Debian 2 üzerinde Graylog9 ile Günlük Dosyaları Nasıl İzlenir

Debian 2 üzerinde Graylog9 ile Günlük Dosyaları Nasıl İzlenir

Ekip çalışması, daha basit, daha keyifli ve daha üretken.

Graylog, Java, Elasticsearch ve MongoDB'ye dayanan, merkezi bir konumdan herhangi bir sunucu günlüğünü toplamak, indekslemek ve analiz etmek için kullanılabilen ücretsiz ve açık kaynak bir günlük yönetim aracıdır. SSH girişlerini ve Graylog kullanarak uygulama ve günlükleri ayıklamak için olağandışı etkinliği kolayca izleyebilirsiniz. Graylog, güçlü bir sorgu dili, uyarı yetenekleri, veri dönüşümü için bir işlem hattı ve çok daha fazlasını sunar. Graylog'un işlevselliğini bir REST API ve Eklentiler aracılığıyla genişletebilirsiniz.

Graylog üç bileşenden oluşur:

  1. Elasticsearch: Tüm gelen mesajları saklar ve arama olanağı sağlar.
  2. MongoDB: Veritabanı için kullanılır, yapılandırmaları ve meta bilgileri depolar.
  3. Graylog sunucusu: Çeşitli girdilerden gelen mesajları alır ve işler ve analiz ve izleme için bir web arayüzü sağlar.

Bu derste, Graylog2'in Debian 9 Server'a nasıl kurulacağını açıklayacağız.

Önkoşul

  • Debian 9 çalıştıran bir sunucu.
  • Minimum 4 GB RAM.
  • Sunucunuzda bir statik IP adresi 192.168.0.187 kurulumu.

1 Gerekli Paketleri Kur

Başlamadan önce, sisteminize Java 8 ve diğer gerekli paketleri yüklemeniz gerekir. Gerekli tüm paketler Debian 9 standart havuzunda mevcut değildir, bu nedenle Paket kaynağı listesine Debian Backports eklemeniz gerekir. Öncelikle kök kullanıcı ile giriş yapın ve bir backport.list dosyası oluşturun:

nano /etc/apt/sources.list.d/backport.list

Aşağıdaki satırı ekleyin:

deb http://ftp.debian.org/debian jessie-backports ana

İşiniz bittiğinde dosyayı kaydedin, ardından aşağıdaki komutu kullanarak sisteminizi güncelleyin:

apt-get update -y
apt-get yükseltme -y

Sisteminiz güncel olduğunda, tüm paketleri aşağıdaki komutla birlikte yükleyin:

apt-get install apt-taşıma-https openjdk-8-jre-başsız uuid çalışma zamanı pwgen -y

Gerekli tüm paketler yüklendikten sonra, MongoDB'yi yüklemeye devam edebilirsiniz.

2 MongoDB'yi Kur

MongoDB'nin yapılandırma ve meta bilgilerini depolaması gerekir. MongoDB, Debian 9 varsayılan deposunda kullanılabilir, böylece MongoDB'yi aşağıdaki komutu çalıştırarak yükleyebilirsiniz:

apt-get install mongodb-server -y

MongoDB yüklendikten sonra, Elasticsearch'ü yüklemeye devam edebilirsiniz.

3 Elasticsearch Kurulumu

Elasticsearch, Graylog sunucusu tarafından gönderilen tüm kayıtları saklayan ve istediğiniz zaman mesajları görüntüleyen bir arama sunucusu görevi görür. Elasticsearch, Debian 9 varsayılan havuzunda mevcut değildir. Elasticsearch deposunu Debian paket kaynağına eklemeniz gerekecek.

İlk olarak, aşağıdaki komutu kullanarak Elasticsearch GPG anahtarını indirin ve ekleyin:

wget -qO - https://packages.elastic.co/GPG-KEY-elasticsearch | apt-key eklentisi -

Ardından, aşağıdaki komutu içeren bir Elasticsearch repo dosyası oluşturun:

nano /etc/apt/sources.list.d/elasticsearch.list

Aşağıdaki satırı ekleyin:

deb https://packages.elastic.co/elasticsearch/2.x/debian kararlı ana

Bitirdiğinizde dosyayı kaydedin, ardından aşağıdaki komutu çalıştırarak depoyu güncelleyin:

apt-get update -y

Ardından, aşağıdaki komutu çalıştırarak Elasticsearch yükleyin:

apt-get elasticsearch -y'yi yükle

Elasticsearch kurulduğunda, Elasticsearch ana yapılandırma dosyasını değiştirmeniz gerekecektir:

nano /etc/elasticsearch/elasticsearch.yml

Aşağıdaki değişiklikleri yapın:

cluster.name: graylog network.host: 192.168.0.187 discovery.zen.ping.timeout: 10s discovery.zen.ping.multicast.enabled: false discovery.zen.ping.unicast.hosts: ["192.168.0.187: 9300"]

