Graylog är en kraftfull plattform som möjliggör enkel logghantering av strukturerad och ostrukturerad data. tillsammans med felsökningsapplikationer. Den är baserad på Elasticsearch, MongoDB och Scala.
Den har en huvudserver som tar emot data från sina klienter installerade på olika servrar och ett webbgränssnitt som visar data och gör det möjligt att arbeta med poster som lagts till av huvudservern.
Om Graylog
grålogg det är effektivt när man arbetar med råsträngar (dvs. syslog) - verktyget analyserar det till den strukturerade data vi behöver.
Det tillåter också avancerad anpassad sökning på poster med hjälp av strukturerade frågor.
Med andra ord, när den är korrekt integrerad med en webbapplikation, hjälper Graylog ingenjörer att analysera systembeteende nästan per kodrad.
Den största fördelen med Graylog är att det ger en enda sömlös instans av logginsamling för hela systemet.
Detta är användbart om systeminfrastrukturen är stor och komplex. Den kan vara spridd på flera ställen och inte alla teammedlemmar kanske har omedelbar tillgång till alla dess komponenter.
Med Graylog tar vi itu med dessa problem och säkerställer att vår incidentresponstid är snabb.
I Logicify kan den användas för både applikationer under utveckling och de som redan har släppts offentligt. I båda fallen är vissa Graylog-applikationslägen unika, medan andra skär varandra.
Installation av Graylog
Det här verktyget finns i de flesta Linux-distributioner, men viss konfiguration krävs innan installation.
När det gäller de som är användare av Debian, Ubuntu och derivat måste de göra följande.
Vi kommer att öppna en terminal och i den ska vi skriva följande kommandon:
sudo apt install apt-transport-https openjdk-8-jre-headless uuid-runtime pwgen
Efter att ha konfigurerat grundpaketen, Du måste konfigurera MongoDB-systemet med:
sudo apt-key adv --keyserver hkp://keyserver.ubuntu.com:80 --recv 2930ADAE8CAF5059EE73BB4B58712A2291FA4AD5
echo "deb [ arch=amd64,arm64 ] https://repo.mongodb.org/apt/ubuntu xenial/mongodb-org/3.6 multiverse" | sudo tee /etc/apt/sources.list.d/mongodb-org-3.6.list
sudo apt update
sudo apt install -y mongodb-org
Efter MongoDB-installationen, starta databasen med:
sudo systemctl daemon-reload
sudo systemctl enable mongod.service
sudo systemctl restart mongod.service
Efter MongoDB måste du installera Elasticsearch-verktyget, eftersom Graylog använder det som en backend.
wget -qO - https://artifacts.elastic.co/GPG-KEY-elasticsearch | sudo apt-key add -
echo "deb https://artifacts.elastic.co/packages/5.x/apt stable main" | sudo tee -a /etc/apt/sources.list.d/elastic-5.x.list
sudo apt update && sudo apt install elasticsearch
Ändra Elasticsearch YML-filen med:
sudo nano /etc/elasticsearch/elasticsearch.yml
Nu ska de leta efter följande rad:
#cluster.name: graylog
Och ta bort # från den, spara och stäng nano och skriv in terminalen:
sudo systemctl daemon-reload
sudo systemctl enable elasticsearch.service
sudo systemctl restart elasticsearch.service
Nu när Elasticsearch och MongoDB är konfigurerade kan vi ladda ner Graylog och installera det på Ubuntu.
För installationen måste du skriva följande:
wget https://packages.graylog2.org/repo/packages/graylog-2.4-repository_latest.deb
sudo dpkg -i graylog-2.4-repository_latest.deb
sudo apt-get update && sudo apt-get install graylog-server
Med hjälp av verktyget pwgen genererar de en hemlig nyckel.
pwgen -N 1 -s 96
När detta är gjort måste de kopiera vad terminalen visar dem och sedan redigera server.conf-filen och de kommer att ersätta "password_secret"-delen med vad det tidigare kommandot gav dem:
sudo nano /etc/graylog/server/server.conf
Sedan i "lösenord"-delen av följande kommando måste du ange ditt root-lösenord:
echo -n "contraseña " && head -1 </dev/stdin | tr -d '\n' | sha256sum | cut -d" " -f1
Återigen, kopiera terminalutgången och öppna filen server.conf i Nano. Och klistra in lösenordsutgången efter "root_password_sha2".
Nu måste de ställa in standardwebbadressen.
I samma fil ska du leta efter raden som innehåller "rest_listen_uri" och "web_listen_uri". När de har hittats måste de ta bort standardvärdena och ändra dem till sin ip-adress, något liknande detta:
rest_listen_uri =http://ip:12900/
web_listen_uri =http://ip:9000/
Spara i slutet filen och avsluta nano, efter detta måste du skriva:
sudo systemctl daemon-reload
sudo systemctl restart graylog-server
Och med detta kan du komma in från en webbläsare genom att skriva den IP-adress du har.