_wildcard_searches = true allow_highlighting = false elasticsearch_cluster_name = graylog elasticsearch_discovery_zen_ping_unicast_hosts = 192.168.0.187: 9300 elasticsearch_http_enabled = false elasticsearch_network_host = 0.0.00
elasticsearch_discovery_initial_state_timeout = 3s elasticsearch_analyzer = tiêu chuẩn output_batch_size = 500
output_flush_interval = 1
output_fault_count_threshold = 5
output_fault_penalty_seconds = 30
processbuffer_processors = 5
outputbuffer_processors = 3
processor_wait_strategy = chặn ring_size = 65536
inputbuffer_ring_size = 65536
inputbuffer_processors = 2
inputbuffer_wait_strategy = chặn message_journal_enabled = true message_journal_dir = /var/lib/graylog-server/journal async_eventbus_processors = 2
lb_recognition_period_seconds = 3
alert_check_interval = 60
mongodb_uri = mongodb://localhost/graylog mongodb_max_connections = 1000
mongodb_threads_allowed_to_block_multiplier = 5
content_packs_dir = /usr/share/graylog-server/contentpacks content_packs_auto_load = grok patterns.json proxied_requests_thread_pool_size = 32

Lưu và đóng tập tin khi bạn hoàn tất, sau đó, bắt đầu dịch vụ Graylog và cho phép nó để bắt đầu khởi động:

systemctl bắt đầu graylog-máy chủ
systemctl sử graylog-máy chủ

Một khi bạn đã kết thúc, bạn có thể tiến hành bước tiếp theo

5 Cấu hình tường lửa

Theo mặc định, Giao diện web Graylog lắng nghe trên cổng 9000, Vì vậy, bạn sẽ cần để cho phép cổng 9000 thông qua tường lửa UFW. UFW tường lửa không được cài đặt Debian 9. Vì vậy, bạn sẽ cần phải cài đặt nó đầu tiên. Bạn có thể cài đặt nó bằng cách chạy lệnh sau:

sudo apt-get install ufw -y

Khi UFW được cài đặt, kích hoạt nó bằng cách chạy lệnh sau đây;

ufw sử

Tiếp theo, cho phép cổng 9000 thông qua UFW các tường lửa bằng cách chạy lệnh sau:

ufw cho phép 9000

Bạn có thể kiểm tra trạng thái tường lửa của UFW bất kỳ lúc nào bằng cách chạy lệnh sau đây.

trạng thái ufw

Một tường lửa được đặt cấu hình, bạn có thể tiến hành bước tiếp theo.

6 Giao diện truy cập trang Web Graylog

Giao diện web Graylog lắng nghe trên cổng 9000. Bây giờ, mở trình duyệt web của bạn và nhập URL http://192.168.0.187:9000, bạn sẽ thấy màn hình sau đây:

Giao diện Graylog

Đăng nhập với tên người dùng “admin” và mật khẩu bạn đặt cấu hình lúc root_password_sha2 ngày server.conf. Bạn sẽ thấy màn hình sau đây:

Graylog bắt đầu

Tiếp theo, bạn sẽ cần phải thêm vào để nhận các thông điệp syslog sử dụng UDP. Để thêm các đầu vào, Nhấp chuột vào System-> chọn đầu vào-> Syslog UDP-> nhấp vào nút nhập mới ra mắt, bạn sẽ thấy màn hình sau đây:

Thêm nguồn đầu vào trong Graylog

Điền vào tất cả các chi tiết như tiêu đề, Port, Ràng buộc địa chỉ và cuối cùng bấm vào lưu nút, bạn sẽ thấy màn hình sau đây:

Bản ghi nguồn chi tiết

Bây giờ các máy chủ Graylog sẽ nhận được các bản ghi hệ thống bằng cách sử dụng cổng 8514 từ máy chủ hoặc khách hàng.

Trên hệ thống khách hàng, bạn sẽ cần phải cấu hình rsyslog vì vậy mà nó sẽ gửi các thông báo bản ghi hệ thống máy chủ Graylog. Bạn có thể làm điều này bằng cách chỉnh sửa tập tin rsyslog.conf:

Nano /etc/rsyslog.conf

Thêm những dòng sau đây:

# cung cấp UDP syslog tiếp nhận $ModLoad imudp $UDPServerRun 8514
$mẫu GRAYLOGRFC5424,"%protocol-version% %timestamp:::date-rfc3339% %HOSTNAME% %app-name% %procid% %msg%n"
*.* @192.168.0.187:8514; GRAYLOGRFC5424

Lưu file và khởi động lại dịch vụ rsyslog để áp dụng những thay đổi này:

systemctl khởi động lại rsyslog

Tiếp theo, trên máy chủ Graylog bấm vào các “Graylog nguồn” bạn có thể xem các ssh đăng nhập với nỗ lực đăng nhập thất bại trong màn hình sau.

Màn hình đăng nhập nỗ lực với Graylog

Kết luận

Chúc mừng! bạn có thành công được cài đặt và cấu hình máy chủ Graylog trên Debian 9. Bạn có thể bây giờ dễ dàng xem các bản ghi và phân tích các bản ghi hệ thống từ vị trí trung tâm. Bạn cũng có thể tùy chỉnh Graylog và gửi một loại bản ghi theo nhu cầu của bạn. Bạn có thể nhận được thêm thông tin từ các trang tài liệu Graylog http://docs.graylog.org/en/2.2/pages/getting_started.html. Cảm thấy tự do để bình luận tôi nếu bạn có bất kỳ câu hỏi.

Nguồn

Một Phản hồi

  1. Nathaniel Simch de Morais

Để lại một trả lời