如何監視與 Graylog2 上 Debian 的日誌檔 9

如何監視與 Graylog2 上 Debian 的日誌檔 9

這是團隊合作, 但更簡單, 更令人愉快,更富有成效.

Graylog是一個基於Java的自由和開放源碼的日誌管理工具, Elasticsearch和MongoDB,可用於收集, 索引和分析從一個中央位置的任何服務器日誌. 您可以輕鬆地監控調試應用程序的SSH登錄和不尋常的活動,並使用Graylog原木. Graylog提供了一個強大的查詢語言, 警報的能力, 處理流水線的數據轉換和更. 您可以通過REST API擴展Graylog的功能和附加組件.

Graylog由三個部分組成:

  1. Elasticsearch:它存儲所有傳入消息,並提供了一個搜索工具.
  2. MongoDB的:它用於數據庫, 存儲配置和元信息.
  3. Graylog服務器:它接收和處理來自各種輸入處理消息並提供一種用於分析和監測網絡接口.

在本教程, 我們將介紹如何在Debian安裝Graylog2 9 服務器.

條件

  • 運行Debian服務器 9.
  • 最低限度 4 GB RAM.
  • 靜態IP地址 192.168.0.187 安裝在服務器上.

1 安裝所需的程序包

在開始之前, 您需要安裝Java 8 和其他所需的軟件包到您的系統. 並非所有所需的軟件包Debian中可用 9 標準庫, 所以你需要使用Debian backports中添加到包源清單. 第一次, 用root用戶登錄並創建一個backport.list文件:

納米/etc/apt/sources.list.d/backport.list

添加下面一行:

DEB http://ftp.debian.org/debian傑西-backports中的主

保存文件,當你完成, 然後更新使用以下命令您的系統:

apt-get的更新-y
apt-get的升級-y

一旦您的系統是最新的, 安裝所有使用以下命令包:

易於得到安裝容易,運輸-HTTPS的OpenJDK-8的JRE,無頭UUID運行時pwgen的-y

一旦所有需要的軟件包安裝, 您可以繼續安裝的MongoDB.

2 MongoDB的安裝

MongoDB是需要存儲的配置和元信息. MongoDB是在Debian中 9 默認存儲庫, 這樣你就可以只運行以下命令來安裝的MongoDB:

apt-get的安裝MongoDB的服務器-y

一旦安裝了MongoDB的, 您可以繼續安裝Elasticsearch.

3 安裝Elasticsearch

Elasticsearch是充當存儲全部由Graylog服務器發送日誌搜索服務器並顯示,只要你要求的消息. Elasticsearch是不是在Debian中 9 默認存儲庫. 您需要將Elasticsearch庫添加到Debian軟件包源.

第一次, 下載並添加具有以下命令Elasticsearch GPG鍵:

wget的-qO – https://packages.elastic.co/GPG-KEY-elasticsearch |易鍵添加 –

下一個, 創建具有以下命令的Elasticsearch回購文件:

納米/etc/apt/sources.list.d/elasticsearch.list

添加下面一行:

DEB https://packages.elastic.co/elasticsearch/2.x/debian~~V穩定的主

保存文件,當你完成, 然後更新通過運行以下命令庫:

apt-get的更新-y

下一個, 通過運行以下命令來安裝Elasticsearch:

易於得到安裝elasticsearch -y

一旦安裝Elasticsearch, 你將需要修改Elasticsearch主配置文件:

納米/etc/elasticsearch/elasticsearch.yml

做以下修改:

cluster.name: graylog
network.host: 192.168.0.187
discovery.zen.ping.timeout: 10s
discovery.zen.ping.multicast.enabled: false
discovery.zen.ping.unicast.hosts: ["192.168.0.187:9300"]

保存並關閉文件,當你完成, 然後啟動Elasticsearch服務,並使其在引導時啟動:

systemctl啟動elasticsearch
systemctl使elasticsearch

幾秒鐘後, 運行以下命令以測試Elasticsearch運行正常:

