Graylog er en kraftig plattform som gjør det enkelt å administrere strukturerte og ustrukturerte dataposter sammen med feilsøkingsprogrammer. Den er basert på Elasticsearch, MongoDB og Scala.
Den har en hovedserver som mottar data fra klientene som er installert på forskjellige servere, og et webgrensesnitt som viser dataene og tillater arbeid med poster som er lagt til av hovedserveren.
Om Graylog
grålogg det er effektivt når du arbeider med rå strenger (dvs. syslog) - verktøyet analyserer det i de strukturerte dataene vi trenger.
Det muliggjør også avansert tilpasset søk av poster ved hjelp av strukturerte spørsmål.
Med andre ord, når det er ordentlig integrert med et webapplikasjon, hjelper Graylog ingeniører med å analysere systematferd nesten per kodelinje.
Den største fordelen med Graylog er at den gir en perfekt forekomst av loggsamling for hele systemet.
Dette er nyttig hvis systeminfrastrukturen er stor og kompleks. Den kan distribueres flere steder, og ikke alle teammedlemmer kan ha umiddelbar tilgang til alle komponentene.
Med Graylog tar vi tak i disse problemene og sørger for at responstiden for hendelsen er rask.
I Logicify kan den brukes til både applikasjoner under utvikling og de som allerede er offentliggjort. I begge tilfeller er noen Graylog-applikasjonsmodi unike, mens andre krysser hverandre.
Graylog Installasjon
Dette verktøyet finnes i de fleste Linux-distribusjoner, men det er nødvendig å utføre noen konfigurasjoner før installasjonen.
Når det gjelder de som er Debian-, Ubuntu- og derivatbrukere, må de gjøre følgende.
Vi skal åpne en terminal, og i den skal vi skrive følgende kommandoer:
sudo apt install apt-transport-https openjdk-8-jre-headless uuid-runtime pwgen
Etter å ha konfigurert grunnleggende pakker, de må konfigurere MongoDB-systemet med:
sudo apt-key adv --keyserver hkp://keyserver.ubuntu.com:80 --recv 2930ADAE8CAF5059EE73BB4B58712A2291FA4AD5
echo "deb [ arch=amd64,arm64 ] https://repo.mongodb.org/apt/ubuntu xenial/mongodb-org/3.6 multiverse" | sudo tee /etc/apt/sources.list.d/mongodb-org-3.6.list
sudo apt update
sudo apt install -y mongodb-org
Etter å ha installert MongoDB, start databasen med:
sudo systemctl daemon-reload
sudo systemctl enable mongod.service
sudo systemctl restart mongod.service
Etter MongoDB, bør du installere verktøyet Elasticsearch, ettersom Graylog bruker det som en backend.
wget -qO - https://artifacts.elastic.co/GPG-KEY-elasticsearch | sudo apt-key add -
echo "deb https://artifacts.elastic.co/packages/5.x/apt stable main" | sudo tee -a /etc/apt/sources.list.d/elastic-5.x.list
sudo apt update && sudo apt install elasticsearch
Endre Elasticsearch YML-filen med:
sudo nano /etc/elasticsearch/elasticsearch.yml
Nå bør de se etter følgende linje:
#cluster.name: graylog
Og fjern # fra den, lagre og lukk nano og skriv inn terminalen:
sudo systemctl daemon-reload
sudo systemctl enable elasticsearch.service
sudo systemctl restart elasticsearch.service
Nå som Elasticsearch og MongoDB er konfigurert, kan vi laste ned Graylog og installere det på Ubuntu.
For å installere det, må du skrive inn følgende:
wget https://packages.graylog2.org/repo/packages/graylog-2.4-repository_latest.deb
sudo dpkg -i graylog-2.4-repository_latest.deb
sudo apt-get update && sudo apt-get install graylog-server
Ved hjelp av pwgen-verktøyet genererer de en hemmelig nøkkel.
pwgen -N 1 -s 96
Når dette er gjort, må de kopiere det som terminalen viser dem, og deretter redigere server.conf-filen, og de vil erstatte delen av "password_secret" med det forrige kommando ga dem:
sudo nano /etc/graylog/server/server.conf
Så i "passord" -delen av følgende kommando, må du legge inn root-passordet ditt:
echo -n "contraseña " && head -1 </dev/stdin | tr -d '\n' | sha256sum | cut -d" " -f1
Nok en gang kopierer du utdataene som terminalen viser deg, og åpner filen server.conf i Nano. Og lim inn passordutgangen etter "root_password_sha2".
Nå skal de angi standard nettadresse.
I samme fil bør de se etter linjen som inneholder "rest_listen_uri" og "web_listen_uri". Når de er lokalisert, må de slette standardverdiene og endre dem til IP-adressen, noe som ligner på dette:
rest_listen_uri =http://ip:12900/
web_listen_uri =http://ip:9000/
På slutten lagrer du filen og avslutter nano, etter dette må du skrive:
sudo systemctl daemon-reload
sudo systemctl restart graylog-server
Og med dette kan du gå inn fra en nettleser ved å skrive IP-adressen du har.