Graylog je bezplatný a otevřený nástroj pro správu protokolů založený na Javě, ElasticSearch a MongoDB. Graylog lze použít ke shromažďování, indexování a analýze jakéhokoli protokolu serveru z centralizovaného umístění nebo distribuovaného umístění. Pomocí Graylogu můžeme snadno sledovat jakoukoli neobvyklou aktivitu pro ladění aplikací a protokolů. Graylog poskytuje výkonný dotazovací jazyk, schopnosti upozornění, procesní potrubí pro transformaci dat a mnoho dalšího. Můžeme také rozšířit funkčnost Graylog prostřednictvím REST API a doplňků.
V tuto chvíli ještě neexistuje žádná oficiální příručka Graylog v3.1 pro Debian 10.
Instalace Graylog v3.1 na Debian 10 probíhá v 9 krocích:
- Krok 1:Aktualizujte systémy pomocí repozitářů Debian Backport
- Krok 2:Nainstalujte nějakého pomocníka
- Krok 3:Nainstalujte headless JAVA runtime v11.00
- Krok 4:Nainstalujte MongoDB v4.2, databázi pro ukládání konfigurací a metainformací.
- Krok 5:Nainstalujte Elasticsearch-OSS 6.x:Ukládá všechny příchozí zprávy a poskytuje možnost vyhledávání.
- Krok 6:Nainstalujte Graylog v3.1 – Přijímá a protokoluje různé vstupy a poskytuje webové rozhraní pro analýzu a monitorování.
- Krok 7:Nakonfigurujte Graylog
- Krok 8:Otestujte Graylog
- Krok 9:Přihlášení do Graylogu
Předpoklad
- Minimální Debian 10. Můžeme se podívat na tento tutoriál.
- Minimálně 4 GB RAM, 2jádrový procesor a 20GB disky
- Výchozí heslo:KataLaluan
- Výchozí tajné: SecretRahsiaSecreta
- kořenový přístup pomocí „su - ", Debian nedávno změnil chování příkazu su. nyní 'su ' příkaz nenahrazovat PATH. použijte „su - “ místo toho.
Krok 1:Aktualizace systémů pomocí Debian Backport
Nakonfigurujte systém tak, aby používal úložiště backports Debian
cat > /etc/apt/sources.list << EOF
deb http://ftp.debian.org/debian/ buster main contrib non-free
deb http://security.debian.org/debian-security buster/updates main contrib non-free
deb http://ftp.debian.org/debian/ buster-updates main contrib non-free
deb http://ftp.debian.org/debian buster-backports main contrib non-free
EOF
apt -y update
apt -y dist-upgrade
Krok 2 – Instalace headless Java runtime v11.00
Graylog a Elasticsearch je aplikace založená na Javě. Budeme tedy muset do vašeho systému nainstalovat Javu. Ve výchozím nastavení je ve výchozím úložišti Debian 10 k dispozici nejnovější verze Javy. Můžeme jej nainstalovat pouhým spuštěním následujícího příkazu:
apt -y install apt-transport-https default-jdk
Krok 3 – Nainstalujte nějakého pomocníka
Potřebujeme nainstalovat několik užitečných nástrojů jako pomocníka v procesu:
- GnuPG – implementace standardu OpenPGP, která pomáhá v systému správy klíčů
- wget – nástroj pro načítání souborů pomocí HTTP, HTTPS a FTP, což jsou nejrozšířenější internetové protokoly
apt -y install gnupg wget
Krok 4 – Instalace MongoDB v4.2
Ve výchozím nastavení není MongoDB k dispozici ve výchozím úložišti Debian 10. Potřebujeme tedy do systému přidat úložiště MongoDB:
apt-key adv --keyserver hkp://keyserver.ubuntu.com:80 --recv 4B7C549A058F8B6B
echo "deb http://repo.mongodb.org/apt/debian buster/mongodb-org/4.2 main" | tee /etc/apt/sources.list.d/latest-mongodb.list
apt -y update
apt install -y mongodb-org
Povolte a restartujte služby MongoDB:
systemctl enable mongod.service
systemctl start mongod.service
Krok 5 :Instalace Elasticsearch-OSS 6.x
V tuto chvíli Graylog v3.1 ještě nepodporuje Elasticsearch-OSS 7.x
Do Debianu přidáme klíč a úložiště Elasticsearch. Díky repozitáři elasticsearch, který poskytuje elastic.co, jsme schopni nainstalovat Elasticsearch spuštěním následujícího příkazu:
