如何监视与 Graylog2 上 Debian 的日志文件 9

如何监视与 Graylog2 上 Debian 的日志文件 9

它的团队合作精神, 但更简单, 更令人愉快和更有成效.

Graylog 是一个基于 Java 的自由和开放源码日志管理工具, Elasticsearch 和 MongoDB 可以用于收集, 索引和分析从一个集中位置,任何服务器日志. 你可以轻松地监视的 SSH 登录和不寻常的活动,为调试应用程序和使用 Graylog 的日志. Graylog 提供了一个功能强大的查询语言, 警报的能力, 数据转换以及更多的处理管道. 你可以扩展 Graylog 通过 REST API 和加载项的功能.

Graylog 由三个组件组成:

  1. Elasticsearch: 它可以存储所有传入消息,并提供一个搜索设施.
  2. MongoDB: 它用于数据库, 存储配置和元信息.
  3. Graylog 服务器: 它接收和处理来自各种输入消息并提供一个 web 界面分析和监测.

在本教程中, 我们将解释如何在 Debian 上安装 Graylog2 9 服务器.

前提条件

  • 运行 Debian 的服务器 9.
  • 最低 4 GB RAM.
  • 一个静态的 IP 地址 192.168.0.187 在您的服务器上安装程序.

1 安装所需的程序包

在开始之前, 您将需要安装 Java 8 和其他所需的包到您的系统. 并不是所有所需的软件包在 Debian 9 标准库, 所以你将需要添加的软件包源列表的 Debian Backports. 第一次, 使用 root 用户登录并创建一个 backport.list 文件:

纳米 /etc/apt/sources.list.d/backport.list

添加以下行:

deb http://ftp.debian.org/debian 杰西 backports 主

保存该文件,当你完成, 然后使用下面的命令更新您的系统:

apt-get 来更新 y
apt-get 来升级-y

一旦您的系统是最新版本, 用下面的命令安装的所有软件包:

apt-get 来安装易运输 https openjdk-8-jre-无头的 uuid 运行时 pwgen y

一旦安装了所有必需的软件包, 您可以继续安装 MongoDB.

2 安装 MongoDB

存储配置和元信息所需的 MongoDB. MongoDB 是可用在 Debian 9 默认存储库, 所以你可以安装 MongoDB 通过只运行以下命令:

apt-get 来安装 mongodb 服务器-y

一旦安装了 MongoDB, 您可以继续安装 Elasticsearch.

3 安装 Elasticsearch

Elasticsearch 是行为作为存储由 Graylog 服务器发送的所有日志搜索服务器并显示消息,只要您的要求. Elasticsearch 在 Debian 中不可用 9 默认存储库. 您将需要将 Elasticsearch 存储库添加到 Debian 软件包源.

第一次, 下载并添加 Elasticsearch GPG 密钥用下面的命令:

wget qO – https://packages.elastic.co/GPG-KEY-elasticsearch |易键添加 –

下一个, 用下面的命令创建一个 Elasticsearch 回购文件:

纳米 /etc/apt/sources.list.d/elasticsearch.list

添加以下行:

deb https://packages.elastic.co/elasticsearch/2.x/debian 稳定主要

保存该文件,当你完成的时候, 然后更新存储库中,通过运行以下命令:

apt-get 来更新 y

下一个, 通过运行以下命令来安装 Elasticsearch:

apt-get 来安装 elasticsearch y

一旦安装了 Elasticsearch, 您将需要修改 Elasticsearch 主配置文件:

纳米 /etc/elasticsearch/elasticsearch.yml

请进行以下更改:

cluster.name: graylog network.host: 192.168.0.187
discovery.zen.ping.timeout: 10s
discovery.zen.ping.multicast.enabled: false
discovery.zen.ping.unicast.hosts: ["192.168.0.187:9300"]

保存并关闭该文件,当你完成, 然后启动 Elasticsearch 服务,并使其能够开始启动:

