Поиск по сайту:

Как отправить журналы Ubuntu на сервер Graylog

На этой странице

  1. Предпосылки
  2. Настройка ввода Graylog
  3. Настройка клиента Ubuntu для отправки журналов
  4. Проверка журналов с сервера Graylog
  5. Заключение

Graylog — это централизованная система управления журналами платформы. Это одна из самых популярных систем управления журналами в мире DevOps с многоплатформенной поддержкой, которую можно установить в контейнерной среде, такой как Docker и Kubernetes.

Как система управления журналами, Graylog поддерживает несколько входов для разных типов приложений и систем. Вы можете использовать ввод Syslog для Unix-подобных операционных систем, Windows EventLog для систем Windows, используя GELF (расширенный формат журнала Graylog) для ваших пользовательских приложений.

В этом руководстве вы узнаете, как настроить отправку журналов с компьютера Ubuntu на сервер Graylog. В этой демонстрации используется новейшая машина Ubuntu 22.04 в качестве клиента и сервер Graylog версии 4.3. Если вам интересно узнать, как настроить сервер Graylog в Debian 11, посмотрите здесь.

Предпосылки

  • Установлен сервер Graylog. В этой демонстрации используется версия Graylog версии 4.3, установленная на сервере Debian.
  • Клиентский компьютер с Ubuntu. В этом куполе используется сервер Ubuntu 22.04.
  • Пользователь без полномочий root с правами администратора Sudo.

Настройка ввода Graylog

Прежде чем приступить к настройке клиентского компьютера Ubuntu, вам необходимо настроить ввод на вашем сервере Graylog.

Graylog поддерживает различные типы входных данных для системы ведения журналов, включая Syslog, Journald, журнал событий Windows, необработанный/обычный текст, файлы и т. д.

Для систем Linux вы можете легко отправлять журналы на сервер Graylog, используя вход Syslog. Вам просто нужно создать вход на вашем сервере Graylog с типом Syslog, и он будет работать автоматически на определенном порту и IP-адресе.

Откройте веб-браузер и перейдите к установке сервера Graylog (например, http://graylog.hwdomain.io/). Войдите на свой сервер Graylog с администратором по умолчанию и надежным паролем.

Теперь щелкните меню «Система» и нажмите «Входы», и вы получите новую страницу.

На странице ввода с раскрывающимся списком выберите здесь тип ввода \Syslog UDP\ и нажмите кнопку \Запустить новый ввод\.

Теперь вам нужно настроить ввод Syslog на сервере Graylog:

  • Узел здесь будет выбран автоматически, поэтому оставьте его по умолчанию.
  • Введите заголовок для нового ввода, например \Syslog Linux UDP\.
  • Адрес привязки здесь вы можете указать IP-адрес для ввода. Это может быть локальный IP-адрес вашего сервера, или вы можете просто использовать 0.0.0.0, чтобы запустить ввод для всех IP-адресов на сервере.
  • Вы можете использовать другой порт для ввода. Просто убедитесь, что на этом порту не запущены другие службы, и убедитесь, что порт не находится в диапазоне от 1 до 1024. В этой демонстрации мы используем UDP-порт 5148.

Теперь нажмите кнопку Сохранить, чтобы подтвердить создание ввода.

Теперь на странице ввода вы увидите все доступные входы, которые работают на вашем сервере Graylog. На приведенном ниже снимке экрана вы можете видеть, что ввод \Syslog Linux UDP\ выполняется на порту UDP 5148 с адресом привязки 0.0.0.0, что означает работу на всех IP-адресах сервера.

Настройте клиент Ubuntu для отправки журналов

Теперь пришло время настроить клиентский компьютер Ubuntu для отправки журналов на сервер Graylog. И это можно сделать с помощью службы Rsyslog.

Сначала подключитесь к своему компьютеру с Ubuntu, используя приведенную ниже команду ssh.

ssh

Проверьте пакет Rsyslog на компьютере с Ubuntu и убедитесь, что он установлен.

sudo dpkg -l | grep rsyslog
sudo apt info rsyslog

На приведенном ниже снимке экрана видно, что пакет rsyslog установлен по умолчанию. \ii\ в поле означает установленный.

Теперь проверьте службу Rsyslog с помощью приведенной ниже команды.

sudo systemctl is-enabled rsyslog
sudo systemctl status rsyslog

Вы увидите, что служба rsyslog включена, что означает, что она будет автоматически запускаться при запуске системы. И текущий статус службы rsyslog работает.

Чтобы отправлять журналы с клиентского компьютера Ubuntu на сервер Graylog с помощью rsyslog, вам потребуется создать новую дополнительную конфигурацию rsyslog. Конфигурацией rsyslog по умолчанию является файл \/etc/rsyslog.conf\, а дополнительную конфигурацию rsyslog можно сохранить в файле \/etc/rsyslog.d\ каталог.

Создайте новую дополнительную конфигурацию rsyslog \/etc/rsyslog.d/60-graylog.conf\ с помощью редактора nano.

sudo nano /etc/rsyslog.d/60-graylog.conf

Добавьте следующую конфигурацию в файл.

*.*@192.168.5.10:5148;RSYSLOG_SyslogProtocol23Format

Сохраните и закройте файл, когда закончите.

IP-адрес 192.168.5.10, здесь IP-адрес сервера Graylog, который использует входы на UDP-порту 5148.

Теперь перезапустите службу rsyslog, чтобы применить новые изменения и новую конфигурацию, используя приведенную ниже команду.

sudo systemctl restart rsyslog

И вы выполнили базовую настройку rsyslog для отправки журналов на сервер Graylog.

Проверка журналов с сервера Graylog

Теперь вернемся к вашему веб-браузеру и панели управления Graylog. Нажмите на меню «Поиск» вверху, и вы получите все журналы с клиентского компьютера Ubuntu, как показано ниже.

На панели поиска Graylog вы можете фильтровать сообщения журнала с ваших серверов или приложений, проверять сообщения журнала в режиме реального времени, проверять сообщения журнала за определенные периоды времени и т. д.

Заключение

Поздравляем! Теперь вы успешно настроили клиентский компьютер Ubuntu с помощью службы Rsyslog для отправки журналов на сервер Graylog. Вы также изучили базовую конфигурацию входов Graylog, создав новый тип входов Syslog UDP на сервере Graylog. Другой способ отправки журналов — использование Syslog TCP, файлов, JSON и Beats из Elastic.