Graylog (dříve známý jako Graylog2) je platforma pro správu protokolů s otevřeným zdrojovým kódem, která vám pomáhá shromažďovat, indexovat a analyzovat protokoly všech strojů na centralizovaném místě. Tato příručka vám pomůže nainstalovat Graylog2 na Ubuntu 14.04 a také se zaměřit na instalaci čtyř dalších komponent, díky nimž je Graylog2 výkonným nástrojem pro úplnou správu protokolů.
Součásti:
1. MongoDB – Ukládá konfigurace a meta informace.
2. Elasticsearch – Ukládá zprávy protokolu a nabízí vyhledávací zařízení, uzly by měly mít velkou paměť, protože zde probíhají všechny I/O operace.
3. GrayLog – Log parser, shromažďuje logy z různých vstupů.
4. Webové rozhraní GrayLog =poskytuje vám webový portál pro správu protokolů.
Předpoklady:
Vzhledem k tomu, že Elasticsearch je založen na Javě, museli bychom nainstalovat buď openJDK nebo Oracle JDK. Doporučuje se nainstalovat Oracle JDK, ověřit verzi Java pomocí následujícího příkazu.
$ java -versionjava verze "1.8.0_60" Java(TM) SE Runtime Environment (sestavení 1.8.0_60-b27)Java HotSpot(TM) 64bitový server VM (sestavení 25.60-b23, smíšený režim)
Instalovat Elasticsearch:
Elasticsearch je open source vyhledávací server, který nabízí distribuované vyhledávání a analýzy v reálném čase s webovým rozhraním RESTful. Elasticsearch ukládá všechny protokoly odeslané serverem Graylog a zobrazuje zprávy, když webové rozhraní graylog požaduje úplné vyplnění uživatelského požadavku přes webové rozhraní. Toto téma pokrývá nastavení konfigurace, které je vyžadováno pro Graylog, můžete se také podívat na Install Elasticsearch na CentOS 7 / Ubuntu 14.10 / Linux Mint 17.1, kde najdete podrobné pokyny.
Pojďme nainstalovat Elasticsearch, lze jej stáhnout z oficiálních stránek.
Stáhněte a nainstalujte podpisový klíč GPG.
$ sudo wget -qO - https://packages.elastic.co/GPG-KEY-elasticsearch | sudo apt-key add -
Uložte definici úložiště do /etc/apt/sources.list.d/elasticsearch.list
$ echo "deb http://packages.elastic.co/elasticsearch/1.7/debian stable main" | sudo tee -a /etc/apt/sources.list.d/elasticsearch.list
Aktualizujte mezipaměť úložiště.
Aktualizace $ sudo apt-get
Nainstalujte Elasticsearch.
$ sudo apt-get install elasticsearch
Nakonfigurujte Elasticsearch tak, aby se spouštěl během spouštění systému.
Výchozí nastavení $ sudo update-rc.d elasticsearch
Jediná důležitá věc je nastavit název clusteru jako „graylog2 “, který používá graylog. Nyní upravte konfigurační soubor Elasticsearch.
$ sudo nano /etc/elasticsearch/elasticsearch.ymlcluster.name:graylog2
Zakažte dynamické skripty, abyste se vyhnuli vzdálenému spouštění, což lze provést přidáním následujícího řádku na konec výše uvedeného souboru.
script.disable_dynamic:true
Jakmile bude hotovo, můžeme vyrazit. Předtím restartujte služby Elasticsearch, aby se načetla upravená konfigurace.
$ sudo service elasticsearch restart
Počkejte alespoň minutu, než se Elasticsearch plně restartuje, jinak se testování nezdaří. Elastisearch by nyní měl poslouchat na 9200 pro zpracování HTTP požadavku, můžeme použít CURL k získání odpovědi. Ujistěte se, že se vrací s názvem clusteru „graylog2 “
$ curl -X GET http://localhost:9200{ "status" :200, "name" :"Pistol", "cluster_name" :"graylog2 ", "version" :{ "number" :"1.7.1", "build_hash" :"b88f43fc40b0bcd7f173a1f9ee2e97816de80b19", "build_timestamp" :"2015-07-29T109" :"2015-07-29T109":"2015-07-29T109":false :"4.10.4" }, "popis" :"Víte, pro vyhledávání"} Volitelné: Pomocí následujícího příkazu zkontrolujte stav clusteru Elasticsearch, musíte získat stav clusteru „zelený “, aby graylog fungoval.