捲曲-XGET“http://192.168.0.187:9200/_cluster/health?pretty=true’

確保輸出顯示集群地位 “綠色”:

{
  "cluster_name" : "graylog",
  "status" : "green",
  "timed_out" : false,
  "number_of_nodes" : 1,
  "number_of_data_nodes" : 1,
  "active_primary_shards" : 1,
  "active_shards" : 1,
  "relocating_shards" : 0,
  "initializing_shards" : 0,
  "unassigned_shards" : 1,
  "delayed_unassigned_shards" : 0,
  "number_of_pending_tasks" : 0,
  "number_of_in_flight_fetch" : 0,
  "task_max_waiting_in_queue_millis" : 0,
  "active_shards_percent_as_number" : 50.0
}

一旦Elasticsearch安裝和精細工作, 您可以繼續下一步.

4 安裝Graylog

Graylog是不是在Debian中 9 默認存儲庫, 所以你需要下載並安裝Graylog 2 庫首. 您可以通過運行下面的命令做到這一點:

wget的https://packages.graylog2.org/repo/packages/graylog-2.2-repository_latest.deb
dpkg -i來graylog-2.2-repository_latest.deb

一旦安裝了存儲庫, 更新資源庫,並使用下面的命令安裝Graylog服務器:

apt-get的更新-y
易於得到安裝graylog服務器-y

安裝Graylog後, 你需要設置一個秘密,以確保用戶密碼也為root用戶設置一個散列(SHA256)密碼.

第一次, 生成password_secret用下面的命令:

pwgen的-N 1 -小號 96

您應該看到下面的輸出:

TRXbNPoW4gGC8BN8Gzl4wH3jtfLoi06WCJqia18UtYyPaNLx4r8U7jUPRlIJHoGGxrCjZVqAvW2DcueI6N1zHoy2bKEWLyyC

下一個, 產生用於與下面的命令根用戶散列密碼:

呼應-n youradminpassword | sha256sum

您應該看到下面的輸出:

e3c5925aa22abdfa18cf197a7b218fcad31acb6409d2e2dbebae807d3a9750ee

注意:請記住這兩個密碼鍵, 因為這兩個鍵將需要在server.conf中配置.

下一個, 你將需要修改位於/ etc / graylog /服務器/目錄下的Graylog服務器主配置文件:

納米/etc/graylog/server/server.conf

做以下修改:

is_master = true
node_id_file = /etc/graylog/server/node-id
########past-your-password-secret-here#########
password_secret = TRXbNPoW4gGC8BN8Gzl4wH3jtfLoi06WCJqia18UtYyPaNLx4r8U7jUPRlIJHoGGxrCjZVqAvW2DcueI6N1zHoy2bKEWLyyC
root_username = admin
#######past-your-root-hash-password-here##########
root_password_sha2 = e3c5925aa22abdfa18cf197a7b218fcad31acb6409d2e2dbebae807d3a9750ee
root_timezone = UTC
plugin_dir = /usr/share/graylog-server/plugin
rest_listen_uri = http://0.0.0.0:9000/api/
rest_enable_cors = true
web_listen_uri = http://0.0.0.0:9000/
rotation_strategy = count
elasticsearch_max_docs_per_index = 20000000
elasticsearch_max_number_of_indices = 7
retention_strategy = delete
elasticsearch_shards = 4
elasticsearch_replicas = 1
elasticsearch_index_prefix = graylog
allow_leading_wildcard_searches = true
allow_highlighting = false
elasticsearch_cluster_name = graylog
elasticsearch_discovery_zen_ping_unicast_hosts = 192.168.0.187:9300
elasticsearch_http_enabled = false
elasticsearch_network_host = 0.0.00
elasticsearch_discovery_initial_state_timeout = 3s
elasticsearch_analyzer = standard
output_batch_size = 500
output_flush_interval = 1
output_fault_count_threshold = 5
output_fault_penalty_seconds = 30
processbuffer_processors = 5
outputbuffer_processors = 3
processor_wait_strategy = blocking
ring_size = 65536
inputbuffer_ring_size = 65536
inputbuffer_processors = 2
inputbuffer_wait_strategy = blocking
message_journal_enabled = true
message_journal_dir = /var/lib/graylog-server/journal
async_eventbus_processors = 2
lb_recognition_period_seconds = 3
alert_check_interval = 60
mongodb_uri = mongodb://localhost/graylog
mongodb_max_connections = 1000
mongodb_threads_allowed_to_block_multiplier = 5
content_packs_dir = /usr/share/graylog-server/contentpacks
content_packs_auto_load = grok-patterns.json
proxied_requests_thread_pool_size = 32

