Graylog is een krachtig platform dat eenvoudig beheer van gestructureerde en ongestructureerde gegevensrecords mogelijk maakt samen met foutopsporingsapplicaties. Het is gebaseerd op Elasticsearch, MongoDB en Scala.
Het heeft een hoofdserver, die gegevens ontvangt van zijn clients die op verschillende servers zijn geïnstalleerd, en een webinterface, die de gegevens weergeeft en het mogelijk maakt te werken met records die door de hoofdserver zijn toegevoegd.
Over Graylog
grijslog het is effectief bij het werken met onbewerkte strings (d.w.z. syslog) - de tool parseert het in de gestructureerde gegevens die we nodig hebben.
Het maakt ook geavanceerd op maat zoeken van records mogelijk met behulp van gestructureerde zoekopdrachten.
Met andere woorden, wanneer Graylog correct is geïntegreerd met een webtoepassing, helpt het ingenieurs het systeemgedrag bijna per regel code te analyseren.
Het belangrijkste voordeel van Graylog is dat het een enkele perfecte instantie van logboekverzameling biedt voor het hele systeem.
Dit is handig als de systeeminfrastructuur groot en complex is. Het kan op meerdere plaatsen worden verspreid en niet alle teamleden hebben directe toegang tot al zijn componenten.
Met Graylog pakken we deze problemen aan en zorgen we ervoor dat onze reactietijd op incidenten snel is.
In Logicify kan het worden gebruikt voor zowel applicaties in ontwikkeling als voor applicaties die al publiekelijk zijn vrijgegeven. In beide gevallen zijn sommige Graylog-toepassingsmodi uniek, terwijl andere elkaar kruisen.
Graylog-installatie
Deze tool is te vinden in de meeste Linux-distributies, maar het is nodig om een configuratie uit te voeren voorafgaand aan de installatie.
In het geval van gebruikers van Debian, Ubuntu en afgeleide producten, moeten ze het volgende doen.
We gaan een terminal openen en daarin gaan we de volgende opdrachten typen:
sudo apt install apt-transport-https openjdk-8-jre-headless uuid-runtime pwgen
Na het configureren van de basispakketten, ze moeten het MongoDB-systeem configureren met:
sudo apt-key adv --keyserver hkp://keyserver.ubuntu.com:80 --recv 2930ADAE8CAF5059EE73BB4B58712A2291FA4AD5
echo "deb [ arch=amd64,arm64 ] https://repo.mongodb.org/apt/ubuntu xenial/mongodb-org/3.6 multiverse" | sudo tee /etc/apt/sources.list.d/mongodb-org-3.6.list
sudo apt update
sudo apt install -y mongodb-org
Start na het installeren van MongoDB de database met:
sudo systemctl daemon-reload
sudo systemctl enable mongod.service
sudo systemctl restart mongod.service
Na MongoDB moet u de Elasticsearch-tool installeren, aangezien Graylog deze als een backend gebruikt.
wget -qO - https://artifacts.elastic.co/GPG-KEY-elasticsearch | sudo apt-key add -
echo "deb https://artifacts.elastic.co/packages/5.x/apt stable main" | sudo tee -a /etc/apt/sources.list.d/elastic-5.x.list
sudo apt update && sudo apt install elasticsearch
Wijzig het Elasticsearch YML-bestand met:
sudo nano /etc/elasticsearch/elasticsearch.yml
Nu moeten ze naar de volgende regel zoeken:
#cluster.name: graylog
En verwijder de # ervan, sla op en sluit nano en typ de terminal in:
sudo systemctl daemon-reload
sudo systemctl enable elasticsearch.service
sudo systemctl restart elasticsearch.service
Nu Elasticsearch en MongoDB zijn geconfigureerd, kunnen we Graylog downloaden en op Ubuntu installeren.
Om het te installeren, moet u het volgende typen:
wget https://packages.graylog2.org/repo/packages/graylog-2.4-repository_latest.deb
sudo dpkg -i graylog-2.4-repository_latest.deb
sudo apt-get update && sudo apt-get install graylog-server
Met behulp van de pwgen-tool genereren ze een geheime sleutel.
pwgen -N 1 -s 96
Zodra dit is gebeurd, moeten ze kopiëren wat de terminal hen laat zien en vervolgens het server.conf-bestand bewerken en het gedeelte van "password_secret" vervangen door wat het vorige commando hen gaf:
sudo nano /etc/graylog/server/server.conf
Vervolgens moet je in het "wachtwoord" gedeelte van het volgende commando je root-wachtwoord invoeren:
echo -n "contraseña " && head -1 </dev/stdin | tr -d '\n' | sha256sum | cut -d" " -f1
Kopieer nogmaals de uitvoer die de terminal toont en open het server.conf-bestand in Nano. En plak de wachtwoorduitvoer na "root_password_sha2".
Nu moeten ze het standaardwebadres instellen.
In hetzelfde bestand moeten ze zoeken naar de regel die "rest_listen_uri" en "web_listen_uri" bevat. Eenmaal gelokaliseerd, moeten ze de standaardwaarden verwijderen en deze wijzigen in hun IP-adres, ongeveer zoiets als dit:
rest_listen_uri =http://ip:12900/
web_listen_uri =http://ip:9000/
Sla aan het einde het bestand op en sluit nano af, hierna moet je typen:
sudo systemctl daemon-reload
sudo systemctl restart graylog-server
En hiermee kun je vanuit een webbrowser invoeren door het IP-adres dat je hebt in te typen.