Wie man mit Graylog v3.1 unter Debian 10 Protokolldateien überwacht

Graylog ist ein kostenloses und quelloffenes Protokollverwaltungstool, das auf Java, ElasticSearch und MongoDB basiert. Mit Graylog kann jedes Serverprotokoll von einem zentralen oder verteilten Standort aus gesammelt, indiziert und analysiert werden. Mit Graylog können wir jede ungewöhnliche Aktivität zur Fehlersuche in Anwendungen und Protokollen leicht überwachen. Graylog bietet eine leistungsstarke Abfragesprache, Alarmfunktionen, eine Verarbeitungspipeline für die Datentransformation und vieles mehr. Wir können die Funktionalität von Graylog auch durch eine REST-API und Add-Ons erweitern.

Im Moment gibt es noch keinen offiziellen Leitfaden für Graylog v3.1 auf Debian 10.

Die Installation von Graylog v3.1 auf Debian 10 erfolgt in 9 Schritten:

  • Schritt 1 : Systeme mit Debian-Backport-Repositorien aktualisieren
  • Schritt 2 : Installieren Sie einen Helfer
  • Schritt 3 : Installieren Sie die kopflose JAVA-Laufzeit v11.00
  • Schritt 4 : Installieren Sie MongoDB v4.2, eine Datenbank zur Speicherung der Konfigurationen und Metainformationen.
  • Schritt 5 : Installieren Sie Elasticsearch-OSS 6.x: Es speichert alle eingehenden Nachrichten und bietet eine Suchmöglichkeit.
  • Schritt 6 : Installieren Sie Graylog v3.1 – Es empfängt und protokolliert verschiedene Eingaben und bietet eine Web-Schnittstelle für die Analyse und Überwachung.
  • Schritt 7 : Konfigurieren Sie Graylog
  • Schritt 8 : Test Graylog
  • Schritt 9 : Anmeldung Graylog

Voraussetzung

  • Eine minimale Debian 10. Wir können auf dieses Tutorial verweisen.
  • Mindestens 4 GB RAM, 2-Kern-CPU und 20-GB-Festplatten
  • Standard-Passwort : KataLaluan
  • Standardgeheimnis : SecretRahsiaSecreta
  • Root-Zugriff unter Verwendung von „su -„, Debian hat kürzlich das Verhalten des su-Befehls geändert. jetzt ersetzt der Befehl ’su‚ nicht mehr PATH. verwenden Sie stattdessen „su -„.

Schritt 1: Systeme mit Debian-Backport aktualisieren

Das System für die Verwendung des Debian-Backport-Repositorys konfigurieren

cat > /etc/apt/sources.list << EOF
deb http://ftp.debian.org/debian/ buster main contrib non-free
deb http://security.debian.org/debian-security buster/updates main contrib non-free
deb http://ftp.debian.org/debian/ buster-updates main contrib non-free
deb http://ftp.debian.org/debian buster-backports main contrib non-free
EOF
apt -y update
apt -y dist-upgrade

Schritt 2 – Installieren Sie die kopflose Java-Runtime v11.00

Graylog und Elasticsearch ist eine Java-basierte Anwendung. Wir müssen also Java auf Ihrem System installieren. Standardmäßig ist die neueste Version von Java im Standard-Repository von Debian 10 verfügbar. Wir können es installieren, indem wir einfach den folgenden Befehl ausführen:

apt -y install apt-transport-https default-jdk

Schritt 3 – Installieren Sie einen Helfer

Wir müssen einige wenige nützliche Werkzeuge als Helfer in diesem Prozess installieren:

  • GnuPG – eine Implementierung des OpenPGP-Standards zur Unterstützung des Schlüsselmanagementsystems
  • wget – ein Tool zum Abrufen von Dateien über HTTP, HTTPS und FTP, die am häufigsten verwendeten Internet-Protokolle
apt -y install gnupg wget

Schritt 4 – MongoDB v4.2 installieren

Standardmäßig ist MongoDB nicht im Debian-10-Standard-Repository verfügbar. Wir müssen also das MongoDB-Repository zum System hinzufügen:

apt-key adv --keyserver hkp://keyserver.ubuntu.com:80 --recv 4B7C549A058F8B6B
echo "deb http://repo.mongodb.org/apt/debian buster/mongodb-org/4.2 main" | tee /etc/apt/sources.list.d/latest-mongodb.list
apt -y update
apt install -y mongodb-org

Aktivieren und Neustart der MongoDB-Dienste:

systemctl enable mongod.service
systemctl start mongod.service

Schritt 5 : Installieren Sie Elasticsearch-OSS 6.x

Im Moment unterstützt Graylog v3.1 Elasticsearch-OSS 7.x noch nicht.

