Kuinka seurata lokitiedostoja Graylog2: lla Debian 9: ssä

Kuinka seurata lokitiedostoja Graylog2: lla Debian 9: ssä

Se on tiimityö, mutta yksinkertaisempi, miellyttävä ja tuottavampi.

Graylog on ilmainen ja avoimen lähdekoodin hallintatyökalu, joka perustuu Java-, Elasticsearch- ja MongoDB-tiedostoihin, joita voidaan käyttää keräämään, indeksoimaan ja analysoimaan palvelinlokia keskitetysti. Voit helposti seurata SSH-kirjautumistunnuksia ja epätavallista toimintaa sovellusten ja lokien virheenkorjausta varten Graylogilla. Graylog tarjoaa tehokkaan kyselykielen, hälytyskyvyn, tietojenkäsittelyn prosessointisadon ja paljon muuta. Voit laajentaa Graylogin toimintoja REST API: n ja lisäosien kautta.

Graylog koostuu kolmesta osasta:

  1. Elasticsearch: Se tallentaa kaikki saapuvat viestit ja tarjoaa etsintätilaan.
  2. MongoDB: Sitä käytetään tietokantaan, tallentaa kokoonpanot ja metatiedot.
  3. Graylog-palvelin: Se vastaanottaa ja käsittelee eri syötteistä saatuja viestejä ja tarjoaa verkkorajapinnan analyysiin ja seurantaan.

Tässä opetusohjelmassa kerrotaan, kuinka Graylog2 asennetaan Debian 9 -palvelimeen.

Edellytys

  • Debianin 9-ohjelman suoritin.
  • Minimi 4 GB RAM.
  • Staattinen IP-osoite 192.168.0.187-asetukset palvelimellasi.

1 Asenna pakolliset paketit

Ennen kuin aloitat, sinun on asennettava järjestelmäsi Java 8 ja muut tarvittavat paketit. Kaikki pakolliset paketit eivät ole saatavilla Debian 9 -standardin arkistossa, joten sinun on lisättävä Debian Backports paketin lähdeluetteloon. Ensin kirjaudu pääkäyttäjälle ja luo backport.list-tiedosto:

nano /etc/apt/sources.list.d/backport.list

Lisää seuraava rivi:

deb http://ftp.debian.org/debian jessie-backports pää

Tallenna tiedosto, kun olet valmis, ja päivitä järjestelmä seuraavalla komennolla:

apt-get update -y
apt-get upgrade -y

Kun järjestelmä on ajan tasalla, asenna kaikki paketit seuraavalla komennolla:

apt-get install apt-transport-https openjdk-8-jre-headless-uuid-runtime pwgen -y

Kun kaikki vaaditut paketit on asennettu, voit jatkaa MongoDB: n asennusta.

2 Asenna MongoDB

MongoDB: n pitää tallentaa kokoonpano ja metatiedot. MongoDB on saatavana Debian 9-oletuslokerossa, joten voit asentaa MongoDB: n vain suorittamalla seuraavan komennon:

apt-get asentaa mongodb-server -y

Kun MongoDB on asennettu, voit jatkaa Elasticsearchin asennusta.

3 Asenna joustava haku

Elasticsearch toimii hakupalvelimena, joka tallentaa kaikki Graylog-palvelimen lähettämät lokit ja näyttää viestit aina pyynnöstä. Elasticsearch ei ole saatavilla Debian 9-oletuslokerossa. Debian-paketin lähdekoodiin on lisättävä Elasticsearch-tietovarasto.

Lataa ensin Elasticsearch GPG-avain ja lisää se seuraavalla komennolla:

wget -qO - https://packages.elastic.co/GPG-KEY-elasticsearch | apt-key add -

Seuraavaksi luo Elasticsearch repo -tiedosto seuraavalla komennolla:

nano /etc/apt/sources.list.d/elasticsearch.list

Lisää seuraava rivi:

deb https://packages.elastic.co/elasticsearch/2.x/debian vakaa pää

Tallenna tiedosto, kun olet valmis, päivitä loppuraportti suorittamalla seuraava komento:

apt-get update -y

Seuraavaksi asenna Elasticsearch suorittamalla seuraava komento:

apt-get install elasticsearch -y

Kun Elasticsearch on asennettu, sinun on muokattava Elasticsearch-pääasetustiedostoa:

nano /etc/elasticsearch/elasticsearch.yml

Tee seuraavat muutokset:

cluster.name: graylog verkko.host: 192.168.0.187 discovery.zen.ping.timeout: 10-tiedostot discovery.zen.ping.multicast.enabled: false discovery.zen.ping.unicast.hosts: ["192.168.0.187: 9300"]