立即开始 elasticsearch
立即启用 elasticsearch

几秒钟后, 运行以下测试,Elasticsearch 正常运行:

卷曲-XGET ' http://192.168.0.187:9200,_cluster,健康? 漂亮 = true’

确保输出显示群集状态为 “绿色”:

{
  "cluster_name" : "graylog",
  "status" : "green",
  "timed_out" : false,
  "number_of_nodes" : 1,
  "number_of_data_nodes" : 1,
  "active_primary_shards" : 1,
  "active_shards" : 1,
  "relocating_shards" : 0,
  "initializing_shards" : 0,
  "unassigned_shards" : 1,
  "delayed_unassigned_shards" : 0,
  "number_of_pending_tasks" : 0,
  "number_of_in_flight_fetch" : 0,
  "task_max_waiting_in_queue_millis" : 0,
  "active_shards_percent_as_number" : 50.0
}

一旦安装了 Elasticsearch 和工作很好, 你可以进行下一步.

4 安装 Graylog

Graylog 在 Debian 中不可用 9 默认存储库, 所以您将需要下载和安装 Graylog 2 存储库中第一次. 你可以通过运行以下命令:

wget https://packages.graylog2.org/repo/packages/graylog-2.2-repository_latest.deb
dpkg-i graylog-2.2-repository_latest.deb

一旦安装了存储库中, 更新存储库并安装 Graylog 服务器使用下面的命令:

apt-get 来更新 y
apt-get 来安装 graylog 服务器-y

安装 Graylog 后, 您将需要设置安全用户密码和也为 root 用户设置 (sha256) 的哈希密码的秘密.

第一次, 生成 password_secret 用下面的命令:

pwgen N 1 -s 96

您应看到以下输出:

TRXbNPoW4gGC8BN8Gzl4wH3jtfLoi06WCJqia18UtYyPaNLx4r8U7jUPRlIJHoGGxrCjZVqAvW2DcueI6N1zHoy2bKEWLyyC

下一个, 生成哈希密码为 root 用户使用下面的命令:

回声-n youradminpassword |sha256sum

您应看到以下输出:

e3c5925aa22abdfa18cf197a7b218fcad31acb6409d2e2dbebae807d3a9750ee

注: 请记住这两个密码密钥, 因为这两个键将需要配置在 server.conf.

下一个, 您将需要修改位于/等/graylog/服务器/目录中的 Graylog 服务器主要配置文件:

纳米 /etc/graylog/server/server.conf

请进行以下更改:

is_master = true node_id_file = /etc/graylog/server/node-id ###past-你-密码-秘密-这里 # # # password_secret = TRXbNPoW4gGC8BN8Gzl4wH3jtfLoi06WCJqia18UtYyPaNLx4r8U7jUPRlIJHoGGxrCjZVqAvW2DcueI6N1zHoy2bKEWLyyC root_用户名 admin ###past-your-root-hash-password-here### root_password_sha2 = = e3c5925aa22abdfa18cf197a7b218fcad31acb6409d2e2dbebae807d3a9750ee root_timezone = UTC plugin_dir = /usr/share/graylog-server/plugin rest_listen_uri =http://0.0.0.0:9000/api/rest_enable_cors = true web_listen_uri = http://0.0.0.0:9000 / rotation_strategy = 计数 elasticsearch_max_docs_per_index = 20000000
elasticsearch_max_number_of_indices = 7
retention_strategy = 删除 elasticsearch_shards = 4
elasticsearch_replicas = 1
elasticsearch_index_prefix = graylog allow_leading_wildcard_searches = true allow_highlighting = false elasticsearch_cluster_name = graylog elasticsearch_discovery_zen_ping_unicast_hosts = 192.168.0.187: 9300 elasticsearch_http_enabled = false elasticsearch_network_host = 0.0.00
elasticsearch_discovery_initial_state_timeout = 3s elasticsearch_analyzer = 标准 output_batch_size = 500
output_flush_interval = 1
output_fault_count_threshold = 5
output_fault_penalty_seconds = 30
processbuffer_processors = 5
outputbuffer_processors = 3
processor_wait_strategy = 阻塞 ring_size = 65536
inputbuffer_ring_size = 65536
inputbuffer_processors = 2
inputbuffer_wait_strategy = 阻塞 message_journal_enabled = true message_journal_dir = /var/lib/graylog-server/journal async_eventbus_processors = 2
lb_recognition_period_seconds = 3
alert_check_interval = 60
mongodb_uri = mongodb://localhost/graylog mongodb_max_connections = 1000
mongodb_threads_allowed_to_block_multiplier = 5
content_packs_dir = /usr/share/graylog-server/contentpacks content_packs_auto_load = 神交 patterns.json proxied_requests_thread_pool_size = 32