Wir werden den Elasticsearch-Schlüssel und das Repository zum Debian hinzufügen. Mit dem von elastic.co bereitgestellten Elasticsearch-Repository können wir Elasticsearch installieren, indem wir den folgenden Befehl ausführen:

wget -qO - https://artifacts.elastic.co/GPG-KEY-elasticsearch | apt-key add -
echo "deb https://artifacts.elastic.co/packages/oss-6.x/apt stable main" | tee -a /etc/apt/sources.list.d/latest-elastic-6.x.list
apt -y update
apt -y install elasticsearch-oss

Elasticsearch für den Cluster-Namen konfigurieren

sed -i "s/#cluster.name: my-application/cluster.name: graylog-application/g" /etc/elasticsearch/elasticsearch.yml

Aktivieren und Neustart der Elasticsearch-Dienste:

systemctl enable elasticsearch.service
systemctl start elasticsearch.service

Schritt 6 : Installieren Sie Graylog v3.1

Wir werden ein einfaches Graylog-Paket herunterladen, das dabei hilft, den Graylog-Schlüssel hinzuzufügen und das Graylog-Repository zu konfigurieren.

cd /tmp/
wget https://packages.graylog2.org/repo/packages/graylog-3.1-repository_latest.deb
dpkg -i graylog-3.1-repository_latest.deb
apt -y update

Installieren Sie Graylog, indem Sie den folgenden Befehl ausführen:

apt -y install graylog-server

Schritt 7 : Konfigurieren Sie Graylog

Hash das Passwort und kopieren Sie den Hash. „KataLaluan“ ist das aktuell gewählte Passwort.

echo 'KataLaluan' | tr -d '\n' | sha256sum | cut -d" " -f1

Fügen Sie das gehashte Kennwort in der Graylog-Konfigurationsdatei hinzu

sed -i "s/^root_password_sha2 =\$/root_password_sha2 = a25d2f6605c9e27f182d39b66a8b527eb7f2360e52b2ccc7614f8ac24e472bef/g" /etc/graylog/server/server.conf

Fügen Sie das Geheimnis in der Graylog-Konfigurationsdatei hinzu. Die Mindestlänge beträgt 16 Zeichen.

sed -i "s/^password_secret =\$/password_secret = SecretRahsiaSecreta/g" /etc/graylog/server/server.conf

Externen Zugriff auf graylog erlauben

sed -i "s/^#http_bind_address = 127.0.0.1:9000/http_bind_address = 0.0.0.0:9000/g" /etc/graylog/server/server.conf

Ändern Sie die Zeitzone je nach Standort

sed -i "s/#root_timezone = UTC/root_timezone = Asia\/Kuala_Lumpur/g" /etc/graylog/server/server.conf

Aktivieren und Neustart von Graylog Dienstleistungen:

systemctl enable graylog-server.service
systemctl start graylog-server.service

Wenn sich das Graylog hinter einem Router befindet, müssen wir die IP-Adresse des WAN des Routers in die Graylog-Konfiguration einstellen. Es können auch A-Einträge eines DNS sein, die auf die gleiche IP-Adresse zeigen.

sed -i '/http_publish_uri =/c\http_publish_uri = http://graylog.howtoforge.com:9000/' /etc/graylog/server/server.conf

Schritt 8 : Test Graylog

Testen wir das Graylog mit einigen primitiven Befehlen

apt -y install netcat curl

Hier ist ein Beispiel für einen Befehl zum Protokollieren.

echo "Hello Graylog, let's be friends." | nc -w 1 -u 127.0.0.1 9099

Hier ist ein Beispielbefehl, um den Graylog-Server-API-Status zu erhalten.

curl -X GET http://localhost:9200
curl -XGET 'http://localhost:9200/_cluster/health?pretty=true'

Hier ist ein Beispiel für einen Befehl zur Graylog-Server-Protokoll abrufen.

tail -f /var/log/graylog-server/server.log

Schritt 9 : Anmeldung Graylog

Lassen Sie das WebGUI verwenden. die URL kann sein:

  • http://<Lokale_IP_Adresse>:9000/
  • http://<Öffentliche_IP_Adresse>:9000/
  • http://<A_Aufzeichnung>:9000/

Beispiel für die URL

  • http://192.168.0.3:9000/
  • http://104.26.2.165:9000/
  • http://graylog.howtoforge:9000/

Nach Eingabe der URL in einem Browser sollten wir die folgende Anmeldeseite sehen, der Standardbenutzername ist admin und das gewählte Passwort ist KataLaluan,

Nach der Anmeldung sollten wir die folgende Graylog-Seite sehen:

Schlussfolgerung

Fertig, wir haben den Graylog 3.1-Server unter Debian 10 erfolgreich installiert und konfiguriert. Jetzt können wir die Protokolle und die Analyse der Systemprotokolle an der zentralen Stelle leicht einsehen. Weitere Informationen erhalten Sie auf der Graylog-Dokumentationsseite. Bitte kommentieren Sie und geben Sie ein Feedback, wenn Sie Fragen haben.

Fröhliche Protokollierung.

Das könnte dich auch interessieren …