Tallenna ja sulje tiedosto, kun olet valmis, käynnistä Elasticsearch-palvelu ja käynnistä se käynnistyessä:

systemctl start elasticsearch
systemctl mahdollistavat elastisen etsinnän

Muutaman sekunnin kuluttua suorita seuraavat toimenpiteet testataksesi, että Elasticsearch toimii oikein:

curl -XGET 'http: // 192.168.0.187: 9200 / _cluster / health? pretty = true'

Varmista, että tulostus näyttää klusterin tilan "vihreänä":

{"cluster_name": "graylog", "status": "vihreä", "timed_out": väärä, "number_of_nodes": 1, "number_of_data_nodes": 1, "active_primary_shards": 1, "active_shards": 1, "relocating_shards" : 0, "number_of_in_flight_fetch": 0, "task_max_waiting_in_queue_millis": 1, "active_shards_percent_as_number": 0, "0", 0, "initializing_shards": 0, "unassigned_shards": 50.0, "delayed_unassigned_shards"

Kun Elasticsearch on asennettu ja toimii hyvin, voit siirtyä seuraavaan vaiheeseen.

4 Asenna Graylog

Graylog ei ole saatavana Debian 9-oletuslokerossa, joten sinun on ensin ladattava ja asennettava Graylog 2-arkisto. Voit tehdä tämän suorittamalla seuraavan komennon:

wget https://packages.graylog2.org/repo/packages/graylog-2.2-repository_latest.deb
dpkg -i graylog-2.2-repository_latest.deb

Kun arkisto on asennettu, päivitä arkisto ja asenna Graylog-palvelin seuraavalla komennolla:

apt-get update -y
apt-get asentaa graylog-server -y

Graylogin asentamisen jälkeen sinun on asetettava salaisuus käyttäjän salasanojen varmistamiseksi ja myös root-käyttäjän salasanan (sha256) asettaminen.

Ensinnäkin luo password_secret seuraavalla komennolla:

pwgen-N 1 -s 96

Sinun pitäisi nähdä seuraavat tulokset:

TRXbNPoW4gGC8BN8Gzl4wH3jtfLoi06WCJqia18UtYyPaNLx4r8U7jUPRlIJHoGGxrCjZVqAvW2DcueI6N1zHoy2bKEWLyyC

Seuraavaksi luo hash-salasana root-käyttäjälle, jolla on seuraava komento:

echo -n youradminpassword | sha256sum

Sinun pitäisi nähdä seuraavat tulokset:

e3c5925aa22abdfa18cf197a7b218fcad31acb6409d2e2dbebae807d3a9750ee

Huomaa: Muista sekä salasanan avain, koska molempien avainten on oltava määritetty palvelimessa. Config.

Seuraavaksi sinun on muokattava Graylog-palvelimen pääkonfigurointitiedosto, joka sijaitsee / etc / graylog / server / hakemistossa:

nano /etc/graylog/server/server.conf

Tee seuraavat muutokset:

is_master = true node_id_file = / etc / graylog / server / solmu-ID ######## ohi your salasanalla salaisen täällä ######### password_secret = TRXbNPoW4gGC8BN8Gzl4wH3jtfLoi06WCJqia18UtYyPaNLx4r8U7jUPRlIJHoGGxrCjZVqAvW2DcueI6N1zHoy2bKEWLyyC root_username = admin ### #### ohi your root-hash-salasanalla täällä ########## root_password_sha2 = e3c5925aa22abdfa18cf197a7b218fcad31acb6409d2e2dbebae807d3a9750ee root_timezone = UTC plugin_dir = / usr / share / graylog-palvelin / plugin rest_listen_uri = http: // 0.0.0.0 : 9000 / API / rest_enable_cors = true web_listen_uri = http: // 0.0.0.0: 9000 / rotation_strategy = count elasticsearch_max_docs_per_index = 20000000 elasticsearch_max_number_of_indices = 7 retention_strategy = poista elasticsearch_shards = 4 elasticsearch_replicas = 1 elasticsearch_index_prefix = graylog allow_leading_wildcard_searches = true allow_highlighting = false elasticsearch_cluster_name = graylog elasticsearch_ discovery_zen_ping_unicast_hosts = 192.168.0.187: 9300 elasticsearch_http_enabled = false elasticsearch_network_host = 0.0.00 elasticsearch_discovery_initial_state_timeout = 3s elasticsearch_analyzer = vakio output_batch_size = 500 output_flush_interval = 1 output_fault_count_threshold = 5 output_fault_penalty_seconds = 30 processbuffer_processors = 5 outputbuffer_processors = 3 processor_wait_strategy = estää ring_size = 65536 inputbuffer_ring_size = 65536 inputbuffer_processors = 2 inputbuffer_wait_strategy = esto message_journal_enabled = true message_journal_dir = / var / lib / graylog-palvelin / aikakauslehti async_eventbus_processors = 2 lb_recognition_period_seconds = 3 alert_check_interval = 60 mongodb_uri = MongoDB: // localhost / graylog mongodb_max_connections = 1000 mongodb_threads_allowed_to_block_multiplier = 5 content_packs_dir = / usr / share / graylog-palvelin / contentpacks content_packs_auto_load = grok-patterns.json proxied_requests_thread_pool_siz e = 32

