Graylog er en stærk platform, der muliggør nem styring af strukturerede og ustrukturerede dataposter sammen med fejlfindingsprogrammer. Det er baseret på Elasticsearch, MongoDB og Scala.
Den har en hovedserver, der modtager data fra sine klienter installeret på forskellige servere, og en webgrænseflade, der viser dataene og gør det muligt at arbejde med poster tilføjet af hovedserveren.
Om Graylog
grålog det er effektivt, når du arbejder med rå strenge (dvs. syslog) - værktøjet analyserer det i de strukturerede data, vi har brug for.
Det muliggør også avanceret tilpasset søgning af poster ved hjælp af strukturerede forespørgsler.
Med andre ord, når Graylog integreres korrekt med en webapplikation, hjælper Graylog ingeniører med at analysere systemadfærd næsten pr. Kodelinje.
Den største fordel ved Graylog er, at det giver en enkelt perfekt forekomst af logsamling til hele systemet.
Dette er nyttigt, hvis systeminfrastrukturen er stor og kompleks. Det kunne distribueres flere steder, og ikke alle teammedlemmer kunne have øjeblikkelig adgang til alle dets komponenter.
Med Graylog løser vi disse problemer og sikrer, at vores hændelsessvarstid er hurtig.
I Logicify kan den bruges til både applikationer under udvikling og dem, der allerede er offentliggjort. I begge tilfælde er nogle Graylog-applikationstilstande unikke, mens andre skærer hinanden.
Graylog installation
Dette værktøj findes i de fleste Linux-distributioner, men det er nødvendigt at udføre en vis konfiguration inden installationen.
I tilfælde af dem, der er Debian-, Ubuntu- og afledte brugere, skal de gøre følgende.
Vi skal åbne en terminal, og i den skal vi skrive følgende kommandoer:
sudo apt install apt-transport-https openjdk-8-jre-headless uuid-runtime pwgen
Efter konfiguration af basispakkerne de skal konfigurere MongoDB-systemet med:
sudo apt-key adv --keyserver hkp://keyserver.ubuntu.com:80 --recv 2930ADAE8CAF5059EE73BB4B58712A2291FA4AD5
echo "deb [ arch=amd64,arm64 ] https://repo.mongodb.org/apt/ubuntu xenial/mongodb-org/3.6 multiverse" | sudo tee /etc/apt/sources.list.d/mongodb-org-3.6.list
sudo apt update
sudo apt install -y mongodb-org
Efter installation af MongoDB skal du starte databasen med:
sudo systemctl daemon-reload
sudo systemctl enable mongod.service
sudo systemctl restart mongod.service
Efter MongoDB skal du installere Elasticsearch-værktøjet, da Graylog bruger det som en backend.
wget -qO - https://artifacts.elastic.co/GPG-KEY-elasticsearch | sudo apt-key add -
echo "deb https://artifacts.elastic.co/packages/5.x/apt stable main" | sudo tee -a /etc/apt/sources.list.d/elastic-5.x.list
sudo apt update && sudo apt install elasticsearch
Rediger YML-filen Elasticsearch med:
sudo nano /etc/elasticsearch/elasticsearch.yml
Nu skal de kigge efter følgende linje:
#cluster.name: graylog
Og fjern # fra det, gem og luk nano og skriv terminalen:
sudo systemctl daemon-reload
sudo systemctl enable elasticsearch.service
sudo systemctl restart elasticsearch.service
Nu hvor Elasticsearch og MongoDB er konfigureret, kan vi downloade Graylog og installere det på Ubuntu.
For at installere det skal du skrive følgende:
wget https://packages.graylog2.org/repo/packages/graylog-2.4-repository_latest.deb
sudo dpkg -i graylog-2.4-repository_latest.deb
sudo apt-get update && sudo apt-get install graylog-server
Ved hjælp af pwgen-værktøjet genererer de en hemmelig nøgle.
pwgen -N 1 -s 96
Når dette er gjort, skal de kopiere, hvad terminalen viser dem, og derefter redigere server.conf-filen, og de vil erstatte den del af "password_secret" med, hvad den forrige kommando gav dem:
sudo nano /etc/graylog/server/server.conf
Derefter skal du placere din rodadgangskode i "adgangskode" -delen af følgende kommando:
echo -n "contraseña " && head -1 </dev/stdin | tr -d '\n' | sha256sum | cut -d" " -f1
Kopier igen det output, som terminalen viser, og åbn filen server.conf i Nano. Og indsæt adgangskodens output efter "root_password_sha2".
Nu skal de indstille standardwebadressen.
I den samme fil skal de kigge efter linjen, der indeholder "rest_listen_uri" og "web_listen_uri". Når de er placeret, skal de slette standardværdierne og ændre dem til deres IP-adresse, noget der ligner denne:
rest_listen_uri =http://ip:12900/
web_listen_uri =http://ip:9000/
I slutningen skal du gemme filen og afslutte nano, derefter skal du skrive:
sudo systemctl daemon-reload
sudo systemctl restart graylog-server
Og med dette kan du indtaste fra en webbrowser ved at skrive den IP-adresse, du har.