GNU/Linux >> Linux Esercitazione >  >> Debian

Come monitorare i file di registro con Graylog v3.1 su Debian 10

Graylog è uno strumento di gestione dei log gratuito e open source basato su Java, ElasticSearch e MongoDB. Graylog può essere utilizzato per raccogliere, indicizzare e analizzare qualsiasi log del server da una posizione centralizzata o distribuita. Possiamo monitorare facilmente qualsiasi attività insolita per il debug di applicazioni e log utilizzando Graylog. Graylog fornisce un potente linguaggio di query, capacità di avviso, una pipeline di elaborazione per la trasformazione dei dati e molto altro. Possiamo anche estendere la funzionalità di Graylog tramite un'API REST e componenti aggiuntivi.

Al momento non esiste ancora una guida ufficiale di Graylog v3.1 su Debian 10.

L'installazione di Graylog v3.1 su Debian 10 avviene in 9 passaggi:

  • Fase 1:Aggiorna i sistemi con i repository Debian Backport
  • Passaggio 2:installa un assistente
  • Passaggio 3:installa il runtime JAVA headless v11.00
  • Fase 4:installa MongoDB v4.2, un database in cui archiviare le configurazioni e le metainformazioni.
  • Fase 5:Installa Elasticsearch-OSS 6.x:memorizza tutti i messaggi in arrivo e fornisce una funzione di ricerca.
  • Passaggio 6:Installa Graylog v3.1 - Riceve e registra da vari input e fornisce un'interfaccia web per l'analisi e il monitoraggio.
  • Passaggio 7:Configura Graylog
  • Fase 8:verifica Graylog
  • Fase 9:accedi a Graylog

Prerequisito

  • Una Debian 10 minima. Possiamo fare riferimento a questo tutorial.
  • Minimo 4 GB di RAM, 2 core CPU e dischi da 20 GB
  • Password predefinita:KataLaluan
  • Segreto predefinito: SecretRahsiaSecreta
  • accesso root utilizzando "su - ", Debian ha recentemente modificato il comportamento del comando su. now 'su Il comando ' non sostituisce PATH. usa "su - " invece.

Fase 1:aggiornare i sistemi con Debian Backport

Configura il sistema per utilizzare il repository dei backport Debian

cat > /etc/apt/sources.list << EOF
deb http://ftp.debian.org/debian/ buster main contrib non-free
deb http://security.debian.org/debian-security buster/updates main contrib non-free
deb http://ftp.debian.org/debian/ buster-updates main contrib non-free
deb http://ftp.debian.org/debian buster-backports main contrib non-free
EOF
apt -y update
apt -y dist-upgrade

Passaggio 2:installazione del runtime Java senza testa v11.00

Graylog and Elasticsearch è un'applicazione basata su Java. Quindi, dovremo installare Java sul tuo sistema. Per impostazione predefinita, l'ultima versione di Java è disponibile nel repository predefinito di Debian 10. Possiamo installarlo semplicemente eseguendo il seguente comando:

apt -y install apt-transport-https default-jdk

Passaggio 3:installa un helper

Abbiamo bisogno di installare alcuni strumenti utili come supporto nel processo:

  • GnuPG:un'implementazione dello standard OpenPGP, per aiutare nel sistema di gestione delle chiavi
  • wget:uno strumento per recuperare file utilizzando HTTP, HTTPS e FTP, i protocolli Internet più utilizzati
apt -y install gnupg wget

Fase 4 - Installa MongoDB v4.2

Per impostazione predefinita, MongoDB non è disponibile nel repository predefinito di Debian 10. Quindi dobbiamo aggiungere il repository MongoDB al sistema:

apt-key adv --keyserver hkp://keyserver.ubuntu.com:80 --recv 4B7C549A058F8B6B
echo "deb http://repo.mongodb.org/apt/debian buster/mongodb-org/4.2 main" | tee /etc/apt/sources.list.d/latest-mongodb.list
apt -y update
apt install -y mongodb-org

Abilita e riavvia i servizi MongoDB:

systemctl enable mongod.service
systemctl start mongod.service

Passaggio 5:installa Elasticsearch-OSS 6.x

Al momento, Graylog v3.1 non supporta ancora Elasticsearch-OSS 7.x

Aggiungeremo la chiave e il repository Elasticsearch a Debian. Con il repository elasticsearch fornito da elastic.co, siamo in grado di installare Elasticsearch eseguendo il comando seguente:

wget -qO - https://artifacts.elastic.co/GPG-KEY-elasticsearch | apt-key add -
echo "deb https://artifacts.elastic.co/packages/oss-6.x/apt stable main" | tee -a /etc/apt/sources.list.d/latest-elastic-6.x.list
apt -y update
apt -y install elasticsearch-oss