İşiniz bittiğinde dosyayı kaydedin ve kapatın, ardından Elasticsearch hizmetini başlatın ve önyüklemeyi başlatmak için etkinleştirin:

systemctl başlangıç ​​elasticsearch
systemctl, elasticsearch'ü etkinleştirir

Birkaç saniye sonra, Elasticsearch'ün düzgün çalıştığını test etmek için aşağıdakileri çalıştırın:

curl -XGET 'http: // 192.168.0.187: 9200 / _cluster / health? pretty = true'

Çıktının küme durumunu “yeşil” olarak gösterdiğinden emin olun:

{"cluster_name": "graylog", "status": "green", "timed_out": false, "number_of_nodes": 1, "number_of_data_nodes": 1, "active_primary_shards": 1, "active_shards": 1, "relocating_shards" : 0, "initializing_shards": 0, "unassigned_shards": 1, "delayed_unassigned_shards": 0, "number_of_pending_tasks": 0, "number_of_in_flight_fetch": 0, "task_max_waiting_in_queue_millis": 0, "active_shards_percent_as_number": 50.0}

Elasticsearch kurulduktan ve iyi çalıştığından, bir sonraki adıma geçebilirsiniz.

4 Graylog Kurulumu

Graylog, Debian 9 varsayılan deposunda mevcut değildir, bu nedenle önce Graylog 2 deposunu indirip yüklemeniz gerekir. Aşağıdaki komutu çalıştırarak bunu yapabilirsiniz:

wget https://packages.graylog2.org/repo/packages/graylog-2.2-repository_latest.deb
dpkg -i graylog-2.2-repository_latest.deb

Depo yüklendikten sonra depoyu güncelleyin ve Graylog sunucusunu aşağıdaki komutla yükleyin:

apt-get update -y
apt-get install graylog-server -y

Graylog'u yükledikten sonra, kullanıcı şifrelerini güvence altına almak için bir sır ayarlamanız ve aynı zamanda root kullanıcısı için bir hash (sha256) şifresi belirlemeniz gerekecektir.

İlk olarak, aşağıdaki komutla password_secret oluşturun:

pwgen -N 1 -s 96

Aşağıdaki çıktıyı görmelisiniz:

TRXbNPoW4gGC8BN8Gzl4wH3jtfLoi06WCJqia18UtYyPaNLx4r8U7jUPRlIJHoGGxrCjZVqAvW2DcueI6N1zHoy2bKEWLyyC

Ardından, aşağıdaki komutla birlikte root kullanıcısı için karma şifre oluşturun:

echo -n youradminpassword | sha256sum

Aşağıdaki çıktıyı görmelisiniz:

e3c5925aa22abdfa18cf197a7b218fcad31acb6409d2e2dbebae807d3a9750ee

Not: Her iki anahtarın da server.conf dosyasında yapılandırılması gerekeceğinden, her iki şifre anahtarını da unutmayın.

Ardından, / etc / graylog / server / dizininde bulunan Graylog sunucusu ana yapılandırma dosyasını değiştirmeniz gerekecektir:

nano /etc/graylog/server/server.conf

Aşağıdaki değişiklikleri yapın:

is_master = true node_id_file = / etc / graylog / sunucu / düğüm kimliği ######## geçmiş-your-parola gizli-burada ######### password_secret = TRXbNPoW4gGC8BN8Gzl4wH3jtfLoi06WCJqia18UtYyPaNLx4r8U7jUPRlIJHoGGxrCjZVqAvW2DcueI6N1zHoy2bKEWLyyC root_username = yönetici ### #### geçmiş-your-kök-karma-şifre burada ########## root_password_sha2 = e3c5925aa22abdfa18cf197a7b218fcad31acb6409d2e2dbebae807d3a9750ee root_timezone = UTC plugin_dir = / usr / share / graylog-sunucu / eklenti rest_listen_uri = http: // 0.0.0.0 : 9000 / aPI / rest_enable_cors = true web_listen_uri = http: // 0.0.0.0: 9000 / rotation_strategy = saymak elasticsearch_max_docs_per_index = 20000000 elasticsearch_max_number_of_indices = 7 retention_strategy = silmek elasticsearch_shards = 4 elasticsearch_replicas = 1 elasticsearch_index_prefix = graylog allow_leading_wildcard_searches = true allow_highlighting = false elasticsearch_cluster_name = graylog elasticsearch_ discovery_zen_ping_unicast_hosts = 192.168.0.187: 9300 elasticsearch_http_enabled = yanlış elasticsearch_network_host = 0.0.00 elasticsearch_discovery_initial_state_timeout = 3s elasticsearch_analyzer = standart output_batch_size = 500 output_flush_interval = 1 output_fault_count_threshold = 5 output_fault_penalty_seconds = 30 processbuffer_processors = 5 outputbuffer_processors = 3 processor_wait_strategy = bloke ring_size = 65536 inputbuffer_ring_size = 65536 inputbuffer_processors = 2 inputbuffer_wait_strategy = engelleme message_journal_enabled = true message_journal_dir = / var / lib / graylog-sunucu / dergi async_eventbus_processors = 2 lb_recognition_period_seconds = 3 alert_check_interval = 60 mongodb_uri = mongodb: // localhost / graylog mongodb_max_connections = 1000 mongodb_threads_allowed_to_block_multiplier = 5 content_packs_dir = / usr / share / graylog-sunucu / contentpacks content_packs_auto_load = grok-patterns.json Instagram Hesabındaki Resim ve Videoları proxied_requests_thread_pool_siz e = 32

