Jak sledovat soubory protokolu pomocí programu Graylog2 v Debianu 9

  • 6 min číst
  • Srpna 15, 2017

Jak sledovat soubory protokolu pomocí programu Graylog2 v Debianu 9

Je to týmová práce, ale jednodušší, příjemnější a produktivnější.

Graylog je bezplatný a otevřený nástroj pro správu protokolů založený na jazycích Java, Elasticsearch a MongoDB, který lze použít k shromažďování, indexování a analýze libovolného protokolu serveru z centralizovaného umístění. Můžete snadno sledovat přihlašovací údaje SSH a neobvyklou aktivitu pro ladění aplikací a protokolů pomocí programu Graylog. Graylog poskytuje výkonný dotazovací jazyk, upozorňující schopnosti, zpracování potrubí pro transformaci dat a mnoho dalšího. Funkce Graylogu můžete rozšířit pomocí rozhraní REST API a Add-ons.

Graylog se skládá ze tří složek:

  1. Elasticsearch: Uloží všechny příchozí zprávy a poskytuje vyhledávací zařízení.
  2. MongoDB: Používá se pro databázi, ukládá konfigurace a meta informace.
  3. Graylog server: přijímá a zpracovává zprávy z různých vstupů a poskytuje webové rozhraní pro analýzu a monitorování.

V tomto tutoriálu vysvětlíme, jak nainstalovat Graylog2 na Debian 9 Serveru.

Předpoklad

  • Server se systémem Debian 9.
  • Minimální velikost 4 GB RAM.
  • Statické nastavení adresy IP 192.168.0.187 na serveru.

Požadované balíčky 1 Instalace

Před spuštěním budete muset do vašeho systému nainstalovat program Java 8 a další požadované balíčky. Ve standardním repozitáři Debian 9 nejsou k dispozici všechny požadované balíky, takže budete muset přidat Debian Backports do seznamu zdrojových balíčků. Nejprve se přihlašte s uživatelem root a vytvořte soubor backport.list:

nano /etc/apt/sources.list.d/backport.list

Přidejte následující řádek:

deb http://ftp.debian.org/debian jessie-backports main

Po dokončení uložte soubor a poté aktualizujte systém pomocí následujícího příkazu:

apt-get update -y
apt-get upgrade -y

Jakmile je váš systém aktuální, nainstalujte všechny balíčky následujícími příkazy:

apt-get nainstalovat apt-transport-https openjdk-8-jre-bezhlavý uuid-runtime pwgen -y

Po instalaci všech požadovaných balíků můžete nainstalovat MongoDB.

2 Nainstalujte MongoDB

MongoDB je povinen uložit konfigurační a meta informace. MongoDB je k dispozici ve výchozím úložišti Debian 9, takže můžete nainstalovat MongoDB právě spuštěním následujícího příkazu:

apt-get nainstalovat mongodb-server -y

Jakmile je MongoDB nainstalován, můžete nainstalovat Elasticsearch.

3 Nainstalujte elastický polštář

Elasticsearch funguje jako vyhledávací server, který ukládá všechny protokoly odesílané serverem Graylog a zobrazuje zprávy vždy, když o to požádáte. Elasticsearch není k dispozici ve výchozím úložišti Debian 9. Budete muset přidat úložiště Elasticsearch do zdrojového balíku Debianu.

Nejprve stáhněte a přidejte klíč Elasticsearch GPG pomocí následujícího příkazu:

wget -qO - https://packages.elastic.co/GPG-KEY-elasticsearch | apt-key add -

Dále vytvořte repo soubor Elasticsearch s následujícím příkazem:

nano /etc/apt/sources.list.d/elasticsearch.list

Přidejte následující řádek:

deb https://packages.elastic.co/elasticsearch/2.x/debian stabilní hlavní

Po dokončení souboru uložte a aktualizujte úložiště spuštěním následujícího příkazu:

apt-get update -y

Dále nainstalujte Elasticsearch spuštěním následujícího příkazu:

apt-get install elasticsearch -y

Po instalaci nástroje Elasticsearch je třeba upravit hlavní konfigurační soubor Elasticsearch:

nano /etc/elasticsearch/elasticsearch.yml

Proveďte následující změny:

cluster.name: graylog network.host: 192.168.0.187 discovery.zen.ping.timeout: 10s discovery.zen.ping.multicast.enabled: false discovery.zen.ping.unicast.hosts: ["192.168.0.187: 9300"]

