Graylog, un instrument pentru gestionarea și analiza jurnalelor

greylog1

Graylog este o platformă puternică care permite gestionarea ușoară a înregistrărilor de date structurate și nestructurate împreună cu aplicațiile de depanare. Se bazează pe Elasticsearch, MongoDB și Scala.

Are un server principal, care primește date de la clienții săi instalate pe diferite servere, și o interfață web, care afișează datele și permite lucrul cu înregistrările adăugate de serverul principal.

Despre Graylog

greylog este eficient atunci când lucrați cu șiruri brute (adică syslog) - instrumentul îl analizează în datele structurate de care avem nevoie.

De asemenea, permite căutarea avansată personalizată a înregistrărilor utilizând interogări structurate.

Cu alte cuvinte, atunci când este integrat corect cu o aplicație web, Graylog îi ajută pe ingineri să analizeze comportamentul sistemului aproape pe fiecare linie de cod.

Principalul avantaj al Graylog este că oferă o singură instanță perfectă de colectare a jurnalelor pentru întregul sistem.

Acest lucru este util dacă infrastructura sistemului este mare și complexă. Acesta ar putea fi distribuit în mai multe locuri și nu toți membrii echipei ar putea avea acces imediat la toate componentele sale.

Cu Graylog, abordăm aceste probleme și ne asigurăm că timpul nostru de răspuns la incidente este rapid.

În Logicify, poate fi utilizat atât pentru aplicații în curs de dezvoltare, cât și pentru cele care au fost deja lansate public. În ambele cazuri, unele moduri de aplicare Graylog sunt unice, în timp ce altele se intersectează.

Instalare Graylog

Acest instrument poate fi găsit în majoritatea distribuțiilor Linux, dar este necesar să efectuați o anumită configurație înainte de instalarea sa.

În cazul celor care sunt utilizatori Debian, Ubuntu și derivați, trebuie să facă următoarele.

Vom deschide un terminal și în el vom introduce următoarele comenzi:

sudo apt install apt-transport-https openjdk-8-jre-headless uuid-runtime pwgen

După configurarea pachetelor de bază, trebuie să configureze sistemul MongoDB cu:

sudo apt-key adv --keyserver hkp://keyserver.ubuntu.com:80 --recv 2930ADAE8CAF5059EE73BB4B58712A2291FA4AD5
echo "deb [ arch=amd64,arm64 ] https://repo.mongodb.org/apt/ubuntu xenial/mongodb-org/3.6 multiverse" | sudo tee /etc/apt/sources.list.d/mongodb-org-3.6.list
sudo apt update
sudo apt install -y mongodb-org

După instalarea MongoDB, porniți baza de date cu:

sudo systemctl daemon-reload
sudo systemctl enable mongod.service
sudo systemctl restart mongod.service

După MongoDB, ar trebui să instalați instrumentul Elasticsearch, deoarece Graylog îl folosește ca backend.

wget -qO - https://artifacts.elastic.co/GPG-KEY-elasticsearch | sudo apt-key add -
echo "deb https://artifacts.elastic.co/packages/5.x/apt stable main" | sudo tee -a /etc/apt/sources.list.d/elastic-5.x.list
sudo apt update && sudo apt install elasticsearch

Modificați fișierul Elasticsearch YML cu:

sudo nano /etc/elasticsearch/elasticsearch.yml

Acum ar trebui să caute următoarea linie:

#cluster.name: graylog

Și scoateți # din el, salvați și închideți nano și introduceți terminalul:

sudo systemctl daemon-reload

sudo systemctl enable elasticsearch.service
sudo systemctl restart elasticsearch.service

Acum că Elasticsearch și MongoDB sunt configurate, putem descărca Graylog și îl putem instala pe Ubuntu.

greylog

Pentru ao instala, trebuie să tastați următoarele:

wget https://packages.graylog2.org/repo/packages/graylog-2.4-repository_latest.deb
sudo dpkg -i graylog-2.4-repository_latest.deb
sudo apt-get update && sudo apt-get install graylog-server

Folosind instrumentul pwgen, acestea generează o cheie secretă.

pwgen -N 1 -s 96

Odată ce acest lucru este făcut, trebuie să copieze ceea ce le arată terminalul și apoi să editeze fișierul server.conf și vor înlocui partea din „password_secret” cu ceea ce le-a dat comanda anterioară:

sudo nano /etc/graylog/server/server.conf

Apoi, în partea „parolă” a următoarei comenzi, trebuie să introduceți parola de root:

echo -n "contraseña " && head -1 </dev/stdin | tr -d '\n' | sha256sum | cut -d" " -f1

Încă o dată, copiați ieșirea pe care vă arată terminalul și deschideți fișierul server.conf în Nano. Și lipiți parola de ieșire după „root_password_sha2”.

Acum ar trebui să seteze adresa web implicită.

În același fișier, ar trebui să caute linia care conține „rest_listen_uri” și „web_listen_uri”. Odată localizate, trebuie să șteargă valorile implicite și să le schimbe la adresa IP, ceva similar cu acesta:

rest_listen_uri =http://ip:12900/
web_listen_uri =http://ip:9000/

La final salvați fișierul și ieșiți din nano, după aceasta trebuie să tastați:

sudo systemctl daemon-reload
sudo systemctl restart graylog-server

Și cu aceasta puteți intra dintr-un browser web tastând adresa IP pe care o aveți.


Fii primul care comenteaza

Lasă comentariul tău

Adresa ta de email nu va fi publicată. Câmpurile obligatorii sunt marcate cu *

*

*

  1. Responsabil pentru date: Miguel Ángel Gatón
  2. Scopul datelor: Control SPAM, gestionarea comentariilor.
  3. Legitimare: consimțământul dvs.
  4. Comunicarea datelor: datele nu vor fi comunicate terților decât prin obligație legală.
  5. Stocarea datelor: bază de date găzduită de Occentus Networks (UE)
  6. Drepturi: în orice moment vă puteți limita, recupera și șterge informațiile.