Graylog è una potente piattaforma che consente una facile gestione di record di dati strutturati e non strutturati insieme al debug delle applicazioni. È basato su Elasticsearch, MongoDB e Scala.
Ha un server principale, che riceve i dati dai suoi client installati su diversi server, e un'interfaccia web, che visualizza i dati e permette di lavorare con i record aggiunti dal server principale.
Informazioni su Graylog
graylog è efficace quando si lavora con stringhe grezze (cioè syslog): lo strumento lo analizza nei dati strutturati di cui abbiamo bisogno.
Consente inoltre la ricerca personalizzata avanzata dei record utilizzando query strutturate.
In altre parole, quando correttamente integrato con un'applicazione web, Graylog aiuta gli ingegneri ad analizzare il comportamento del sistema quasi per riga di codice.
Il vantaggio principale di Graylog è che fornisce un'unica istanza perfetta di raccolta di log per l'intero sistema.
Ciò è utile se l'infrastruttura di sistema è ampia e complessa. Potrebbe essere distribuito in più luoghi e non tutti i membri del team potrebbero avere accesso immediato a tutti i suoi componenti.
Con Graylog, affrontiamo questi problemi e garantiamo tempi di risposta agli incidenti rapidi.
In Logicify, può essere utilizzato sia per le applicazioni in sviluppo che per quelle che sono già state rilasciate pubblicamente. In entrambi i casi, alcune modalità dell'applicazione Graylog sono uniche, mentre altre si intersecano.
Installazione graylog
Questo strumento può essere trovato nella maggior parte delle distribuzioni Linux, ma è necessario eseguire alcune configurazioni prima della sua installazione.
Nel caso di coloro che sono utenti Debian, Ubuntu e derivati, devono fare quanto segue.
Stiamo per aprire un terminale e in esso digitare i seguenti comandi:
sudo apt install apt-transport-https openjdk-8-jre-headless uuid-runtime pwgen
Dopo aver configurato i pacchetti di base, devono configurare il sistema MongoDB con:
sudo apt-key adv --keyserver hkp://keyserver.ubuntu.com:80 --recv 2930ADAE8CAF5059EE73BB4B58712A2291FA4AD5
echo "deb [ arch=amd64,arm64 ] https://repo.mongodb.org/apt/ubuntu xenial/mongodb-org/3.6 multiverse" | sudo tee /etc/apt/sources.list.d/mongodb-org-3.6.list
sudo apt update
sudo apt install -y mongodb-org
Dopo aver installato MongoDB, avvia il database con:
sudo systemctl daemon-reload
sudo systemctl enable mongod.service
sudo systemctl restart mongod.service
Seguendo MongoDB, dovresti installare lo strumento Elasticsearch, poiché Graylog lo utilizza come backend.
wget -qO - https://artifacts.elastic.co/GPG-KEY-elasticsearch | sudo apt-key add -
echo "deb https://artifacts.elastic.co/packages/5.x/apt stable main" | sudo tee -a /etc/apt/sources.list.d/elastic-5.x.list
sudo apt update && sudo apt install elasticsearch
Modifica il file YML di Elasticsearch con:
sudo nano /etc/elasticsearch/elasticsearch.yml
Ora dovrebbero cercare la seguente riga:
#cluster.name: graylog
E rimuovi il # da esso, salva e chiudi nano e digita nel terminale:
sudo systemctl daemon-reload
sudo systemctl enable elasticsearch.service
sudo systemctl restart elasticsearch.service
Ora che Elasticsearch e MongoDB sono configurati, possiamo scaricare Graylog e installarlo su Ubuntu.
Per installarlo, è necessario digitare quanto segue:
wget https://packages.graylog2.org/repo/packages/graylog-2.4-repository_latest.deb
sudo dpkg -i graylog-2.4-repository_latest.deb
sudo apt-get update && sudo apt-get install graylog-server
Utilizzando lo strumento pwgen, generano una chiave segreta.
pwgen -N 1 -s 96
Fatto ciò, devono copiare ciò che il terminale mostra loro e quindi modificare il file server.conf e sostituiranno la parte di "password_secret" con ciò che ha dato loro il comando precedente:
sudo nano /etc/graylog/server/server.conf
Quindi nella parte "password" del comando seguente, devi inserire la tua password di root:
echo -n "contraseña " && head -1 </dev/stdin | tr -d '\n' | sha256sum | cut -d" " -f1
Ancora una volta, copia l'output che ti mostra il terminale e apri il file server.conf in Nano. E incolla l'output della password dopo "root_password_sha2".
Ora dovrebbero impostare l'indirizzo web predefinito.
Nello stesso file dovrebbero cercare la riga che contiene "rest_listen_uri" e "web_listen_uri". Una volta individuati, devono eliminare i valori predefiniti e modificarli nel loro indirizzo IP, qualcosa di simile a questo:
rest_listen_uri =http://ip:12900/
web_listen_uri =http://ip:9000/
Alla fine salvate il file ed uscite da nano, dopodiché dovrete digitare:
sudo systemctl daemon-reload
sudo systemctl restart graylog-server
E con questo puoi entrare da un browser web digitando l'indirizzo IP che hai.