Graylog je výkonná platforma, která umožňuje snadnou správu strukturovaných a nestrukturovaných datových záznamů spolu s ladicími aplikacemi. Je založen na Elasticsearch, MongoDB a Scale.
Má hlavní server, který přijímá data od svých klientů nainstalovaných na různých serverech, a webové rozhraní, které zobrazuje data a umožňuje práci se záznamy přidanými hlavním serverem.
O Graylogu
graylog je efektivní při práci s nezpracovanými řetězci (tj. syslog) - nástroj jej analyzuje na strukturovaná data, která potřebujeme.
Umožňuje také pokročilé vlastní vyhledávání záznamů pomocí strukturovaných dotazů.
Jinými slovy, pokud je Graylog správně integrován do webové aplikace, pomáhá technikům analyzovat chování systému téměř na každém řádku kódu.
Hlavní výhodou Graylogu je, že poskytuje jedinou dokonalou instanci shromažďování protokolů pro celý systém.
To je užitečné, pokud je systémová infrastruktura velká a složitá. Mohl by být distribuován na více místech a ne všichni členové týmu mohli mít okamžitý přístup ke všem jeho komponentám.
S Graylogem řešíme tyto problémy a zajišťujeme, aby doba reakce na naše incidenty byla rychlá.
V Logicify ji lze použít jak pro vývojové aplikace, tak pro ty, které již byly veřejně vydány. V obou případech jsou některé režimy aplikace Graylog jedinečné, zatímco jiné se protínají.
Instalace Graylogu
Tento nástroj lze nalézt ve většině distribucí Linuxu, ale před jeho instalací je nutné provést určitou konfiguraci.
V případě těch, kteří jsou uživateli Debianu, Ubuntu a derivátů, musí udělat následující.
Otevřeme terminál a do něj zadáme následující příkazy:
sudo apt install apt-transport-https openjdk-8-jre-headless uuid-runtime pwgen
Po konfiguraci základních balíčků musí nakonfigurovat systém MongoDB pomocí:
sudo apt-key adv --keyserver hkp://keyserver.ubuntu.com:80 --recv 2930ADAE8CAF5059EE73BB4B58712A2291FA4AD5
echo "deb [ arch=amd64,arm64 ] https://repo.mongodb.org/apt/ubuntu xenial/mongodb-org/3.6 multiverse" | sudo tee /etc/apt/sources.list.d/mongodb-org-3.6.list
sudo apt update
sudo apt install -y mongodb-org
Po instalaci MongoDB spusťte databázi pomocí:
sudo systemctl daemon-reload
sudo systemctl enable mongod.service
sudo systemctl restart mongod.service
Po MongoDB byste měli nainstalovat nástroj Elasticsearch, protože Graylog jej používá jako backend.
wget -qO - https://artifacts.elastic.co/GPG-KEY-elasticsearch | sudo apt-key add -
echo "deb https://artifacts.elastic.co/packages/5.x/apt stable main" | sudo tee -a /etc/apt/sources.list.d/elastic-5.x.list
sudo apt update && sudo apt install elasticsearch
Upravte soubor Elasticsearch YML pomocí:
sudo nano /etc/elasticsearch/elasticsearch.yml
Nyní by měli hledat následující řádek:
#cluster.name: graylog
Odeberte z něj #, uložte a zavřete nano a zadejte terminál:
sudo systemctl daemon-reload
sudo systemctl enable elasticsearch.service
sudo systemctl restart elasticsearch.service
Nyní, když jsou nakonfigurovány Elasticsearch a MongoDB, si můžeme stáhnout Graylog a nainstalovat jej na Ubuntu.
Chcete-li jej nainstalovat, musíte zadat následující:
wget https://packages.graylog2.org/repo/packages/graylog-2.4-repository_latest.deb
sudo dpkg -i graylog-2.4-repository_latest.deb
sudo apt-get update && sudo apt-get install graylog-server
Pomocí nástroje pwgen generují tajný klíč.
pwgen -N 1 -s 96
Jakmile to provedete, musí zkopírovat to, co jim terminál zobrazuje, a poté upravit soubor server.conf a nahradí část „password_secret“ tím, co jim dal předchozí příkaz:
sudo nano /etc/graylog/server/server.conf
Potom v části „heslo“ následujícího příkazu musíte zadat své heslo root:
echo -n "contraseña " && head -1 </dev/stdin | tr -d '\n' | sha256sum | cut -d" " -f1
Znovu zkopírujte výstup, který terminál zobrazuje, a otevřete soubor server.conf v Nano. A vložte výstup hesla za „root_password_sha2“.
Nyní by měli nastavit výchozí webovou adresu.
Ve stejném souboru by měli hledat řádek, který obsahuje „rest_listen_uri“ a „web_listen_uri“. Jakmile se nacházejí, musí odstranit výchozí hodnoty a změnit je na svou IP adresu, něco podobného tomuto:
rest_listen_uri =http://ip:12900/
web_listen_uri =http://ip:9000/
Na konci uložte soubor a ukončete nano, poté musíte zadat:
sudo systemctl daemon-reload
sudo systemctl restart graylog-server
S tímto můžete vstoupit z webového prohlížeče zadáním IP adresy, kterou máte.