Po dokončení uložte a zavřete soubor a poté spusťte službu Elasticsearch a povolte jej spuštění při zavádění:

systémový start elasticsearch
systemactl umožnit elastickýsearch

Po několika vteřinách spusťte následující test a ověřte, že Elasticsearch běží správně:

curl-XGET 'http: // 192.168.0.187: 9200 / _cluster / health? pretty = true'

Ujistěte se, že výstup zobrazuje stav clusteru jako "zelený":

{"cluster_name": "graylog", "status": "green", "timed_out": false, "number_of_nodes": 1, "number_of_data_nodes": 1, "active_primary_shards": 1, "active_shards": 1, "relocating_shards" : 0, "initializing_shards": 0, "unassigned_shards": 1, "delayed_unassigned_shards": 0, "number_of_pending_tasks": 0, "number_of_in_flight_fetch": 0, "task_m________________________________________________počtem

Jakmile je Elasticsearch instalován a funguje dobře, můžete pokračovat v dalším kroku.

4 Nainstalujte Graylog

Graylog není k dispozici ve výchozím úložišti Debian 9, takže budete muset nejprve stáhnout a nainstalovat repozitář Graylog 2. Můžete to provést spuštěním následujícího příkazu:

wget https://packages.graylog2.org/repo/packages/graylog-2.2-repository_latest.deb
dpkg -i graylog-2.2-repository_latest.deb

Jakmile je repozitář nainstalován, aktualizujte repozitář a nainstalujte Graylog server pomocí následujícího příkazu:

apt-get update -y
apt-get nainstalovat graylog-server -y

Po instalaci programu Graylog budete muset nastavit tajné zabezpečení uživatelských hesel a nastavit také heslo hash (sha256) pro uživatele root.

Nejprve vytvořte příkaz password_secret s následujícím příkazem:

pwgen -N 1-s 96

Měli byste vidět následující výstup:

TRXbNPoW4gGC8BN8Gzl4wH3jtfLoi06WCJqia18UtYyPaNLx4r8U7jUPRlIJHoGGxrCjZVqAvW2DcueI6N1zHoy2bKEWLyyC

Dále vytvořte heslo hash pro uživatele root s následujícím příkazem:

echo -n youradminpassword | sha256sum

Měli byste vidět následující výstup:

e3c5925aa22abdfa18cf197a7b218fcad31acb6409d2e2dbebae807d3a9750ee

Poznámka: Zapamatujte si oba klíčové heslo, protože oba klíče budou muset být nakonfigurovány v server.conf.

Poté budete muset upravit hlavní konfigurační soubor serveru Graylog umístěný v adresáři / etc / graylog / server /:

nano /etc/graylog/server/server.conf

Proveďte následující změny:

is_master = true node_id_file = / etc / graylog / server / node id ######## past-your-password-tajné zde ######### password_secret = TRXbNPoW4gGC8BN8Gzl4wH3jtfLoi06WCJqia18UtYyPaNLx4r8U7jUPRlIJHoGGxrCjZVqAvW2DcueI6N1zHoy2bKEWLyyC root_username = admin ### #### past-your-root-hash-password-tu ########## root_password_sha2 = e3c5925aa22abdfa18cf197a7b218fcad31acb6409d2e2dbebae807d3a9750ee root_timezone = UTC plugin_dir = / usr / share / graylog-server / plugin rest_listen_uri = http: // 0.0.0.0 : 9000 / api / rest_enable_cors = true web_listen_uri = http: // 0.0.0.0: 9000 / rotation_strategy = počítat elasticsearch_max_docs_per_index = 20000000 elasticsearch_max_number_of_indices = 7 retention_strategy = smazat elasticsearch_shards = 4 elasticsearch_replicas = 1 elasticsearch_index_prefix = graylog allow_leading_wildcard_searches = true allow_highlighting = false elasticsearch_cluster_name = graylog elasticsearch_ discovery_zen_ping_unicast_hosts = 192.168.0.187: 9300 elasticsearch_http_enabled = false elasticsearch_network_host = 0.0.00 elasticsearch_discovery_initial_state_timeout = 3s elasticsearch_analyzer = standardní output_batch_size = 500 output_flush_interval = 1 output_fault_count_threshold = 5 output_fault_penalty_seconds = 30 processbuffer_processors = 5 outputbuffer_processors = 3 processor_wait_strategy = blokování ring_size = 65536 inputbuffer_ring_size = 65536 inputbuffer_processors = 2 inputbuffer_wait_strategy = blokování message_journal_enabled = true message_journal_dir = / var / lib / graylog-server / journal async_eventbus_processors = 2 lb_recognition_period_seconds = 3 alert_check_interval = 60 mongodb_uri = MongoDB: // localhost / graylog mongodb_max_connections = 1000 mongodb_threads_allowed_to_block_multiplier = 5 content_packs_dir = / usr / share / graylog-server / contentpacks content_packs_auto_load = grok-patterns.json proxied_requests_thread_pool_siz e = 32

