Graylog е мощна платформа, която позволява лесно управление на структурирани и неструктурирани записи на данни заедно с приложенията за отстраняване на грешки. Базира се на Elasticsearch, MongoDB и Scala.
Той има основен сървър, който получава данни от своите клиенти, инсталирани на различни сървъри, и уеб интерфейс, който показва данните и позволява работа със записи, добавени от основния сървър.
Относно Graylog
Грейлог той е ефективен при работа със сурови низове (т.е. syslog) - инструментът го анализира в структурираните данни, от които се нуждаем.
Той също така позволява разширено персонализирано търсене на записи, използвайки структурирани заявки.
С други думи, когато е правилно интегриран с уеб приложение, Graylog помага на инженерите да анализират поведението на системата почти на всеки ред код.
Основното предимство на Graylog е, че осигурява един-единствен перфектен екземпляр за събиране на журнали за цялата система.
Това е полезно, ако системната инфраструктура е голяма и сложна. Той може да се разпространява на множество места и не всички членове на екипа могат да имат незабавен достъп до всички негови компоненти.
С Graylog се справяме с тези проблеми и гарантираме, че времето за реакция на инцидентите ни е бързо.
В Logicify той може да се използва както за приложения в процес на разработка, така и за такива, които вече са публично пуснати. И в двата случая някои режими на приложение на Graylog са уникални, докато други се пресичат.
Инсталиране на Graylog
Този инструмент може да бъде намерен в повечето дистрибуции на Linux, но е необходимо да се извърши някаква конфигурация преди инсталирането му.
В случая с тези, които са потребители на Debian, Ubuntu и производни, те трябва да направят следното.
Ще отворим терминал и в него ще напишем следните команди:
sudo apt install apt-transport-https openjdk-8-jre-headless uuid-runtime pwgen
След конфигуриране на основните пакети, те трябва да конфигурират системата MongoDB с:
sudo apt-key adv --keyserver hkp://keyserver.ubuntu.com:80 --recv 2930ADAE8CAF5059EE73BB4B58712A2291FA4AD5
echo "deb [ arch=amd64,arm64 ] https://repo.mongodb.org/apt/ubuntu xenial/mongodb-org/3.6 multiverse" | sudo tee /etc/apt/sources.list.d/mongodb-org-3.6.list
sudo apt update
sudo apt install -y mongodb-org
След като инсталирате MongoDB, стартирайте базата данни с:
sudo systemctl daemon-reload
sudo systemctl enable mongod.service
sudo systemctl restart mongod.service
След MongoDB, трябва да инсталирате инструмента Elasticsearch, тъй като Graylog го използва като бекенд.
wget -qO - https://artifacts.elastic.co/GPG-KEY-elasticsearch | sudo apt-key add -
echo "deb https://artifacts.elastic.co/packages/5.x/apt stable main" | sudo tee -a /etc/apt/sources.list.d/elastic-5.x.list
sudo apt update && sudo apt install elasticsearch
Променете YLA файла Elasticsearch с:
sudo nano /etc/elasticsearch/elasticsearch.yml
Сега трябва да потърсят следния ред:
#cluster.name: graylog
И премахнете # от него, запазете и затворете nano и въведете в терминала:
sudo systemctl daemon-reload
sudo systemctl enable elasticsearch.service
sudo systemctl restart elasticsearch.service
След като Elasticsearch и MongoDB са конфигурирани, можем да изтеглим Graylog и да го инсталираме на Ubuntu.
За да го инсталирате, трябва да въведете следното:
wget https://packages.graylog2.org/repo/packages/graylog-2.4-repository_latest.deb
sudo dpkg -i graylog-2.4-repository_latest.deb
sudo apt-get update && sudo apt-get install graylog-server
Използвайки инструмента pwgen, те генерират таен ключ.
pwgen -N 1 -s 96
След като това стане, те трябва да копират това, което терминалът им показва и след това да редактират файла server.conf и те ще заменят частта от "password_secret" с това, което им е дала предишната команда:
sudo nano /etc/graylog/server/server.conf
След това в частта "парола" на следната команда трябва да въведете вашата root парола:
echo -n "contraseña " && head -1 </dev/stdin | tr -d '\n' | sha256sum | cut -d" " -f1
За пореден път копирайте изхода, който терминалът ви показва, и отворете файла server.conf в Nano. И поставете изхода на паролата след "root_password_sha2".
Сега те трябва да зададат уеб адреса по подразбиране.
В същия файл те трябва да търсят реда, който съдържа "rest_listen_uri" и "web_listen_uri". След като бъдат намерени, те трябва да изтрият стойностите по подразбиране и да ги променят на своя IP адрес, нещо подобно на това:
rest_listen_uri =http://ip:12900/
web_listen_uri =http://ip:9000/
Накрая запишете файла и излезте от nano, след това трябва да напишете:
sudo systemctl daemon-reload
sudo systemctl restart graylog-server
И с това можете да въведете от уеб браузър, като въведете IP адреса, който имате.