$ curl -XGET 'http://localhost:9200/_cluster/health?pretty=true'{ "cluster_name" :"graylog2 ", "stav" :"zelená ", "timed_out" :false, "number_of_nodes" :1, "number_of_data_nodes" :1, "active_primary_shards" :0, "active_shards" :0, "relocating_shards" :0, "initializing_shards" :0, "initializing_shards" :0, "delayed_unassigned_shards" :0, "number_of_pending_tasks" :0, "number_of_in_flight_fetch" :0} Nainstalovat MongoDB:
MongoDB je k dispozici ve formátu dep a lze jej stáhnout z oficiálních stránek. Chcete-li nainstalovat MongoDB, přidejte do systému následující informace o úložišti. Předtím musíme importovat veřejný klíč.
$ sudo apt-key adv --keyserver hkp://keyserver.ubuntu.com:80 --recv 7F0CEB10
Přidejte úložiště vytvořením souboru /etc/apt/sources.list.d/mongodb-org-3.0.list pomocí příkazu.
$ echo "deb http://repo.mongodb.org/apt/ubuntu trusty/mongodb-org/3.0 multiverse" | sudo tee /etc/apt/sources.list.d/mongodb-org-3.0.list
Aktualizujte mezipaměť úložiště.
Aktualizace $ sudo apt-get
Nainstalujte MongoDB pomocí následujícího příkazu.
$ sudo apt-get install mongodb-org
Spusťte službu MongoDB a povolte její automatické spouštění během spouštění systému.
$ sudo služba mongod start$ sudo update-rc.d výchozí nastavení mongod
Instalovat Graylog2:
Graylog-server přijímá a zpracovává zprávy protokolu, také vytváří RESTAPI pro požadavky, které přicházejí z graylog-web-interface. Stáhněte si nejnovější verzi graylog z graylog.org,
Pomocí následujícího příkazu nainstalujte úložiště graylog2.
$ wget https://packages.graylog2.org/repo/packages/graylog-1.2-repository-ubuntu14.04_latest.deb$ sudo dpkg -i graylog-1.2-repository-ubuntu14.04_latest.deb
Nainstalujte podporu https a aktualizujte mezipaměť úložiště.
$ sudo apt-get instalace apt-transport-https$ aktualizace sudo apt-get
Nainstalujte Graylog server pomocí následujícího příkazu.
$ sudo apt-get install graylog-server
Upravte soubor server.conf.
$ sudo nano /etc/graylog/server/server.conf
Ve výše uvedeném souboru nakonfigurujte následující proměnné.
Nastavte tajemství pro zabezpečení uživatelských hesel, použijte následující příkaz k vygenerování tajemství, použijte alespoň 64 znaků.
$ pwgen -N 1 -s 96OH9wXpsNZVBA8R5vJQSnkhTB1qDOjCxAh3aE3LvXddtfDlZlKYEyGS24BJAiIxI0sbSTSPovTTnhLkkrUvhSSxodTlzDi5gPPokud se zobrazí „pwgen:příkaz nenalezen “, použijte k instalaci pwgen následující příkaz.
$ sudo apt-get install pwgenUmístěte tajemství.
password_secret = OH9wXpsNZVBA8R5vJQSnkhTB1qDOjCxAh3aE3LvXddtfDlZlKYEyGS24BJAiIxI0sbSTSPovTTnhLkkrUvhSSxodTlzDi5gPDále je potřeba nastavit hash heslo pro uživatele root (neplést se systémovým uživatelem, root uživatelem graylog je admin). Toto heslo budete používat pro přihlášení do webového rozhraní, heslo administrátora nelze pomocí webového rozhraní změnit, pro nastavení je nutné upravit tuto proměnnou.
Nahraďte „vaše heslo “ podle vlastního výběru.
