Ahoana no fomba hanaraha-maso ny rakitra Log amin'ny Graylog2 amin'ny Debian 9

Ahoana no fomba hanaraha-maso ny rakitra Log amin'ny Graylog2 amin'ny Debian 9

Miara-miasa izy io, fa mora kokoa, mahafinaritra ary mahafa-po kokoa.

Graylog dia fitaovana maimaim-poana amin'ny alàlan'ny Java, Elasticsearch ary MongoDB izay azo ampiasaina hanangonana, hizaha ny endriny ary hizaha ny log de server rehetra avy amin'ny toerana afovoany. Azonao atao ny manara-maso mora foana ny fidirana SSH sy ny hetsika tsy mahazatra amin'ny fanesorana ny fampiharana sy ny logs amin'ny fampiasana Graylog. Graylog dia manolotra fiteny fanadinana matanjaka, fampandrenesana fahaiza-manao, fantsom-pandrindrana ho an'ny fanodinana ny data ary ny maro hafa. Afaka manitatra ny asan'ny Graylog amin'ny alàlan'ny APEST sy Add-ons REST ianao.

Graylog dia misy singa telo:

  1. Fikarohana elastika: Mitahiry ny hafatra rehetra tonga sy mikaroka.
  2. MongoDB: ampiasaina amin'ny angon-drakitra, mitahiry ny fanoratana sy ny fampahalalana meta.
  3. Serveur Graylog: Mahazo sy manova ny hafatra avy amin'ny fitaovana isan-karazany izy ary manome aterineto ho an'ny fanadihadiana sy ny fanaraha-maso.

Ao amin'ity lesona ity dia hanazava ny fomba fametrahana Graylog2 amin'ny Debian 9 Server.

fepetra takiana mialohan'ny ahafahana

  • Mpiserasera iray mampiasa an'i Debian 9.
  • Minimum 4 GB RAM.
  • Fikirakirana adiresy IPNUMX adiresy IP eo amin'ny server.

1 Mametraka Packages ilaina

Alohan'ny hanombohana, ianao dia mila mametraka Java 8 sy ireo hafa hafa entana ao amin'ny rafitrao. Tsy ampy ny fonosana rehetra ilaina ao amin'ny tahiry standard Debian 9, noho izany dia mila manampy an'i Debian Backports amin'ny lisitry ny loharanom-baomiera ianao. Voalohany, midira amin'ny mpampiasa faka ary mamorona file backport.list:

nano /etc/apt/sources.list.d/backport.list

Ampio izao andalana manaraka izao:

deb http://ftp.debian.org/debian jessie-backports main

Tehirizo ny rakitra rehefa vita, ary farano amin'ny rafitra manaraka ny rafitrao:

apt-get update -y
apt-get upgrade -y

Raha vao manomboka ny rafitrao ny rafitrao dia mametraka ny fonosana miaraka amin'ity baiko manaraka ity:

apt-get install apt-transport-https openjdk-8-jre-headless uuid-runtime pwgen -y

Raha vantany vao tafapetraka daholo ireo fonosana ilaina, afaka miditra amin'ny MongoDB ianao.

2 hametraka MongoDB

Ny MongoDB dia mitaky ny fametrahana ny rafitra sy ny meta. Ny MongoDB dia azo jerena ao amin'ny tahiry default ny Debian 9, ka azonao atao ny mametraka ny MongoDB amin'ny alàlan'ny baiko manaraka:

apt-get install mongodb-server -y

Rehefa tafapetraka ny MongoDB dia afaka manamboatra ny Elasticsearch ianao.

3 Fidio ny elastika

Elasticsearch dia miasa ho toy ny mpikaroka mikaroka ny logs rehetra nalefan'ny Server Grayglas ary mampiseho ny hafatra isaky ny mangataka. Ny elastika dia tsy hita ao amin'ny tahiry default Debian 9. Ilainao ny manampy ny rakitra Elasticsearch amin'ny loharanom-panontana Debian.

Voalohany, alaina maimaimpoana ary ampidiro ny famaha Elasticsearch GPG amin'ny baiko manaraka:

wget -qO – https://packages.elastic.co/GPG-KEY-elasticsearch | apt-key add –

Avy eo, mamorona rakitra Elasticsearch amin'ny baiko manaraka:

nano /etc/apt/sources.list.d/elasticsearch.list

Ampio izao andalana manaraka izao:

deb https://packages.elastic.co/elasticsearch/2.x/debian main main

Tehirizo ilay rakitra rehefa vita ianao, ary farano amin'ny tranokala manaraka ny fivoarana:

apt-get update -y

Manaraka izany, mametraka ny Elasticsearch amin'ny alàlan'ity baiko manaraka ity:

apt-get install elasticsearch -y

Raha vao vita ny fametrahana ny Elasticsearch, dia mila manova ny antontan-drakitra fanalahidy Elasticsearch ianao:

nano /etc/elasticsearch/elasticsearch.yml

Manaova izao fanovana manaraka izao:

cluster.name: graylog network.host: 192.168.0.187 discovery.zen.ping.timeout: 10s discovery.zen.ping.multicast.enabled: false discovery.zen.ping.unicast.hosts: ["192.168.0.187: 9300"]