保存并关闭该文件,当你完成, 然后启动 Graylog 服务,并使其能够开始启动:

立即启动 graylog 服务器
立即启用 graylog 服务器

一旦你完成, 你可以进行下一步

5 配置防火墙

默认情况下, Graylog web 界面正在侦听端口 9000, 所以你将需要允许端口 9000 通过 UFW 防火墙. 在 Debian 不安装 UFW 防火墙 9. 所以你需要先安装它. 你可以通过运行下面的命令来安装它:

apt-get 来安装 ufw y

一旦安装了农会, 启用通过运行下面的命令;

农会启用

下一个, 允许端口 9000 通过 UFW 防火墙通过运行以下命令:

农会允许 9000

通过运行以下命令,可以在任何时间检查 UFW 防火墙的状态.

农会状态

一旦配置防火墙, 你可以进行下一步.

6 访问 Graylog Web 界面

Graylog web 界面正在侦听端口 9000. 现在, 打开您的 web 浏览器,键入 URL http://192.168.0.187:9000, 您应看到下面的屏幕:

Graylog 接口

使用用户名登录 “管理员” 和你在 root_password_sha2 上 server.conf 配置的密码. 您应看到下面的屏幕:

Graylog 入门

下一个, 您将需要添加输入端接收使用 UDP 的 syslog 消息. 若要添加输入, 单击系统-> 选择输入-> Syslog UDP-> 单击启动新的输入按钮, 您应看到下面的屏幕:

在 Graylog 中添加输入的源

填满了所有的细节,例如标题, 端口, 绑定地址,最后点击保存按钮, 您应看到下面的屏幕:

日志源详细信息

现在 Graylog 服务器将接收使用端口的系统日志 8514 从客户端或服务器.

客户端系统上, 您将需要配置 rsyslog,以便它将发送到 Graylog 服务器的系统日志消息. 你可以通过编辑 rsyslog.conf 文件:

纳米 /etc/rsyslog.conf

添加以下行:

# 提供 UDP syslog 接待 $ModLoad imudp $UDPServerRun 8514
$模板 GRAYLOGRFC5424,"%protocol-version% %timestamp:::date-rfc3339% %HOSTNAME% %app-name% %procid% %msg%n"
*.* @192.168.0.187:8514;GRAYLOGRFC5424

保存该文件并重新启动 rsyslog 服务以应用这些更改:

立即重启 rsyslog

下一个, 在 Graylog 服务器上单击 “Graylog 来源” 你可以看到 ssh 登录失败的登录尝试下面的屏幕中.

监视器登录尝试与 Graylog

结论

祝贺你 !您已成功安装并配置 Graylog 服务器对 Debian 9. 你现在可以轻松地看到日志和系统日志从中央位置的分析. 你也可以自定义 Graylog 并发送另一种类型的日志,并可根据您的需求. 你可以从 Graylog 文档页的详细信息 http://docs.graylog.org/en/2.2/pages/getting_started.html. 感受自由评论我,如果你有任何问题.

一个响应

  1. 纳撒尼尔 · Simch de Morais

发表评论