技术教程 · 2020年2月1日 0

如何在Debian 10上使用Graylog v3.1监视日志文件

Graylog是基于Java,ElasticSearch和MongoDB的免费开放源代码日志管理工具。Graylog可用于从集中式位置或分布式位置收集,索引和分析任何服务器日志  。我们可以使用Graylog轻松监视任何异常活动,以调试应用程序和日志。Graylog提供了强大的查询语言,警报功能,用于数据转换的处理管道等等。我们还可以通过REST API和附加组件扩展Graylog的功能。

目前,还没有Debian 10上Graylog v3.1的官方指南。

在Debian 10上安装Graylog v3.1的过程分为9个步骤:

  • 第1步:使用Debian Backport仓库更新系统
  • 第2步:安装一些  帮助程序
  • 步骤3:安装无头JAVA运行时v11.00
  • 步骤4:安装MongoDB v4.2,该数据库用于存储配置和元信息。
  • 步骤5:安装Elasticsearch-OSS 6.x:它存储所有传入消息并提供搜索工具。
  • 第6步:安装Graylog v3.1-它从各种输入中接收和记录日志,并提供用于分析和监视的Web界面。
  • 步骤7:配置Graylog
  • 步骤8:测试Graylog
  • 步骤9:登录Graylog

先决条件

  • 最小的Debian10。我们可以参考  本教程
  • 至少4 GB RAM,2个核心CPU和20GB磁盘
  • 预设密码:KataLaluan
  • 默认密码:  SecretRahsiaSecreta
  • 使用“ su- ”进行根访问,Debian最近更改了su命令的行为。现在,“ su ”命令不替换PATH。使用“ su- ”代替。

步骤1:使用Debian Backport更新系统

配置系统以使用Debian backports仓库

cat > /etc/apt/sources.list << EOF
deb http://ftp.debian.org/debian/ buster main contrib non-free
deb http://security.debian.org/debian-security buster/updates main contrib non-free
deb http://ftp.debian.org/debian/ buster-updates main contrib non-free
deb http://ftp.debian.org/debian buster-backports main contrib non-free
EOF
apt -y update
apt -y dist-upgrade

第2步-安装无头Java运行时v11.00

Graylog和  Elasticsearch是基于Java的应用程序。因此,我们需要将Java安装到您的系统中。默认情况下,Debian 10默认存储库中提供了最新版本的Java。我们可以通过运行以下命令来安装它:

apt -y install apt-transport-https default-jdk

第3步-安装一些  帮助程序

在此过程中,我们需要安装一些有用的工具作为辅助工具:

  • GnuPG- OpenPGP标准的  实现,有助于  密钥管理系统
  • wget- 使用HTTP,HTTPS和FTP(最广泛使用的Internet协议)检索文件的工具
apt -y install gnupg wget

步骤4-安装MongoDB v4.2

默认情况下,MongoDB在Debian 10默认存储库中不可用。因此,我们需要将MongoDB存储库添加到系统中:

apt-key adv --keyserver hkp://keyserver.ubuntu.com:80 --recv 4B7C549A058F8B6B
echo "deb http://repo.mongodb.org/apt/debian buster/mongodb-org/4.2 main" | tee /etc/apt/sources.list.d/latest-mongodb.list
apt -y update
apt install -y mongodb-org

启用并重新启动MongoDB服务:

systemctl enable mongod.service
systemctl start mongod.service

步骤5:安装Elasticsearch-OSS 6.x

在这  一刻,  Graylog V3.1不支持  Elasticsearch-OSS 7.x的还

我们将把Elasticsearch密钥和存储库添加到Debian。使用elastic.co提供的elasticsearch存储库,我们可以通过运行以下命令来安装Elasticsearch  :

wget -qO - https://artifacts.elastic.co/GPG-KEY-elasticsearch | apt-key add -
echo "deb https://artifacts.elastic.co/packages/oss-6.x/apt stable main" | tee -a /etc/apt/sources.list.d/latest-elastic-6.x.list
apt -y update
apt -y install elasticsearch-oss

为集群名称配置  Elasticsearch

sed -i "s/#cluster.name: my-application/cluster.name: graylog-application/g" /etc/elasticsearch/elasticsearch.yml

启用并重新启动  Elasticsearch服务:

systemctl enable elasticsearch.service
systemctl start elasticsearch.service

步骤6:安装Graylog v3.1

我们将下载一个简单的Graylog软件包,该软件包有助于添加Graylog密钥并配置  Graylog  存储库

cd /tmp/
wget https://packages.graylog2.org/repo/packages/graylog-3.1-repository_latest.deb
dpkg -i graylog-3.1-repository_latest.deb
apt -y update

通过运行以下命令来安装Graylog  :

apt -y install graylog-server

步骤7:配置Graylog

哈希密码,然后复制哈希。“ KataLaluan ”是当前选择的密码。

echo 'KataLaluan' | tr -d '\n' | sha256sum | cut -d" " -f1

在Graylog配置文件中添加哈希密码

sed -i "s/^root_password_sha2 =\$/root_password_sha2 = a25d2f6605c9e27f182d39b66a8b527eb7f2360e52b2ccc7614f8ac24e472bef/g" /etc/graylog/server/server.conf

在Graylog配置文件中添加密钥,其最小长度为16个字符。

sed -i "s/^password_secret =\$/password_secret = SecretRahsiaSecreta/g" /etc/graylog/server/server.conf

允许外部访问Graylog

sed -i "s/^#http_bind_address = 127.0.0.1:9000/http_bind_address = 0.0.0.0:9000/g" /etc/graylog/server/server.conf

将时区更改为位置

sed -i "s/#root_timezone = UTC/root_timezone = Asia\/Kuala_Lumpur/g" /etc/graylog/server/server.conf

启用并重新启动G raylog服务:

systemctl enable graylog-server.service
systemctl start graylog-server.service

如果Graylog位于路由器后面,则必须将路由器WAN的IP地址设置为Graylog配置。也可以是指向相同IP地址的DNS的A记录

sed -i '/http_publish_uri =/c\http_publish_uri = http://graylog.howtoforge.com:9000/' /etc/graylog/server/server.conf

步骤8:测试Graylog

让我们使用一些原始命令测试Graylog

apt -y install netcat curl

这是一些示例命令要记录。

echo "Hello Graylog, let's be friends." | nc -w 1 -u 127.0.0.1 9099

这是获取Graylog服务器API状态的一些示例命令。

curl -X GET http://localhost:9200
curl -XGET 'http://localhost:9200/_cluster/health?pretty=true'

这是获取Graylog服务器日志的一些示例命令。

tail -f /var/log/graylog-server/server.log

步骤9:登录Graylog

让我们使用WebGUI。该URL可以是:

  • http:// <本地IP地址>:9000 /
  • http:// <公共IP地址>:9000 /
  • http:// <ARecord>:9000 /

URL样本

  • http://192.168.0.3:9000/
  • http://104.26.2.165:9000/
  • http://graylog.howtoforge:9000 /

在浏览器中输入网址后,我们应该会看到以下登录页面,默认用户名是admin,所选密码是  KataLaluan,

登录后,我们应该看到以下Graylog页面:

结论

完成后,我们已经在Debian 10上成功安装并配置了Graylog 3.1服务器。现在,我们可以轻松地在中央位置查看日志并分析系统日志。

原文:https://www.howtoforge.com/how-to-monitor-log-files-with-graylog-v31-on-debian-10/