Graylog ist ein kostenloses Open-Source-Protokollverwaltungstool, das auf Java, ElasticSearch und MongoDB basiert. Graylog kann verwendet werden, um alle Serverprotokolle von einem zentralen oder verteilten Standort aus zu sammeln, zu indizieren und zu analysieren. Wir können mit Graylog problemlos alle ungewöhnlichen Aktivitäten zum Debuggen von Anwendungen und Protokollen überwachen. Graylog bietet eine leistungsstarke Abfragesprache, Warnfunktionen, eine Verarbeitungspipeline für die Datentransformation und vieles mehr. Wir können die Funktionalität von Graylog auch über eine REST-API und Add-Ons erweitern.
Derzeit gibt es noch keine offizielle Anleitung für Graylog v3.1 auf Debian 10.
Die Installation von Graylog v3.1 auf Debian 10 erfolgt in 9 Schritten:
- Schritt 1:Systeme mit Debian-Backport-Repositories aktualisieren
- Schritt 2:Hilfsprogramme installieren
- Schritt 3:Headless JAVA Runtime v11.00 installieren
- Schritt 4:Installieren Sie MongoDB v4.2, eine Datenbank zum Speichern der Konfigurationen und Metainformationen.
- Schritt 5:Installieren Sie Elasticsearch-OSS 6.x:Es speichert alle eingehenden Nachrichten und bietet eine Suchfunktion.
- Schritt 6:Installieren Sie Graylog v3.1 – Es empfängt und protokolliert verschiedene Eingaben und bietet eine Webschnittstelle für Analyse und Überwachung.
- Schritt 7:Graylog konfigurieren
- Schritt 8:Graylog testen
- Schritt 9:Graylog anmelden
Voraussetzung
- Ein minimales Debian 10. Wir können auf dieses Tutorial verweisen.
- Mindestens 4 GB RAM, 2-Kern-CPU und 20 GB Festplatten
- Standardpasswort:KataLaluan
- Standardgeheimnis: SecretRahsiaSecreta
- Root-Zugriff mit "su - ", Debian hat kürzlich das Verhalten des su-Befehls geändert. jetzt 'su ' Befehl ersetzt PATH nicht. Verwenden Sie "su - " statt.
Schritt 1:Systeme mit Debian Backport aktualisieren
Konfigurieren Sie das System so, dass es das Debian-Backports-Repository verwendet
cat > /etc/apt/sources.list << EOF
deb http://ftp.debian.org/debian/ buster main contrib non-free
deb http://security.debian.org/debian-security buster/updates main contrib non-free
deb http://ftp.debian.org/debian/ buster-updates main contrib non-free
deb http://ftp.debian.org/debian buster-backports main contrib non-free
EOF
apt -y update
apt -y dist-upgrade
Schritt 2 – Headless Java Runtime v11.00 installieren
Graylog und Elasticsearch sind Java-basierte Anwendungen. Daher müssen wir Java auf Ihrem System installieren. Standardmäßig ist die neueste Version von Java im Standard-Repository von Debian 10 verfügbar. Wir können es installieren, indem wir einfach den folgenden Befehl ausführen:
apt -y install apt-transport-https default-jdk
Schritt 3 – Hilfsprogramm installieren
Wir müssen einige nützliche Tools als Helfer in diesem Prozess installieren:
- GnuPG – eine Implementierung des OpenPGP-Standards zur Unterstützung des Schlüsselverwaltungssystems
- wget – ein Tool zum Abrufen von Dateien über HTTP, HTTPS und FTP, die am weitesten verbreiteten Internetprotokolle
apt -y install gnupg wget
Schritt 4 – Installieren Sie MongoDB v4.2
Standardmäßig ist MongoDB nicht im Standard-Repository von Debian 10 verfügbar. Daher müssen wir dem System das MongoDB-Repository hinzufügen:
apt-key adv --keyserver hkp://keyserver.ubuntu.com:80 --recv 4B7C549A058F8B6B
echo "deb http://repo.mongodb.org/apt/debian buster/mongodb-org/4.2 main" | tee /etc/apt/sources.list.d/latest-mongodb.list
apt -y update
apt install -y mongodb-org
MongoDB-Dienste aktivieren und neu starten:
systemctl enable mongod.service
systemctl start mongod.service
Schritt 5:Installieren Sie Elasticsearch-OSS 6.x
Momentan unterstützt Graylog v3.1 noch nicht Elasticsearch-OSS 7.x
Wir werden den Elasticsearch-Schlüssel und das Repository zu Debian hinzufügen. Mit dem von elastic.co bereitgestellten Elasticsearch-Repository können wir Elasticsearch durch Ausführen des folgenden Befehls installieren:
wget -qO - https://artifacts.elastic.co/GPG-KEY-elasticsearch | apt-key add -
echo "deb https://artifacts.elastic.co/packages/oss-6.x/apt stable main" | tee -a /etc/apt/sources.list.d/latest-elastic-6.x.list
apt -y update
apt -y install elasticsearch-oss
Konfigurieren Sie Elasticsearch für den Clusternamen
sed -i "s/#cluster.name: my-application/cluster.name: graylog-application/g" /etc/elasticsearch/elasticsearch.yml
Aktivieren Sie die Elasticsearch-Dienste und starten Sie sie neu:
systemctl enable elasticsearch.service
systemctl start elasticsearch.service
Schritt 6:Installieren Sie Graylog v3.1
Wir werden ein einfaches Graylog-Paket herunterladen, das dabei hilft, den Graylog-Schlüssel hinzuzufügen und das Graylog-Repository zu konfigurieren
cd /tmp/
wget https://packages.graylog2.org/repo/packages/graylog-3.1-repository_latest.deb
dpkg -i graylog-3.1-repository_latest.deb
apt -y update
Installieren Sie Graylog, indem Sie den folgenden Befehl ausführen:
apt -y install graylog-server
Schritt 7:Graylog konfigurieren
Hash das Passwort und kopiere den Hash. "KataLaluan " ist das aktuell ausgewählte Passwort.
