Graylog, un outil de gestion et d'analyse des logs

Darkcrizt

Minutes 4

graylog1

Graylog est une plate-forme puissante qui permet une gestion facile des enregistrements de données structurés et non structurés avec les applications de débogage. Il est basé sur Elasticsearch, MongoDB et Scala.

Il dispose d'un serveur principal, qui reçoit les données de ses clients installés sur différents serveurs, et d'une interface Web, qui affiche les données et permet de travailler avec les enregistrements ajoutés par le serveur principal.

À propos de Graylog

bûche grise c'est efficace lorsque vous travaillez avec des chaînes brutes (c'est-à-dire syslog) - l'outil analyse les données structurées dont nous avons besoin.

Il permet également une recherche personnalisée avancée des enregistrements à l'aide de requêtes structurées.

En d'autres termes, lorsqu'il est correctement intégré à une application Web, Graylog aide les ingénieurs à analyser le comportement du système presque par ligne de code.

Le principal avantage de Graylog est qu'il fournit une seule instance parfaite de collecte de journaux pour l'ensemble du système.

Ceci est utile si l'infrastructure système est grande et complexe. Il pourrait être distribué à plusieurs endroits et tous les membres de l'équipe ne pourraient pas avoir un accès immédiat à tous ses composants.

Avec Graylog, nous résolvons ces problèmes et veillons à ce que notre temps de réponse aux incidents soit rapide.

Dans Logicify, il peut être utilisé à la fois pour les applications en développement et celles qui ont déjà été publiées. Dans les deux cas, certains modes d'application Graylog sont uniques, tandis que d'autres se recoupent.

Installation de Graylog

Cet outil se trouve dans la plupart des distributions Linux, mais il est nécessaire d'effectuer une configuration avant son installation.

Dans le cas de ceux qui sont Debian, Ubuntu et des utilisateurs dérivés, ils doivent faire ce qui suit.

Nous allons ouvrir un terminal et y taper les commandes suivantes:

sudo apt install apt-transport-https openjdk-8-jre-headless uuid-runtime pwgen

Après avoir configuré les packages de base, ils doivent configurer le système MongoDB avec:

sudo apt-key adv --keyserver hkp://keyserver.ubuntu.com:80 --recv 2930ADAE8CAF5059EE73BB4B58712A2291FA4AD5
echo "deb [ arch=amd64,arm64 ] https://repo.mongodb.org/apt/ubuntu xenial/mongodb-org/3.6 multiverse" | sudo tee /etc/apt/sources.list.d/mongodb-org-3.6.list
sudo apt update
sudo apt install -y mongodb-org

Après avoir installé MongoDB, démarrez la base de données avec:

sudo systemctl daemon-reload
sudo systemctl enable mongod.service
sudo systemctl restart mongod.service

Après MongoDB, vous devez installer l'outil Elasticsearch, car Graylog l'utilise comme backend.

wget -qO - https://artifacts.elastic.co/GPG-KEY-elasticsearch | sudo apt-key add -
echo "deb https://artifacts.elastic.co/packages/5.x/apt stable main" | sudo tee -a /etc/apt/sources.list.d/elastic-5.x.list
sudo apt update && sudo apt install elasticsearch

Modifiez le fichier YML Elasticsearch avec:

sudo nano /etc/elasticsearch/elasticsearch.yml

Maintenant, ils devraient chercher la ligne suivante:

#cluster.name: graylog

Et supprimez le #, enregistrez et fermez nano et tapez dans le terminal:

sudo systemctl daemon-reload

sudo systemctl enable elasticsearch.service
sudo systemctl restart elasticsearch.service

Maintenant qu'Elasticsearch et MongoDB sont configurés, nous pouvons télécharger Graylog et l'installer sur Ubuntu.

bûche grise

Pour l'installer, vous devez taper ce qui suit:

wget https://packages.graylog2.org/repo/packages/graylog-2.4-repository_latest.deb
sudo dpkg -i graylog-2.4-repository_latest.deb
sudo apt-get update && sudo apt-get install graylog-server

À l'aide de l'outil pwgen, ils génèrent une clé secrète.

pwgen -N 1 -s 96

Une fois cela fait, ils doivent copier ce que le terminal leur montre puis éditer le fichier server.conf et ils remplaceront la partie de "password_secret" par ce que la commande précédente leur a donné:

sudo nano /etc/graylog/server/server.conf

Ensuite, dans la partie "mot de passe" de la commande suivante, vous devez mettre votre mot de passe root:

echo -n "contraseña " && head -1 </dev/stdin | tr -d '\n' | sha256sum | cut -d" " -f1

Une fois de plus, copiez la sortie que le terminal vous montre et ouvrez le fichier server.conf dans Nano. Et collez la sortie du mot de passe après "root_password_sha2".

Maintenant, ils doivent définir l'adresse Web par défaut.

Dans le même fichier, ils doivent rechercher la ligne qui contient "rest_listen_uri" et "web_listen_uri". Une fois localisés, ils doivent supprimer les valeurs par défaut et les changer en leur adresse IP, quelque chose de similaire à ceci:

rest_listen_uri =http://ip:12900/
web_listen_uri =http://ip:9000/

À la fin, enregistrez le fichier et quittez nano, après cela, vous devez taper:

sudo systemctl daemon-reload
sudo systemctl restart graylog-server

Et avec cela, vous pouvez entrer à partir d'un navigateur Web en tapant l'adresse IP que vous avez.


Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont marqués avec *

*

*

  1. Responsable des données: Miguel Ángel Gatón
  2. Finalité des données: Contrôle du SPAM, gestion des commentaires.
  3. Légitimation: votre consentement
  4. Communication des données: Les données ne seront pas communiquées à des tiers sauf obligation légale.
  5. Stockage des données: base de données hébergée par Occentus Networks (EU)
  6. Droits: à tout moment, vous pouvez limiter, récupérer et supprimer vos informations.