Mamonjy sy manakatona ny rakitra rehefa vita izany, dia manomboha ny tolotra Elasticsearch ary ahafahanao manomboka amin'ny boot:

systemctl manomboka elasticsearch
systemctl manampy ny elasticsearch

Aorian'ny segondra vitsy, hazavao ity manaraka ity mba hizaha hoe mandeha tsara ny Elasticsearch:

curl -XGET XCHARXhttp://192.168.0.187:9200/_cluster/health?pretty=trueXCHARX

Make sure the output shows the cluster status as “green”:

{"cluster_name": "graylog", "status": "maitso", "timed_out": diso, "number_of_nodes": 1, "number_of_data_nodes": 1, "active_primary_shards": 1, "active_shards": 1, "relocating_shards" : 0, "initializing_shards": 0, "delayed_unassigned_shards": 1, "number_of_pending_tasks": 0, "number_of_in_flight_fetch": 0, "task_max_waiting_in_queue_millis": 0, "active_shards_percent_as_number": 0}

Raha vao tafapetraka sy miasa tsara ny Elasticsearch dia afaka manohy ny dingana manaraka ianao.

4 Manaova fitaratra

Graylog dia tsy hita ao amin'ny tahiry default ny Debian 9, noho izany dia mila mandefa sy mametraka ny rejisitra Graylog 2 aloha ianao. Azonao atao izany amin'ny alàlan'ny fananana ity baiko manaraka ity:

wget https://packages.graylog2.org/repo/packages/graylog-2.2-repository_latest.deb
dpkg -i graylog-2.2-repository_latest.deb

Vantany vao napetraka ny tahiry, alao ny tranokala ary mametraka ny servisy Graylog amin'ny baiko manaraka:

apt-get update -y
apt-get install graylog-server -y

Rehefa avy nametraka Graylog ianao, dia mila mametraka tsiambaratelo mba hiarovana ny tenimiafin'ny mpampiasa ary mametraka tenimiafina (sha256) ho an'ny mpampiasa fototra.

Voalohany, mamorona password_secret amin'ny baiko manaraka:

ny -N 1 -s 96

Tokony hojerena ny vokatra manaraka:

TRXbNPoW4gGC8BN8Gzl4wH3jtfLoi06WCJqia18UtYyPaNLx4r8U7jUPRlIJHoGGxrCjZVqAvW2DcueI6N1zHoy2bKEWLyyC

Ampidino avy eo ny tenifototra hash ho an'ny mpampiasa root miaraka amin'ireto baiko manaraka ireto:

echo -n youradminpassword | sha256sum

Tokony hojerena ny vokatra manaraka:

e3c5925aa22abdfa18cf197a7b218fcad31acb6409d2e2dbebae807d3a9750ee

Fanamarihana: Tsarovy ny tenimiafin'ny tenimiafina, satria mila alaina ny lakile ao amin'ny server.conf.

Avy eo, mila mila manova ny rakitra maintim-pitaratra grioby ao amin'ny / etc / graylog / server / directory:

nano /etc/graylog/server/server.conf

Manaova izao fanovana manaraka izao:

is_master = tena node_id_file = / etc / graylog / mpizara / node-ID ######## taloha-ny-tenimiafina-miafina-eto ######### password_secret = TRXbNPoW4gGC8BN8Gzl4wH3jtfLoi06WCJqia18UtYyPaNLx4r8U7jUPRlIJHoGGxrCjZVqAvW2DcueI6N1zHoy2bKEWLyyC root_username = Admin ### #### lasa-ny-faka-hasi-tenimiafina-eto ########## root_password_sha2 = e3c5925aa22abdfa18cf197a7b218fcad31acb6409d2e2dbebae807d3a9750ee root_timezone = UTC plugin_dir = / usr / Share / graylog-mpizara / plugin rest_listen_uri = http: // 0.0.0.0 : 9000 / API / rest_enable_cors = marina web_listen_uri = http: // 0.0.0.0: 9000 / rotation_strategy = manisa elasticsearch_max_docs_per_index = 20000000 elasticsearch_max_number_of_indices = 7 retention_strategy = hamafa elasticsearch_shards = 4 elasticsearch_replicas = 1 elasticsearch_index_prefix = graylog allow_leading_wildcard_searches = tena allow_highlighting = diso elasticsearch_cluster_name = graylog elasticsearch_ discovery_zen_ping_unicast_hosts = 192.168.0.187: 9300 elasticsearch_http_enabled = diso elasticsearch_network_host = 0.0.00 elasticsearch_discovery_initial_state_timeout = 3s elasticsearch_analyzer = fenitra output_batch_size = 500 output_flush_interval = 1 output_fault_count_threshold = 5 output_fault_penalty_seconds = 30 processbuffer_processors = 5 outputbuffer_processors = 3 processor_wait_strategy = fanakanana ring_size = 65536 inputbuffer_ring_size = 65536 inputbuffer_processors = 2 inputbuffer_wait_strategy = fanakanana message_journal_enabled = tena message_journal_dir = / var / lib / graylog-mpizara / gazety async_eventbus_processors = 2 lb_recognition_period_seconds = 3 alert_check_interval = 60 mongodb_uri = mongodb: // localhost / graylog mongodb_max_connections = 1000 mongodb_threads_allowed_to_block_multiplier = 5 content_packs_dir = / usr / Share / graylog-mpizara / contentpacks content_packs_auto_load = grok-patterns.json proxied_requests_thread_pool_siz e = 32

