Поиск по сайту:

Как отслеживать файлы журналов с помощью Graylog v3.1 в Debian 10

Это руководство существует для этих версий ОС

  • Debian 9 (растянутый)

На этой странице

  1. Необходимое условие
  2. Шаг 1. Обновление систем с помощью Debian Backport
  3. Шаг 2. Установите автономную среду выполнения Java версии 11.00
  4. Шаг 4. Установите MongoDB v4.2
  5. Шаг 5. Установите Elasticsearch-OSS 6.x.
  6. Шаг 6. Установите Graylog версии 3.1.
  7. Шаг 7. Настройка Graylog
  8. Шаг 8. Проверка Graylog.
  9. Шаг 9. Войдите в Graylog.
  10. Заключение

Graylog — это бесплатный инструмент управления журналами с открытым исходным кодом, основанный на Java, ElasticSearch и MongoDB. Graylog можно использовать для сбора, индексации и анализа любого журнала сервера из централизованного или распределенного местоположения. Мы можем легко отслеживать любую необычную активность для отладки приложений и журналов с помощью Graylog. Graylog предоставляет мощный язык запросов, возможности оповещения, конвейер обработки для преобразования данных и многое другое. Мы также можем расширить функциональность Graylog с помощью REST API и надстроек.

На данный момент официального руководства по Graylog v3.1 в Debian 10 еще нет.

Установка Graylog v3.1 на Debian 10 состоит из 9 шагов:

  • Шаг 1. Обновление систем с помощью репозиториев Debian Backport
  • Шаг 2. Установите вспомогательную программу.
  • Шаг 3. Установите автономную среду выполнения JAVA версии 11.00.
  • Шаг 4. Установите MongoDB v4.2, базу данных для хранения конфигураций и метаинформации.
  • Шаг 5. Установите Elasticsearch-OSS 6.x. Он сохраняет все входящие сообщения и обеспечивает возможность поиска.
  • Шаг 6. Установите Graylog v3.1. Он получает и регистрирует различные входные данные и предоставляет веб-интерфейс для анализа и мониторинга.
  • Шаг 7. Настройка Graylog
  • Шаг 8. Проверка Graylog.
  • Шаг 9. Войдите в Graylog.

Предпосылка

  • Минимальный Debian 10. Мы можем обратиться к этому руководству.
  • Минимум 4 ГБ ОЗУ, 2-ядерный ЦП и 20 ГБ дисков.
  • Пароль по умолчанию: KataLaluan
  • Секрет по умолчанию: SecretRahsiaSecreta.
  • root-доступ с использованием \su -\, Debian недавно изменил поведение команды su. теперь команда su не заменяет PATH. вместо этого используйте \su -\.

Шаг 1: Обновите системы с помощью Debian Backport

Настройте систему для использования репозитория бэкпортов Debian.

cat > /etc/apt/sources.list << EOF
deb http://ftp.debian.org/debian/ buster main contrib non-free
deb http://security.debian.org/debian-security buster/updates main contrib non-free
deb http://ftp.debian.org/debian/ buster-updates main contrib non-free
deb http://ftp.debian.org/debian buster-backports main contrib non-free
EOF
apt -y update
apt -y dist-upgrade

Шаг 2. Установите безголовую среду выполнения Java версии 11.00.

Graylog и Elasticsearch – это приложение на основе Java. Итак, нам нужно будет установить Java в вашу систему. По умолчанию последняя версия Java доступна в репозитории по умолчанию Debian 10. Мы можем установить его, просто выполнив следующую команду:

apt -y install apt-transport-https default-jdk

Шаг 3. Установите помощник

Нам нужно установить несколько полезных инструментов в качестве помощников в процессе:

  • GnuPG – реализация стандарта OpenPGP, помогающая в системе управления ключами.
  • wget – инструмент для получения файлов с использованием HTTP, HTTPS и FTP, наиболее широко используемых интернет-протоколов. 

apt -y install gnupg wget

Шаг 4 — Установите MongoDB v4.2

По умолчанию MongoDB недоступен в репозитории Debian 10 по умолчанию. Итак, нам нужно добавить репозиторий MongoDB в систему:

apt-key adv --keyserver hkp://keyserver.ubuntu.com:80 --recv 4B7C549A058F8B6B
echo "deb http://repo.mongodb.org/apt/debian buster/mongodb-org/4.2 main" | tee /etc/apt/sources.list.d/latest-mongodb.list
apt -y update
apt install -y mongodb-org

Включите и перезапустите службы MongoDB:

systemctl enable mongod.service
systemctl start mongod.service

Шаг 5: Установите Elasticsearch-OSS 6.x

На данный момент Graylog версии 3.1 еще не поддерживает Elasticsearch-OSS 7.x.