Tallenna ja sulje tiedosto, kun olet valmis, käynnistä sitten Graylog-palvelu ja käynnistä se käynnistyessä:

systemctl aloittaa graylog-palvelimen
systemctl mahdollistaa graylog-palvelimen

Kun olet valmis, voit siirtyä seuraavaan vaiheeseen

5 Määritä palomuuri

Oletuksena Graylog-web-käyttöliittymä kuuntelee porttia 9000, joten sinun on sallittava portti 9000 UFW-palomuurin kautta. UFW-palomuuria ei ole asennettu Debian 9: hen. Joten sinun täytyy asentaa se ensin. Voit asentaa sen suorittamalla seuraavan komennon:

apt-get asenna ufw -y

Kun UFW on asennettu, ota se käyttöön seuraavalla komennolla.

ufw enable

Seuraavaksi, anna portti 9000 UFW-palomuurin avulla suorittamalla seuraava komento:

ufw sallia 9000: n

Voit tarkistaa UFW-palomuurin tilan seuraavalla komennolla.

ufw-tila

Kun palomuuri on määritetty, voit siirtyä seuraavaan vaiheeseen.

6 Access Graylog Web -liitäntä

Graylog-web-käyttöliittymä kuuntelee porttia 9000. Avaa verkkoselaimesi ja kirjoita URL http://192.168.0.187:9000, sinun pitäisi nähdä seuraava näyttö:

Graylog Interface

Kirjaudu käyttäjätunnuksella "admin"Ja salasanan, jonka olet määrittänyt root_password_sha2 palvelimella .conf. Sinun pitäisi nähdä seuraava näyttö:

Graylog aloittaminen

Seuraavaksi sinun on lisättävä syöttö vastaanottaa syslog-sanoma UDP: n avulla. Jos haluat lisätä syötteen, Napsauta Järjestelmä -> valitse Syötteet -> Syslog UDP -> Napsauta Käynnistä uusi syöttö -painike, sinun pitäisi nähdä seuraava näyttö:

Lisää syöttölähde Graylog-ohjelmassa

Täytä kaikki yksityiskohdat, kuten Title, Port, Bind address ja napsauta sitten Save (Tallenna) -painiketta. Näyttöön tulee seuraava ikkuna:

Lokilähteen lähde

Nyt Graylog-palvelin saa järjestelmän lokit portin 8514 avulla asiakkaalta tai palvelimelta.

Client-järjestelmässä sinun on määritettävä rsyslog niin, että se lähettää järjestelmän lokit viestejä Graylog-palvelimelle. Voit tehdä tämän muokkaamalla rsyslog.conf-tiedostoa:

nano /etc/rsyslog.conf

Lisää seuraavat rivit:

# tarjoaa UDP: n syslog-vastaanottoa $ ModLoad imudp $ UDPServerRun 8514 $ -mallin GRAYLOGRFC5424, "% protocol-version%% timestamp ::: date-rfc3339%% HOSTNAME%% app-nimi%% procid%% msg% n" *. 192.168.0.187: 8514; GRAYLOGRFC5424

Tallenna nämä tiedostot ja käynnistä rsyslog-palvelu uudelleen näiden muutosten tekemiseksi:

systemctl uudelleenkäynnistys rsyslog

Seuraavaksi Graylog-palvelimessa napsauttamalla "Graylog-lähteet" voit nähdä ssh-lokin epäonnistuneilla kirjautumisyrityksillä seuraavassa näytössä.

Seuraa kirjautumisyrityksiä Graylogilla

johtopäätös

Onnea! olet onnistuneesti asentanut ja konfiguroinut Graylog-palvelimen Debian 9: ssä. Nyt voit helposti tarkastella järjestelmän lokien lokeja ja analyysia keskeisestä sijainnista. Voit myös muokata Graylogia ja lähettää toisen tyyppisiä lokeja tarpeen mukaan. Saat lisätietoja Graylog-dokumentaatiosivulta http://docs.graylog.org/en/2.2/pages/getting_started.html. Voit vapaasti kommentoida minua, jos sinulla on kysyttävää.

lähde

Jätä vastaus

Tämä sivusto käyttää Akismetiä roskapostin vähentämiseksi. Lue, miten kommenttitietosi käsitellään.