# echo -n vaše heslo | sha256sume3c652f0ba0b4801205814f8b6bc49672c4c74e25b497770bb89b22cdeb4e951Umístěte hash heslo.
root_password_sha2 = e3c652f0ba0b4801205814f8b6bc49672c4c74e25b497770bb89b22cdeb4e951Můžete nastavit e-mailovou adresu uživatele root (admin).
root_email ="[email protected] "."Nastavte časové pásmo uživatele root (admin).
root_timezone =UTCGraylog se pokusí najít uzly Elasticsearch automaticky, k tomu používá režim multicast. Ale pokud jde o větší síť, doporučuje se použít režim unicast, který je nejvhodnější pro produkční nastavení. Přidejte tedy následující dvě položky do souboru graylog server.conf, nahraďteipaddress s živým názvem hostitele nebo IP adresou. Více hostitelů lze přidat s oddělenými čárkami.
elasticsearch_http_enabled =false elasticsearch_discovery_zen_ping_unicast_hosts =adresa IP:9300Definováním níže uvedené proměnné nastavte pouze jeden hlavní uzel, výchozí nastavení je true, musíte jej nastavit jako false, aby se konkrétní uzel stal podřízeným. Hlavní uzel provádí některé pravidelné úkoly, které podřízený uzel neprovede.
is_master =pravdaNásledující proměnná nastavuje počet zpráv protokolu, které se mají uchovávat na index, doporučuje se mít několik menších indexů namísto větších.
elasticsearch_max_docs_per_index =20000000Následující parametr definuje celkový počet indexů, pokud je tohoto počtu dosaženo, starý index bude smazán.
elasticsearch_max_number_of_indices =20Nastavení Shards opravdu závisí na počtu uzlů v clusteru Elasticsearch, pokud máte pouze jeden uzel, nastavte jej na 1.
elasticsearch_shards =1Počet replik pro vaše indexy, pokud máte pouze jeden uzel v clusteru Elasticsearch; nastavte ji na 0.
elasticsearch_replicas =0Restartujte službu Graylog.
Restartování služby $ sudo graylog-serverPovolit automatické spouštění služby serveru graylog během spouštění systému.
$ sudo update-rc.d výchozí nastavení serveru graylogMůžete se podívat na protokoly spouštění serveru, bude pro vás užitečné při odstraňování problémů s graylogem v případě jakéhokoli problému.
# tailf /var/log/graylog-server/server.logPo úspěšném spuštění graylog-serveru byste měli v log souboru obdržet následující zprávu.
2015-09-17T09:35:22.895+02:00 INFO [ServerBootstrap] Server Graylog spuštěn a spuštěn.Instalace webového rozhraní Graylog:
Chcete-li nakonfigurovat webové rozhraní graylog, musíte mít alespoň jeden uzel serveru graylog. Nainstalujte webové rozhraní Graylog pomocí „apt-get“.
$ sudo apt-get install graylog-webUpravte konfigurační soubor a nastavte následující parametry.
$ sudo nano /etc/graylog/web/web.confToto je seznam uzlů serveru graylog, můžete přidat více uzlů oddělených čárkami.
graylog2-server.uris="http://127.0.0.1:12900/ "."Nastavte scret aplikace a lze jej vygenerovat pomocí pwgen -N 1 -s 96.
application.secret="sNXyFf6B4Au3GqSlZwq7En86xp10JimdxxYiLtpptOejX6tIUpUE4DGRJOrcMj07wcK0wugPaapvzEzCYinEWj7BOtHXVl5Z "."Nastavte časové pásmo webového rozhraní.
timezone="Evropa/Berlín "."Restartujte gralog-web-interface pomocí následujícího příkazu,
$ sudo service graylog-web restartPovolit automatické spouštění služby webového rozhraní během spouštění systému.
Výchozí nastavení $ sudo update-rc.d graylog-webPřístup k webovému rozhraní Graylog:
Webové rozhraní bude naslouchat na portu 9000, přejděte v prohlížeči na http://ip-add-ress:9000 .
Přihlaste se pomocí uživatelského jména „admin “ a heslo, které jste nakonfigurovali v root_password_sha2 na server.conf .
Jakmile se přihlásíte, zobrazí se následující vyhledávací stránka.
To je vše!, úspěšně jste nainstalovali Graylog2 na Ubuntu 14.04.
Nainstalujte soukromý cloudový server Tonido na Ubuntu 14.04.3 / 15.04 Jak nainstalovat Elasticsearch, Logstash a Kibana 4 na Ubuntu 14.04 / 15.04Ubuntu