Мы собирались добавить ключ и репозиторий Elasticsearch в Debian. С репозиторием elasticsearch, предоставленным elastic.co, мы смогли установить Elasticsearch, выполнив следующую команду:

wget -qO - https://artifacts.elastic.co/GPG-KEY-elasticsearch | apt-key add -
echo "deb https://artifacts.elastic.co/packages/oss-6.x/apt stable main" | tee -a /etc/apt/sources.list.d/latest-elastic-6.x.list
apt -y update
apt -y install elasticsearch-oss

Настройте Elasticsearch для имени кластера.

sed -i "s/#cluster.name: my-application/cluster.name: graylog-application/g" /etc/elasticsearch/elasticsearch.yml

Включите и перезапустите службы Elasticsearch:

systemctl enable elasticsearch.service
systemctl start elasticsearch.service

Шаг 6: Установите Graylog v3.1

Мы собираемся загрузить простой пакет Graylog, который поможет добавить ключ Graylog и настроить репозиторий Graylog.

cd /tmp/
wget https://packages.graylog2.org/repo/packages/graylog-3.1-repository_latest.deb
dpkg -i graylog-3.1-repository_latest.deb
apt -y update

Установите Graylog, выполнив следующую команду:

apt -y install graylog-server

Шаг 7: Настройте Graylog

Хешируйте пароль и копируйте хэш. \KataLaluan\ является текущим выбранным паролем.

echo 'KataLaluan' | tr -d '\n' | sha256sum | cut -d" " -f1

Добавьте хешированный пароль в файл конфигурации Graylog.

sed -i "s/^root_password_sha2 =\$/root_password_sha2 = a25d2f6605c9e27f182d39b66a8b527eb7f2360e52b2ccc7614f8ac24e472bef/g" /etc/graylog/server/server.conf

Добавьте секрет в файл конфигурации Graylog. Минимальная длина – 16 символов.

sed -i "s/^password_secret =\$/password_secret = SecretRahsiaSecreta/g" /etc/graylog/server/server.conf

Разрешить внешний доступ к Graylog

sed -i "s/^#http_bind_address = 127.0.0.1:9000/http_bind_address = 0.0.0.0:9000/g" /etc/graylog/server/server.conf

Изменить часовой пояс в соответствии с местоположением

sed -i "s/#root_timezone = UTC/root_timezone = Asia\/Kuala_Lumpur/g" /etc/graylog/server/server.conf

Включите и перезапустите службы Graylog:

systemctl enable graylog-server.service
systemctl start graylog-server.service

если Graylog находится за маршрутизатором, мы должны установить IP-адрес глобальной сети маршрутизатора в конфигурацию Graylog. Это также могут быть записи DNS A, которые указывают на один и тот же IP-адрес.

sed -i '/http_publish_uri =/c\http_publish_uri = http://graylog.linux-console.net:9000/' /etc/graylog/server/server.conf

Шаг 8: Протестируйте Graylog

Давайте протестируем Graylog с помощью некоторых примитивных команд.

apt -y install netcat curl

Вот пример команды для регистрации.

echo "Hello Graylog, let's be friends." | nc -w 1 -u 127.0.0.1 9099

Вот пример команды для получения статуса API сервера Graylog.

curl -X GET http://localhost:9200
curl -XGET 'http://localhost:9200/_cluster/health?pretty=true'

Вот пример команды для получения журнала сервера Graylog.

tail -f /var/log/graylog-server/server.log

Шаг 9: Войдите в Graylog

Пусть используется WebGUI. URL может быть:

  • http://<локальный_IP_адрес>:9000/
  • http://<общедоступный_IP_адрес>:9000/
  • http://:9000/

Образец URL-адреса

  • http://192.168.0.3:9000/
  • http://104.26.2.165:9000/
  • http://graylog.howtoforge:9000/

После ввода URL-адреса в браузере мы должны увидеть следующую страницу входа, имя пользователя по умолчанию — admin, а выбранный пароль — KataLaluan,

После входа в систему мы должны увидеть следующую страницу Graylog:

Заключение

Готово, мы успешно установили и настроили сервер Graylog 3.1 на Debian 10. Теперь мы можем легко просматривать журналы и анализировать системные журналы в центральном расположении. Получите дополнительную информацию на странице документации Graylog. Пожалуйста, прокомментируйте и обратная связь, если у вас есть какие-либо вопросы.

Удачной регистрации.