Как отслеживать файлы журналов с помощью Graylog v3.1 в Debian 10
Это руководство существует для этих версий ОС
- Debian 9 (растянутый)
На этой странице
- Необходимое условие
- Шаг 1. Обновление систем с помощью Debian Backport
- Шаг 2. Установите автономную среду выполнения Java версии 11.00
- Шаг 4. Установите MongoDB v4.2
- Шаг 5. Установите Elasticsearch-OSS 6.x.
- Шаг 6. Установите Graylog версии 3.1.
- Шаг 7. Настройка Graylog
- Шаг 8. Проверка Graylog.
- Шаг 9. Войдите в Graylog.
- Заключение
Graylog — это бесплатный инструмент управления журналами с открытым исходным кодом, основанный на Java, ElasticSearch и MongoDB. Graylog можно использовать для сбора, индексации и анализа любого журнала сервера из централизованного или распределенного местоположения. Мы можем легко отслеживать любую необычную активность для отладки приложений и журналов с помощью Graylog. Graylog предоставляет мощный язык запросов, возможности оповещения, конвейер обработки для преобразования данных и многое другое. Мы также можем расширить функциональность Graylog с помощью REST API и надстроек.
На данный момент официального руководства по Graylog v3.1 в Debian 10 еще нет.
Установка Graylog v3.1 на Debian 10 состоит из 9 шагов:
- Шаг 1. Обновление систем с помощью репозиториев Debian Backport
- Шаг 2. Установите вспомогательную программу.
- Шаг 3. Установите автономную среду выполнения JAVA версии 11.00.
- Шаг 4. Установите MongoDB v4.2, базу данных для хранения конфигураций и метаинформации.
- Шаг 5. Установите Elasticsearch-OSS 6.x. Он сохраняет все входящие сообщения и обеспечивает возможность поиска.
- Шаг 6. Установите Graylog v3.1. Он получает и регистрирует различные входные данные и предоставляет веб-интерфейс для анализа и мониторинга.
- Шаг 7. Настройка Graylog
- Шаг 8. Проверка Graylog.
- Шаг 9. Войдите в Graylog.
Предпосылка
- Минимальный Debian 10. Мы можем обратиться к этому руководству.
- Минимум 4 ГБ ОЗУ, 2-ядерный ЦП и 20 ГБ дисков.
- Пароль по умолчанию: KataLaluan
- Секрет по умолчанию: SecretRahsiaSecreta.
- root-доступ с использованием \su -\, Debian недавно изменил поведение команды su. теперь команда su не заменяет PATH. вместо этого используйте \su -\.
Шаг 1: Обновите системы с помощью Debian Backport
Настройте систему для использования репозитория бэкпортов Debian.
cat > /etc/apt/sources.list << EOF
deb http://ftp.debian.org/debian/ buster main contrib non-free
deb http://security.debian.org/debian-security buster/updates main contrib non-free
deb http://ftp.debian.org/debian/ buster-updates main contrib non-free
deb http://ftp.debian.org/debian buster-backports main contrib non-free
EOF
apt -y update
apt -y dist-upgrade
Шаг 2. Установите безголовую среду выполнения Java версии 11.00.
Graylog и Elasticsearch – это приложение на основе Java. Итак, нам нужно будет установить Java в вашу систему. По умолчанию последняя версия Java доступна в репозитории по умолчанию Debian 10. Мы можем установить его, просто выполнив следующую команду:
apt -y install apt-transport-https default-jdk
Шаг 3. Установите помощник
Нам нужно установить несколько полезных инструментов в качестве помощников в процессе:
- GnuPG – реализация стандарта OpenPGP, помогающая в системе управления ключами.
- wget – инструмент для получения файлов с использованием HTTP, HTTPS и FTP, наиболее широко используемых интернет-протоколов.
apt -y install gnupg wget
Шаг 4 — Установите MongoDB v4.2
По умолчанию MongoDB недоступен в репозитории Debian 10 по умолчанию. Итак, нам нужно добавить репозиторий MongoDB в систему:
apt-key adv --keyserver hkp://keyserver.ubuntu.com:80 --recv 4B7C549A058F8B6B
echo "deb http://repo.mongodb.org/apt/debian buster/mongodb-org/4.2 main" | tee /etc/apt/sources.list.d/latest-mongodb.list
apt -y update
apt install -y mongodb-org
Включите и перезапустите службы MongoDB:
systemctl enable mongod.service
systemctl start mongod.service
Шаг 5: Установите Elasticsearch-OSS 6.x
На данный момент Graylog версии 3.1 еще не поддерживает Elasticsearch-OSS 7.x.
