Graylog là một nền tảng mạnh mẽ cho phép quản lý dễ dàng các bản ghi dữ liệu có cấu trúc và phi cấu trúc cùng với các ứng dụng gỡ lỗi. Nó dựa trên Elasticsearch, MongoDB và Scala.
Nó có một máy chủ chính, nhận dữ liệu từ các máy khách được cài đặt trên các máy chủ khác nhau và một giao diện web, hiển thị dữ liệu và cho phép làm việc với các bản ghi do máy chủ chính thêm vào.
Về Graylog
greylog nó hiệu quả khi làm việc với các chuỗi thô (tức là nhật ký hệ thống) - công cụ phân tích cú pháp nó thành dữ liệu có cấu trúc mà chúng ta cần.
Nó cũng cho phép tìm kiếm tùy chỉnh nâng cao các bản ghi bằng cách sử dụng các truy vấn có cấu trúc.
Nói cách khác, khi được tích hợp đúng cách với ứng dụng web, Graylog sẽ giúp các kỹ sư phân tích hành vi của hệ thống gần như trên mỗi dòng mã.
Ưu điểm chính của Graylog là nó cung cấp một phiên bản thu thập nhật ký hoàn hảo duy nhất cho toàn bộ hệ thống.
Điều này rất hữu ích nếu cơ sở hạ tầng hệ thống lớn và phức tạp. Nó có thể được phân phối ở nhiều nơi và không phải tất cả các thành viên trong nhóm đều có thể truy cập ngay vào tất cả các thành phần của nó.
Với Graylog, chúng tôi giải quyết những vấn đề này và đảm bảo rằng thời gian phản hồi sự cố của chúng tôi nhanh chóng.
Trong Logicify, nó có thể được sử dụng cho cả ứng dụng đang phát triển và những ứng dụng đã được phát hành công khai. Trong cả hai trường hợp, một số chế độ ứng dụng Graylog là duy nhất, trong khi các chế độ khác giao nhau.
Cài đặt Graylog
Công cụ này có thể được tìm thấy trong hầu hết các bản phân phối Linux, nhưng cần phải thực hiện một số cấu hình trước khi cài đặt.
Trong trường hợp của những người dùng Debian, Ubuntu và người dùng phái sinh, họ phải làm như sau.
Chúng ta sẽ mở một thiết bị đầu cuối và trong đó chúng ta sẽ nhập các lệnh sau:
sudo apt install apt-transport-https openjdk-8-jre-headless uuid-runtime pwgen
Sau khi cấu hình các gói cơ bản, họ phải định cấu hình hệ thống MongoDB với:
sudo apt-key adv --keyserver hkp://keyserver.ubuntu.com:80 --recv 2930ADAE8CAF5059EE73BB4B58712A2291FA4AD5
echo "deb [ arch=amd64,arm64 ] https://repo.mongodb.org/apt/ubuntu xenial/mongodb-org/3.6 multiverse" | sudo tee /etc/apt/sources.list.d/mongodb-org-3.6.list
sudo apt update
sudo apt install -y mongodb-org
Sau khi cài đặt MongoDB, hãy khởi động cơ sở dữ liệu bằng:
sudo systemctl daemon-reload
sudo systemctl enable mongod.service
sudo systemctl restart mongod.service
Sau MongoDB, bạn nên cài đặt công cụ Elasticsearch, vì Graylog sử dụng nó như một phần mềm phụ trợ.
wget -qO - https://artifacts.elastic.co/GPG-KEY-elasticsearch | sudo apt-key add -
echo "deb https://artifacts.elastic.co/packages/5.x/apt stable main" | sudo tee -a /etc/apt/sources.list.d/elastic-5.x.list
sudo apt update && sudo apt install elasticsearch
Sửa đổi tệp YML Elasticsearch bằng:
sudo nano /etc/elasticsearch/elasticsearch.yml
Bây giờ họ nên tìm dòng sau:
#cluster.name: graylog
Và xóa # khỏi nó, lưu và đóng nano và nhập vào thiết bị đầu cuối:
sudo systemctl daemon-reload
sudo systemctl enable elasticsearch.service
sudo systemctl restart elasticsearch.service
Bây giờ Elasticsearch và MongoDB đã được cấu hình, chúng ta có thể tải xuống Graylog và cài đặt nó trên Ubuntu.
Để cài đặt nó, bạn phải nhập như sau:
wget https://packages.graylog2.org/repo/packages/graylog-2.4-repository_latest.deb
sudo dpkg -i graylog-2.4-repository_latest.deb
sudo apt-get update && sudo apt-get install graylog-server
Sử dụng công cụ pwgen, chúng tạo ra một khóa bí mật.
pwgen -N 1 -s 96
Khi điều này được thực hiện, họ phải sao chép những gì thiết bị đầu cuối hiển thị cho họ và sau đó chỉnh sửa tệp server.conf và họ sẽ thay thế phần "password_secret" bằng những gì lệnh trước đó đã cung cấp cho họ:
sudo nano /etc/graylog/server/server.conf
Sau đó, trong phần "mật khẩu" của lệnh sau, bạn phải đặt mật khẩu gốc của mình:
echo -n "contraseña " && head -1 </dev/stdin | tr -d '\n' | sha256sum | cut -d" " -f1
Một lần nữa, sao chép đầu ra mà thiết bị đầu cuối hiển thị cho bạn và mở tệp server.conf trong Nano. Và dán đầu ra mật khẩu sau "root_password_sha2".
Bây giờ họ sẽ đặt địa chỉ web mặc định.
Trong cùng một tệp, họ phải tìm dòng có chứa "rest_listen_uri" và "web_listen_uri". Sau khi được định vị, họ phải xóa các giá trị mặc định và thay đổi chúng thành địa chỉ IP của họ, tương tự như sau:
rest_listen_uri =http://ip:12900/
web_listen_uri =http://ip:9000/
Cuối cùng, hãy lưu tệp và thoát nano, sau đó bạn phải nhập:
sudo systemctl daemon-reload
sudo systemctl restart graylog-server
Và với điều này, bạn có thể nhập từ trình duyệt web bằng cách nhập địa chỉ IP mà bạn có.