Configura Elasticsearch per il nome del cluster

sed -i "s/#cluster.name: my-application/cluster.name: graylog-application/g" /etc/elasticsearch/elasticsearch.yml

Abilita e riavvia i servizi di Elasticsearch:

systemctl enable elasticsearch.service
systemctl start elasticsearch.service

Passaggio 6:installa Graylog v3.1

Scaricheremo un semplice pacchetto Graylog che aiuta ad aggiungere la chiave Graylog e configurare il repository Graylog

cd /tmp/
wget https://packages.graylog2.org/repo/packages/graylog-3.1-repository_latest.deb
dpkg -i graylog-3.1-repository_latest.deb
apt -y update

Installa Graylog eseguendo il comando seguente:

apt -y install graylog-server

Passaggio 7:Configura Graylog

Hash la password e copia l'hash. "KataLaluan " è la password attualmente selezionata.

echo 'KataLaluan' | tr -d '\n' | sha256sum | cut -d" " -f1

Aggiungi la password con hash nel file di configurazione Graylog

sed -i "s/^root_password_sha2 =\$/root_password_sha2 = a25d2f6605c9e27f182d39b66a8b527eb7f2360e52b2ccc7614f8ac24e472bef/g" /etc/graylog/server/server.conf

Aggiungi il segreto nel file di configurazione Graylog, la lunghezza minima è di 16 caratteri.

sed -i "s/^password_secret =\$/password_secret = SecretRahsiaSecreta/g" /etc/graylog/server/server.conf

Consenti l'accesso esterno al graylog

sed -i "s/^#http_bind_address = 127.0.0.1:9000/http_bind_address = 0.0.0.0:9000/g" /etc/graylog/server/server.conf

Cambia il fuso orario in base alla posizione

sed -i "s/#root_timezone = UTC/root_timezone = Asia\/Kuala_Lumpur/g" /etc/graylog/server/server.conf

Abilita e riavvia i servizi Graylog:

systemctl enable graylog-server.service
systemctl start graylog-server.service

se il Graylog è dietro un router, dobbiamo impostare l'indirizzo IP della WAN del router nella configurazione del Graylog. Può anche essere un record A di DNS che punta allo stesso indirizzo IP

sed -i '/http_publish_uri =/c\http_publish_uri = http://graylog.howtoforge.com:9000/' /etc/graylog/server/server.conf

Fase 8:prova Graylog

Testiamo il Graylog utilizzando alcuni comandi primitivi

apt -y install netcat curl

Ecco alcuni esempi di comando da registrare.

echo "Hello Graylog, let's be friends." | nc -w 1 -u 127.0.0.1 9099

Ecco alcuni comandi di esempio per ottenere lo stato dell'API del server Graylog.

curl -X GET http://localhost:9200
curl -XGET 'http://localhost:9200/_cluster/health?pretty=true'

Ecco alcuni comandi di esempio per ottenere il registro del server Graylog.

tail -f /var/log/graylog-server/server.log

Fase 9:Accedi al Graylog

Usiamo la WebGUI. l'URL può essere:

  • http://:9000/
  • http://:9000/
  • http://:9000/

Esempio dell'URL

  • http://192.168.0.3:9000/
  • http://104.26.2.165:9000/
  • http://graylog.howtoforge:9000/

Dopo aver inserito l'URL in un browser, dovremmo vedere la seguente pagina di accesso, il nome utente predefinito è admin e la password selezionata è KataLaluan,

Dopo l'accesso, dovremmo vedere la seguente pagina Graylog:

Conclusione

Fatto, abbiamo installato e configurato correttamente il server Graylog 3.1 su Debian 10. Ora possiamo vedere facilmente i registri e l'analisi dei registri di sistema nella posizione centrale. Ottieni maggiori informazioni dalla pagina della documentazione di Graylog. Si prega di commentare e feedback in caso di domande.

Buona registrazione.


Debian

  1. Come installare Steam con Steam Play su Debian 10 Buster

  2. Come installare R su Debian 9

  3. Come installare R su Debian 10

  4. Come monitorare i file di registro del server con Logwatch su Debian e Ubuntu

  5. Come installare WonderCMS con Nginx su Debian 11

Come installare Itch con Debian 11

Come installare Graylog su Debian 9

Come installare Graylog su Debian 10

Come installare Vai su Debian 10

Come installare phpMyAdmin con Nginx su Debian 11

Come installare Vai su Debian