Mamonjy sy manakatona ny rakitra rehefa vita ianao, dia manomboha ny tolotra Graylog ary ahafahanao manomboka amin'ny boot:

systemctl manomboka graylog-server
systemctl dia manampy ny graylog-server

Rehefa vita ny fotoana dia afaka manohy ny dingana manaraka ianao

5 Manamboatra rindrankajy

Amin'ny alàlan'ny default, ny Internet interface Graylog dia mihaino eo amin'ny seranana 9000, noho izany dia mila mamela ny port 9000 amin'ny alalan'ny Firewall UFW ianao. Tsy tafiditra ao amin'ny Debian 9 ny firewall UFW. Noho izany dia mila mametraka izany aloha ianao. Azonao atao ny mametraka azy io amin'ny alàlan'ny baiko manaraka:

apt-get install ufw -y

Rehefa tafapetraka ny UFW, dia manaova azy io amin'ny alalan'ny fandefasana ity baiko manaraka ity;

ufw enable

Avy eo, avelao ny seranan-tsambo 9000 amin'ny alàlan'ny UFW firewall amin'ny alalan'ny fandefasana ity baiko manaraka ity:

ufw dia mamela 9000

Azonao atao ny manamarina ny sata mifehy ny UFW amin'ny fotoana rehetra amin'ny alàlan'ny baiko manaraka.

ufw status

Raha vao natsangana ny firewall, dia afaka manohy ny dingana manaraka ianao.

6 Access Graylog Web Interface

Grayface web interface mihaino eo amin'ny seranana 9000. Anio, sokafy ny navigateur web anao ary soraty ny URL http://192.168.0.187:9000, tokony hojerena ity efijery manaraka ity:

Graylog Interface

Login with username “AdminXCHARX and the password you configured at root_password_sha2 on server.conf. You should see the following screen:

Nanomboka ny Graylog

Avy eo, mila ampidirinao ny fandraisana ny hafatra syslog mampiasa ny UDP. Ampidiro ny soso-kevitra, Tsindrio ny System -> Select Inputs -> Syslog UDP -> click on Launch boutique vaovao, tokony hijery ity sary manaraka ity:

Ampio loharano fidirana ao amin'ny Graylog

Fenoy ny tsipiriany rehetra, toy ny Lohateny, ny Port, ny adiresy enao, ary farany Tsindrio ny bokotra Save, tokony hijery ity sary manaraka ity ianao:

Loharanom-pifandraisana log

Amin'izao fotoana izao ny server log Gray dia hahazo ny logs amin'ny rafitra mampiasa ny port 8514 avy amin'ny mpanjifa na ny server.

Ao amin'ny rafitra client, ianao dia mila manamboatra rsyslog mba handefa ny hafatra manjary ao amin'ny server Grayglas. Azonao atao izany amin'ny alàlan'ny fanitsiana ny rsyslog.conf file:

nano /etc/rsyslog.conf

Ampio ireto andalana manaraka ireto:

# manome UDP syslog fandraisana $ ModLoad imudp $ UDPServerRun 8514 $ template GRAYLOGRFC5424, "% protocol-version%% timestamp ::: date-rfc3339%% HOSTNAME%% app-name%% procid%% msg% n" *. *. 192.168.0.187: 8514; GRAYLOGRFC5424

Soritsorio ny rakitra ary avereno ny serivisy rsyslog hampihatra ireto fanovana ireto:

systemstl manavao ny rsyslog

Next, on the Graylog server click on the “Graylog Sources” you can see the ssh log with failed login attempts in the following screen.

Jereo ny fanandramana fidirana amin'ny Graylog

Famaranana

Arahabaina! Nahomby ianao nanamboatra sy nametraka ny server Grayglas tao amin'ny Debian 9. Azonao atao ny mahita ny logs sy ny famakafakana ny log de logiciel avy amin'ny toerana afovoany. Azonao atao koa ny mamolavola Graylog ary mandefa karazana logs hafa araka izay ilainao. Azonao atao ny mahazo fampahalalana bebe kokoa ao amin'ny pejin'ny horonan-tsary Graylog http://docs.graylog.org/en/2.2/pages/getting_started.html. Aza misalasala miresaka amiko raha manana fanontaniana ianao.

Source

Leave a Reply

Mampiasa Akismet ity tranonkala ity mba hampihenana spam. Fantaro ny fomba amoahanao ny angona fanehoanao.