İşiniz bittiğinde dosyayı kaydedin ve kapatın, ardından Graylog hizmetini başlatın ve önyüklemeyi başlatmak için etkinleştirin:

systemctl graylog sunucusunu başlat
systemctl graylog sunucusunu etkinleştir

Bitirdikten sonra, bir sonraki adıma geçebilirsiniz.

5 Güvenlik Duvarı Yapılandır

Varsayılan olarak, Graylog web arabirimi 9000 bağlantı noktasını dinliyor, dolayısıyla UFW güvenlik duvarı üzerinden 9000 bağlantı noktasına izin vermeniz gerekecek. UFW güvenlik duvarı Debian 9'te yüklü değil. Bu yüzden önce onu yüklemeniz gerekecek. Aşağıdaki komutu çalıştırarak yükleyebilirsiniz:

apt-get install ufw -y

UFW kurulduktan sonra, aşağıdaki komutu çalıştırarak etkinleştirin;

ufw etkinleştir

Ardından, aşağıdaki komutu çalıştırarak UNW güvenlik duvarı üzerinden 9000 bağlantı noktasına izin verin:

ufw 9000'a izin verir

Aşağıdaki komutu çalıştırarak UFW güvenlik duvarının durumunu istediğiniz zaman kontrol edebilirsiniz.

ufw durumu

Güvenlik duvarı yapılandırıldıktan sonra, bir sonraki adıma geçebilirsiniz.

6 Access Graylog Web Arayüzü

Graylog web arayüzü 9000 bağlantı noktasında dinleniyor. Şimdi, web tarayıcınızı açın ve URL'yi yazın http://192.168.0.187:9000, aşağıdaki ekranı görmelisiniz:

Graylog Arabirimi

Kullanıcı adı ile giriş yapyönetim”Ve server.conf üzerinde root_password_sha2 adresinde yapılandırdığınız şifre. Aşağıdaki ekranı görmelisiniz:

Graylog başlıyor

Ardından, UDP'yi kullanarak syslog mesajını almak için girişi eklemeniz gerekecektir. Girişi eklemek için, Sistem -> Girdiler -> Syslog UDP -> Yeni Girdi Başlat düğmesine tıklayın, aşağıdaki ekranı görmelisiniz:

Graylog'da giriş kaynağı ekle

Başlık, Bağlantı Noktası, Bağlantı adresi ve Son Kaydetme Kaydet düğmesi gibi tüm ayrıntıları doldurun, aşağıdaki ekranı görmelisiniz:

Günlük kaynağı ayrıntısı

Artık Graylog sunucusu, istemci veya sunucudan 8514 bağlantı noktasını kullanarak sistem günlüklerini alacaktır.

İstemci sisteminde, sistem günlüğü mesajlarını Graylog sunucusuna gönderecek şekilde rsyslog'u yapılandırmanız gerekecektir. Bunu rsyslog.conf dosyasını düzenleyerek yapabilirsiniz:

nano /etc/rsyslog.conf

Aşağıdaki satırları ekleyin:

# UDP syslog alımını sağlar $ ModLoad imudp $ UDPServerRun 8514 $ şablonu GRAYLOGRFC5424, "% protocol-version%% timestamp ::: date-rfc3339% HOSTNAME%% app-name%% procid%% msg% n" *. * @ 192.168.0.187: 8514; GRAYLOGRFC5424

Bu değişiklikleri uygulamak için dosyayı kaydedin ve rsyslog hizmetini yeniden başlatın:

systemctl rsyslog'u yeniden başlat

Ardından, Graylog sunucusunda “Graylog Sources” i tıklayarak, aşağıdaki ekranda başarısız giriş denemeleriyle ssh logunu görebilirsiniz.

Graylog ile giriş girişimlerini izleyin

Sonuç

Tebrik ederiz! Debian 9 üzerinde Graylog sunucusunu başarıyla yüklediniz ve yapılandırdınız. Artık sistem kayıtlarının loglarını ve analizlerini merkezi konumdan kolayca görebilirsiniz. Graylog'u da özelleştirebilir ve ihtiyacınıza göre başka türde bir günlük gönderebilirsiniz. Graylog dokümantasyon sayfasından daha fazla bilgi alabilirsiniz. http://docs.graylog.org/en/2.2/pages/getting_started.html. Herhangi bir sorunuz olursa bana yorum yapmaktan çekinmeyin.

Kaynak

Yanıt Ver

Bu site spam'i azaltmak için Akismet'i kullanıyor. Yorum verilerinizin nasıl işlendiğini öğrenin.