echo 'KataLaluan' | tr -d '\n' | sha256sum | cut -d" " -f1
Fügen Sie das gehashte Passwort in der Graylog-Konfigurationsdatei hinzu
sed -i "s/^root_password_sha2 =\$/root_password_sha2 = a25d2f6605c9e27f182d39b66a8b527eb7f2360e52b2ccc7614f8ac24e472bef/g" /etc/graylog/server/server.conf
Fügen Sie das Secret in der Graylog-Konfigurationsdatei hinzu. Die Mindestlänge darin beträgt 16 Zeichen.
sed -i "s/^password_secret =\$/password_secret = SecretRahsiaSecreta/g" /etc/graylog/server/server.conf
Externen Zugriff auf Graylog zulassen
sed -i "s/^#http_bind_address = 127.0.0.1:9000/http_bind_address = 0.0.0.0:9000/g" /etc/graylog/server/server.conf
Ändern Sie die Zeitzone je nach Standort
sed -i "s/#root_timezone = UTC/root_timezone = Asia\/Kuala_Lumpur/g" /etc/graylog/server/server.conf
Graylog-Dienste aktivieren und neu starten:
systemctl enable graylog-server.service
systemctl start graylog-server.service
Wenn sich das Graylog hinter einem Router befindet, müssen wir die WAN-IP-Adresse des Routers in der Graylog-Konfiguration festlegen. Es können auch die A-Einträge eines DNS sein, die auf dieselbe IP-Adresse verweisen
sed -i '/http_publish_uri =/c\http_publish_uri = http://graylog.howtoforge.com:9000/' /etc/graylog/server/server.conf
Schritt 8:Graylog testen
Lassen Sie uns das Graylog mit einigen primitiven Befehlen testen
apt -y install netcat curl
Hier ist ein Beispielbefehl zum Protokollieren.
echo "Hello Graylog, let's be friends." | nc -w 1 -u 127.0.0.1 9099
Hier ist ein Beispielbefehl, um den API-Status des Graylog-Servers abzurufen.
curl -X GET http://localhost:9200
curl -XGET 'http://localhost:9200/_cluster/health?pretty=true'
Hier ist ein Beispielbefehl zum Abrufen des Graylog-Serverprotokolls.
tail -f /var/log/graylog-server/server.log
Schritt 9:Graylog anmelden
Lassen Sie die WebGUI verwenden. die URL kann sein:
- http://
:9000/ - http://<Öffentliche_IP-Adresse>:9000/
- http://
:9000/
Beispiel der URL
- http://192.168.0.3:9000/
- http://104.26.2.165:9000/
- http://graylog.howtoforge:9000/
Nachdem Sie die URL in einem Browser eingegeben haben, sollten wir die folgende Anmeldeseite sehen, der Standardbenutzername ist admin , und das ausgewählte Passwort ist KataLaluan,
Nach der Anmeldung sollten wir die folgende Graylog-Seite sehen:
Schlussfolgerung
Fertig, wir haben den Graylog 3.1-Server erfolgreich auf Debian 10 installiert und konfiguriert. Jetzt können wir die Protokolle und die Analyse der Systemprotokolle einfach am zentralen Ort anzeigen. Weitere Informationen finden Sie auf der Graylog-Dokumentationsseite. Bitte kommentieren und Feedback geben, wenn Sie Fragen haben.
Viel Spaß beim Loggen.