wget -qO - https://artifacts.elastic.co/GPG-KEY-elasticsearch | apt-key add -
echo "deb https://artifacts.elastic.co/packages/oss-6.x/apt stable main" | tee -a /etc/apt/sources.list.d/latest-elastic-6.x.list
apt -y update
apt -y install elasticsearch-oss
Nakonfigurujte Elasticsearch pro název clusteru
sed -i "s/#cluster.name: my-application/cluster.name: graylog-application/g" /etc/elasticsearch/elasticsearch.yml
Povolte a restartujte služby Elasticsearch:
systemctl enable elasticsearch.service
systemctl start elasticsearch.service
Krok 6 :Instalace Graylog v3.1
Stáhneme si jednoduchý balíček Graylog, který pomůže přidat klíč Graylog a nakonfigurovat úložiště Graylog
cd /tmp/
wget https://packages.graylog2.org/repo/packages/graylog-3.1-repository_latest.deb
dpkg -i graylog-3.1-repository_latest.deb
apt -y update
Nainstalujte Graylog spuštěním následujícího příkazu:
apt -y install graylog-server
Krok 7 :Konfigurace Graylog
Hash heslo a zkopírujte hash. „KataLaluan " je aktuálně vybrané heslo.
echo 'KataLaluan' | tr -d '\n' | sha256sum | cut -d" " -f1
Přidejte hashované heslo do konfiguračního souboru Graylog
sed -i "s/^root_password_sha2 =\$/root_password_sha2 = a25d2f6605c9e27f182d39b66a8b527eb7f2360e52b2ccc7614f8ac24e472bef/g" /etc/graylog/server/server.conf
Přidejte tajemství do konfiguračního souboru Graylog. Minimální délka jeho 16 znaků.
sed -i "s/^password_secret =\$/password_secret = SecretRahsiaSecreta/g" /etc/graylog/server/server.conf
Povolit externí přístup k graylog
sed -i "s/^#http_bind_address = 127.0.0.1:9000/http_bind_address = 0.0.0.0:9000/g" /etc/graylog/server/server.conf
Změňte časové pásmo podle umístění
sed -i "s/#root_timezone = UTC/root_timezone = Asia\/Kuala_Lumpur/g" /etc/graylog/server/server.conf
Povolte a restartujte služby Graylog:
systemctl enable graylog-server.service
systemctl start graylog-server.service
pokud je Graylog za routerem, musíme nastavit IP adresu routeru WAN do konfigurace Graylog. Mohou to být také záznamy A DNS, které ukazují na stejnou IP adresu
sed -i '/http_publish_uri =/c\http_publish_uri = http://graylog.howtoforge.com:9000/' /etc/graylog/server/server.conf
Krok 8 :Test Graylog
Pojďme otestovat Graylog pomocí některých primitivních příkazů
apt -y install netcat curl
Zde je několik ukázkových příkazů k přihlášení.
echo "Hello Graylog, let's be friends." | nc -w 1 -u 127.0.0.1 9099
Zde je několik ukázkových příkazů pro získání stavu API serveru Graylog.
curl -X GET http://localhost:9200
curl -XGET 'http://localhost:9200/_cluster/health?pretty=true'
Zde je nějaký ukázkový příkaz pro získání protokolu serveru Graylog.
tail -f /var/log/graylog-server/server.log
Krok 9:Přihlášení do Graylog
Pojďme použít WebGUI. URL může být:
- http://
:9000/ - http://
:9000/ - http://
:9000/
Ukázka adresy URL
- http://192.168.0.3:9000/
- http://104.26.2.165:9000/
- http://graylog.howtoforge:9000/
Po zadání adresy URL do prohlížeče bychom měli vidět následující přihlašovací stránku, výchozí uživatelské jméno je admin a vybrané heslo je KataLaluan,
Po přihlášení bychom měli vidět následující stránku Graylog:
Závěr
Hotovo, úspěšně jsme nainstalovali a nakonfigurovali server Graylog 3.1 na Debian 10. Nyní můžeme snadno vidět protokoly a analýzu systémových protokolů na centrálním místě. Další informace získáte na stránce dokumentace Graylog. V případě jakýchkoli dotazů se prosím o komentáře a zpětnou vazbu.
Šťastné přihlášení.