Po dokončení uložte a zavřete soubor, poté spusťte službu Graylog a povolte spuštění při spuštění:

systemctl spustit graylog-server
systemctl povolit graylog-server

Po dokončení můžete pokračovat v dalším kroku

5 Konfigurace brány firewall

Ve výchozím nastavení je rozhraní Graylog nasloucháno na portu 9000, takže budete muset povolit port 9000 přes bránu firewall UFW. Firewall UFW není nainstalován v Debianu 9. Nejprve je budete muset nainstalovat. Můžete jej nainstalovat spuštěním následujícího příkazu:

apt-get nainstalovat ufw -y

Jakmile je UFW nainstalován, povolte jej spuštěním následujícího příkazu;

ufw enable

Poté povolte port 9000 prostřednictvím firewallu UFW spuštěním následujícího příkazu:

ufw povolí 9000

Stav brány firewall UFW můžete kdykoli zkontrolovat spuštěním následujícího příkazu.

status ufw

Po nakonfigurování brány firewall můžete pokračovat v dalším kroku.

Přístup k rozhraní Graylog 6

Webové rozhraní Graylog naslouchá na portu 9000. Nyní otevřete webový prohlížeč a zadejte adresu URL http://192.168.0.187:9000, měli byste vidět následující obrazovku:

Rozhraní Graylog

Přihlaste se pomocí uživatelského jména "administrátor"A heslo, které jste konfigurovali na root_password_sha2 na server.conf. Měli byste vidět následující obrazovku:

Graylog začíná

Poté budete muset přidat vstup pro příjem zprávy syslog pomocí UDP. Chcete-li přidat vstup, klepněte na Systém -> vyberte Vstupy -> Syslog UDP -> klikněte na tlačítko Spustit nové vstupní tlačítko, měli byste vidět následující obrazovku:

Přidat vstupní zdroj v graylogu

Vyplňte všechny podrobnosti, jako je název, port, adresa vazby a nakonec klikněte na tlačítko Uložit, měli byste vidět následující obrazovku:

Zaznamenejte zdrojový detail

Nyní server Graylog obdrží systémové protokoly pomocí portu 8514 z klienta nebo serveru.

V klientském systému budete muset nakonfigurovat rsyslog tak, aby odeslal zprávy systémových protokolů na server Graylog. Můžete to provést úpravou souboru rsyslog.conf:

nano /etc/rsyslog.conf

Přidejte následující řádky:

# poskytuje příjem syslogu UDP $ ModLoad imudp $ UDPServerRun 8514 $ template GRAYLOGRFC5424, "% protocol-version%% timestamp ::: date-rfc3339%% HOSTNAME%% app%% procid%% msg% n" *. * @ * 192.168.0.187: 8514; GRAYLOGRFC5424

Uložte soubor a restartujte službu rsyslog a aplikujte tyto změny:

systemctl restartujte rsyslog

Dále na serveru Graylog klikněte na "Zdroje Graylog" a na následující obrazovce se zobrazí protokol ssh s neúspěšnými pokusy o přihlášení.

Sledujte pokusy o přihlášení pomocí programu Graylog

závěr

Gratulace! úspěšně jste nainstalovali a nakonfigurovali server Graylog na Debianu 9. Nyní můžete snadno zobrazit protokoly a analýzy systémových protokolů z centrálního umístění. Můžete také přizpůsobit Graylog a odeslat jiný typ protokolů podle potřeby. Více informací získáte na stránce dokumentace Graylog http://docs.graylog.org/en/2.2/pages/getting_started.html. Pokud máte jakékoliv dotazy, neváhejte mi komentovat.

Zdroj

Související příspěvek:

Napsat komentář

Vaše e-mailová adresa nebude zveřejněna. Povinné položky jsou označeny *