保存並關閉文件,當你完成, 然後啟動Graylog服務,並使其在引導時啟動:

systemctl啟動graylog服務器
systemctl使graylog服務器

一旦你完成, 您可以繼續下一步

5 配置防火牆

默認, Graylog網絡接口正在偵聽端口 9000, 所以你需要允許端口 9000 通過UFW防火牆. UFW防火牆未安裝Debian中 9. 所以,你需要先安裝它. 您可以通過運行下面的命令來安裝它:

易於得到安裝UFW -y

一旦安裝UFW, 通過運行下面的命令啟用它;

UFW啟用

下一個, 允許端口 9000 通過UFW防火牆通過運行下面的命令:

UFW允許 9000

您可以通過運行以下命令來檢查UFW防火牆的狀態隨時.

UFW狀態

一旦防火牆配置, 您可以繼續下一步.

6 訪問Graylog Web界面

Graylog網絡接口正在偵聽端口 9000. 現在, 打開你的網頁瀏覽器,鍵入URL http://192.168.0.187:9000, 你應該看到如下畫面:

Graylog接口

請輸入帳號 “管理” 和你在server.conf中root_password_sha2配置的密碼. 你應該看到如下畫面:

Graylog入門

下一個, 你將需要添加的輸入接收使用UDP系統日誌消息. 要添加輸入, 點擊系統 - > 選擇輸入 - > 系統日誌UDP - > 點擊啟動新的輸入按鈕, 你應該看到如下畫面:

添加輸入源Graylog

填補了所有的細節,如標題, 港口, 綁定的地址,最後點擊保存按鈕, 你應該看到如下畫面:

日誌源細節

現在Graylog服務器將使用端口接收系統日誌 8514 從客戶端或服務器.

在客戶機系統, 你將需要配置rsyslog現在這樣它會發送系統日誌消息發送到Graylog服務器. 您可以通過編輯rsyslog.conf文件做到這一點:

納米/etc/rsyslog.conf

添加以下行:

# provides UDP syslog reception
$ModLoad imudp
$UDPServerRun 8514
$模板GRAYLOGRFC5424,"%protocol-version% %timestamp:::date-rfc3339% %HOSTNAME% %app-name% %procid% %msg%n"
*.* @ 192.168.0.187:8514; GRAYLOGRFC5424

保存文件並重新啟動rsyslog現在服務應用這些更改:

systemctl重啟rsyslog現在

下一個, 在上的Graylog服務器點擊 “Graylog來源” 你可以看到SSH登錄失敗的登錄嘗試下面的屏幕.

監控與Graylog登錄嘗試

結論

恭喜!您已成功安裝,並在Debian配置Graylog服務器 9. 現在,您可以很容易地看到系統日誌的記錄和分析,從中央位置. 您還可以自定義Graylog並派其他類型的日誌根據自己的需要. 你可以從Graylog文檔頁面了解更多信息 http://docs.graylog.org/en/2.2/pages/getting_started.html. 歡迎發表評論我,如果你有任何問題.

資源