Graylog este o platformă puternică care permite gestionarea ușoară a înregistrărilor de date structurate și nestructurate împreună cu aplicațiile de depanare. Se bazează pe Elasticsearch, MongoDB și Scala.
Are un server principal, care primește date de la clienții săi instalate pe diferite servere, și o interfață web, care afișează datele și permite lucrul cu înregistrările adăugate de serverul principal.
Despre Graylog
greylog este eficient atunci când lucrați cu șiruri brute (adică syslog) - instrumentul îl analizează în datele structurate de care avem nevoie.
De asemenea, permite căutarea avansată personalizată a înregistrărilor utilizând interogări structurate.
Cu alte cuvinte, atunci când este integrat corect cu o aplicație web, Graylog îi ajută pe ingineri să analizeze comportamentul sistemului aproape pe fiecare linie de cod.
Principalul avantaj al Graylog este că oferă o singură instanță perfectă de colectare a jurnalelor pentru întregul sistem.
Acest lucru este util dacă infrastructura sistemului este mare și complexă. Acesta ar putea fi distribuit în mai multe locuri și nu toți membrii echipei ar putea avea acces imediat la toate componentele sale.
Cu Graylog, abordăm aceste probleme și ne asigurăm că timpul nostru de răspuns la incidente este rapid.
În Logicify, poate fi utilizat atât pentru aplicații în curs de dezvoltare, cât și pentru cele care au fost deja lansate public. În ambele cazuri, unele moduri de aplicare Graylog sunt unice, în timp ce altele se intersectează.
Instalare Graylog
Acest instrument poate fi găsit în majoritatea distribuțiilor Linux, dar este necesar să efectuați o anumită configurație înainte de instalarea sa.
În cazul celor care sunt utilizatori Debian, Ubuntu și derivați, trebuie să facă următoarele.
Vom deschide un terminal și în el vom introduce următoarele comenzi:
sudo apt install apt-transport-https openjdk-8-jre-headless uuid-runtime pwgen
După configurarea pachetelor de bază, trebuie să configureze sistemul MongoDB cu:
sudo apt-key adv --keyserver hkp://keyserver.ubuntu.com:80 --recv 2930ADAE8CAF5059EE73BB4B58712A2291FA4AD5
echo "deb [ arch=amd64,arm64 ] https://repo.mongodb.org/apt/ubuntu xenial/mongodb-org/3.6 multiverse" | sudo tee /etc/apt/sources.list.d/mongodb-org-3.6.list
sudo apt update
sudo apt install -y mongodb-org
După instalarea MongoDB, porniți baza de date cu:
sudo systemctl daemon-reload
sudo systemctl enable mongod.service
sudo systemctl restart mongod.service
După MongoDB, ar trebui să instalați instrumentul Elasticsearch, deoarece Graylog îl folosește ca backend.
wget -qO - https://artifacts.elastic.co/GPG-KEY-elasticsearch | sudo apt-key add -
echo "deb https://artifacts.elastic.co/packages/5.x/apt stable main" | sudo tee -a /etc/apt/sources.list.d/elastic-5.x.list
sudo apt update && sudo apt install elasticsearch
Modificați fișierul Elasticsearch YML cu:
sudo nano /etc/elasticsearch/elasticsearch.yml
Acum ar trebui să caute următoarea linie:
#cluster.name: graylog
Și scoateți # din el, salvați și închideți nano și introduceți terminalul:
sudo systemctl daemon-reload
sudo systemctl enable elasticsearch.service
sudo systemctl restart elasticsearch.service
Acum că Elasticsearch și MongoDB sunt configurate, putem descărca Graylog și îl putem instala pe Ubuntu.
Pentru ao instala, trebuie să tastați următoarele:
wget https://packages.graylog2.org/repo/packages/graylog-2.4-repository_latest.deb
sudo dpkg -i graylog-2.4-repository_latest.deb
sudo apt-get update && sudo apt-get install graylog-server
Folosind instrumentul pwgen, acestea generează o cheie secretă.
pwgen -N 1 -s 96
Odată ce acest lucru este făcut, trebuie să copieze ceea ce le arată terminalul și apoi să editeze fișierul server.conf și vor înlocui partea din „password_secret” cu ceea ce le-a dat comanda anterioară:
sudo nano /etc/graylog/server/server.conf
Apoi, în partea „parolă” a următoarei comenzi, trebuie să introduceți parola de root:
echo -n "contraseña " && head -1 </dev/stdin | tr -d '\n' | sha256sum | cut -d" " -f1
Încă o dată, copiați ieșirea pe care vă arată terminalul și deschideți fișierul server.conf în Nano. Și lipiți parola de ieșire după „root_password_sha2”.
Acum ar trebui să seteze adresa web implicită.
În același fișier, ar trebui să caute linia care conține „rest_listen_uri” și „web_listen_uri”. Odată localizate, trebuie să șteargă valorile implicite și să le schimbe la adresa IP, ceva similar cu acesta:
rest_listen_uri =http://ip:12900/
web_listen_uri =http://ip:9000/
La final salvați fișierul și ieșiți din nano, după aceasta trebuie să tastați:
sudo systemctl daemon-reload
sudo systemctl restart graylog-server
Și cu aceasta puteți intra dintr-un browser web tastând adresa IP pe care o aveți.