„Graylog“ yra galinga platforma, leidžianti lengvai valdyti struktūrizuotus ir nestruktūruotus duomenų įrašus kartu su derinimo programomis. Jis pagrįstas „Elasticsearch“, „MongoDB“ ir „Scala“.
Jis turi pagrindinį serverį, kuris gauna duomenis iš savo klientų, įdiegtų skirtinguose serveriuose, ir žiniatinklio sąsają, kuri rodo duomenis ir leidžia dirbti su pagrindinio serverio pridėtais įrašais.
Apie „Graylog“
pilkšvas tai efektyvu dirbant su neapdorotomis eilutėmis (t. y. „syslog“) - įrankis ją analizuoja į mums reikalingus struktūrinius duomenis.
Tai taip pat leidžia išplėstinę pasirinktinę įrašų paiešką naudojant struktūrines užklausas.
Kitaip tariant, tinkamai integruotas su žiniatinklio programa, „Graylog“ padeda inžinieriams analizuoti sistemos veikimą beveik kiekvienoje kodo eilutėje.
Pagrindinis „Graylog“ privalumas yra tas, kad jis suteikia vienintelį puikų žurnalų rinkimo atvejį visai sistemai.
Tai naudinga, jei sistemos infrastruktūra yra didelė ir sudėtinga. Jis galėjo būti platinamas keliose vietose, o ne visi komandos nariai galėjo iš karto pasiekti visus jo komponentus.
Naudodamiesi „Graylog“ mes sprendžiame šias problemas ir užtikriname, kad mūsų reagavimo į incidentus laikas būtų greitas.
Programoje „Logicify“ ji gali būti naudojama tiek kuriant, tiek jau viešai išleistose programose. Abiem atvejais kai kurie „Graylog“ programos režimai yra unikalūs, o kiti susikerta.
„Graylog“ diegimas
Šį įrankį galima rasti daugumoje „Linux“ paskirstymų, tačiau prieš jį įdiegiant būtina atlikti tam tikrą konfigūraciją.
Tiems, kurie yra „Debian“, „Ubuntu“ ir išvestinių priemonių vartotojai, jie turi atlikti šiuos veiksmus.
Mes ketiname atidaryti terminalą ir jame įvesti šias komandas:
sudo apt install apt-transport-https openjdk-8-jre-headless uuid-runtime pwgen
Sukonfigūravę pagrindinius paketus, jie turi sukonfigūruoti „MongoDB“ sistemą:
sudo apt-key adv --keyserver hkp://keyserver.ubuntu.com:80 --recv 2930ADAE8CAF5059EE73BB4B58712A2291FA4AD5
echo "deb [ arch=amd64,arm64 ] https://repo.mongodb.org/apt/ubuntu xenial/mongodb-org/3.6 multiverse" | sudo tee /etc/apt/sources.list.d/mongodb-org-3.6.list
sudo apt update
sudo apt install -y mongodb-org
Įdiegę „MongoDB“, paleiskite duomenų bazę naudodami:
sudo systemctl daemon-reload
sudo systemctl enable mongod.service
sudo systemctl restart mongod.service
Sekdami „MongoDB“, turėtumėte įdiegti „Elasticsearch“ įrankį, nes „Graylog“ naudoja jį kaip vidinę programą.
wget -qO - https://artifacts.elastic.co/GPG-KEY-elasticsearch | sudo apt-key add -
echo "deb https://artifacts.elastic.co/packages/5.x/apt stable main" | sudo tee -a /etc/apt/sources.list.d/elastic-5.x.list
sudo apt update && sudo apt install elasticsearch
Pakeiskite „Elasticsearch“ YML failą naudodami:
sudo nano /etc/elasticsearch/elasticsearch.yml
Dabar jie turėtų ieškoti šios eilutės:
#cluster.name: graylog
Iš jo pašalinkite #, išsaugokite ir uždarykite „nano“ ir įveskite terminalą:
sudo systemctl daemon-reload
sudo systemctl enable elasticsearch.service
sudo systemctl restart elasticsearch.service
Dabar, kai „Elasticsearch“ ir „MongoDB“ sukonfigūruoti, galime atsisiųsti „Graylog“ ir įdiegti jį į „Ubuntu“.
Norėdami jį įdiegti, turite įvesti:
wget https://packages.graylog2.org/repo/packages/graylog-2.4-repository_latest.deb
sudo dpkg -i graylog-2.4-repository_latest.deb
sudo apt-get update && sudo apt-get install graylog-server
Naudodami „pwgen“ įrankį, jie sugeneruoja slaptą raktą.
pwgen -N 1 -s 96
Tai padarę, jie turi nukopijuoti tai, ką jiems rodo terminalas, tada redaguoti failą server.conf ir jie pakeis „password_secret“ dalį tuo, ką jiems davė ankstesnė komanda:
sudo nano /etc/graylog/server/server.conf
Tada šios komandos dalyje „slaptažodis“ turite įvesti savo pagrindinį slaptažodį:
echo -n "contraseña " && head -1 </dev/stdin | tr -d '\n' | sha256sum | cut -d" " -f1
Dar kartą nukopijuokite išvestį, kurią jums rodo terminalas, ir atidarykite server.conf failą „Nano“. Ir įklijuokite slaptažodžio išvestį po „root_password_sha2“.
Dabar jie turėtų nustatyti numatytąjį interneto adresą.
Tame pačiame faile jie turėtų ieškoti eilutės, kurioje yra „rest_listen_uri“ ir „web_listen_uri“. Aptikę jie turi ištrinti numatytąsias vertes ir pakeisti jas į savo IP adresą, panašiai kaip šis:
rest_listen_uri =http://ip:12900/
web_listen_uri =http://ip:9000/
Pabaigoje išsaugokite failą ir išeikite iš „nano“. Po to turite įvesti:
sudo systemctl daemon-reload
sudo systemctl restart graylog-server
Ir tai galite įvesti iš interneto naršyklės įvesdami turimą IP adresą.