Мы собирались добавить ключ и репозиторий Elasticsearch в Debian. С репозиторием elasticsearch, предоставленным elastic.co, мы смогли установить Elasticsearch, выполнив следующую команду:
wget -qO - https://artifacts.elastic.co/GPG-KEY-elasticsearch | apt-key add -
echo "deb https://artifacts.elastic.co/packages/oss-6.x/apt stable main" | tee -a /etc/apt/sources.list.d/latest-elastic-6.x.list
apt -y update
apt -y install elasticsearch-oss
Настройте Elasticsearch для имени кластера.
sed -i "s/#cluster.name: my-application/cluster.name: graylog-application/g" /etc/elasticsearch/elasticsearch.yml
Включите и перезапустите службы Elasticsearch:
systemctl enable elasticsearch.service
systemctl start elasticsearch.service
Шаг 6: Установите Graylog v3.1
Мы собираемся загрузить простой пакет Graylog, который поможет добавить ключ Graylog и настроить репозиторий Graylog.
cd /tmp/
wget https://packages.graylog2.org/repo/packages/graylog-3.1-repository_latest.deb
dpkg -i graylog-3.1-repository_latest.deb
apt -y update
Установите Graylog, выполнив следующую команду:
apt -y install graylog-server
Шаг 7: Настройте Graylog
Хешируйте пароль и копируйте хэш. \KataLaluan\ является текущим выбранным паролем.
echo 'KataLaluan' | tr -d '\n' | sha256sum | cut -d" " -f1
Добавьте хешированный пароль в файл конфигурации Graylog.
sed -i "s/^root_password_sha2 =\$/root_password_sha2 = a25d2f6605c9e27f182d39b66a8b527eb7f2360e52b2ccc7614f8ac24e472bef/g" /etc/graylog/server/server.conf
Добавьте секрет в файл конфигурации Graylog. Минимальная длина – 16 символов.
sed -i "s/^password_secret =\$/password_secret = SecretRahsiaSecreta/g" /etc/graylog/server/server.conf
Разрешить внешний доступ к Graylog
sed -i "s/^#http_bind_address = 127.0.0.1:9000/http_bind_address = 0.0.0.0:9000/g" /etc/graylog/server/server.conf
Изменить часовой пояс в соответствии с местоположением
sed -i "s/#root_timezone = UTC/root_timezone = Asia\/Kuala_Lumpur/g" /etc/graylog/server/server.conf
Включите и перезапустите службы Graylog:
systemctl enable graylog-server.service
systemctl start graylog-server.service
если Graylog находится за маршрутизатором, мы должны установить IP-адрес глобальной сети маршрутизатора в конфигурацию Graylog. Это также могут быть записи DNS A, которые указывают на один и тот же IP-адрес.
sed -i '/http_publish_uri =/c\http_publish_uri = http://graylog.linux-console.net:9000/' /etc/graylog/server/server.conf
Шаг 8: Протестируйте Graylog
Давайте протестируем Graylog с помощью некоторых примитивных команд.
apt -y install netcat curl
Вот пример команды для регистрации.
echo "Hello Graylog, let's be friends." | nc -w 1 -u 127.0.0.1 9099
Вот пример команды для получения статуса API сервера Graylog.
curl -X GET http://localhost:9200
curl -XGET 'http://localhost:9200/_cluster/health?pretty=true'
Вот пример команды для получения журнала сервера Graylog.
tail -f /var/log/graylog-server/server.log
Шаг 9: Войдите в Graylog
Пусть используется WebGUI. URL может быть:
- http://<локальный_IP_адрес>:9000/
- http://<общедоступный_IP_адрес>:9000/
- http://
:9000/
Образец URL-адреса
- http://192.168.0.3:9000/
- http://104.26.2.165:9000/
- http://graylog.howtoforge:9000/
После ввода URL-адреса в браузере мы должны увидеть следующую страницу входа, имя пользователя по умолчанию — admin, а выбранный пароль — KataLaluan,
После входа в систему мы должны увидеть следующую страницу Graylog:
Заключение
Готово, мы успешно установили и настроили сервер Graylog 3.1 на Debian 10. Теперь мы можем легко просматривать журналы и анализировать системные журналы в центральном расположении. Получите дополнительную информацию на странице документации Graylog. Пожалуйста, прокомментируйте и обратная связь, если у вас есть какие-либо вопросы.
Удачной регистрации.