Graylog是基于Java,ElasticSearch和MongoDB的免费开放源代码日志管理工具。Graylog可用于从集中式位置或分布式位置收集,索引和分析任何服务器日志 。我们可以使用Graylog轻松监视任何异常活动,以调试应用程序和日志。Graylog提供了强大的查询语言,警报功能,用于数据转换的处理管道等等。我们还可以通过REST API和附加组件扩展Graylog的功能。
目前,还没有Debian 10上Graylog v3.1的官方指南。
在Debian 10上安装Graylog v3.1的过程分为9个步骤:
- 第1步:使用Debian Backport仓库更新系统
- 第2步:安装一些 帮助程序
- 步骤3:安装无头JAVA运行时v11.00
- 步骤4:安装MongoDB v4.2,该数据库用于存储配置和元信息。
- 步骤5:安装Elasticsearch-OSS 6.x:它存储所有传入消息并提供搜索工具。
- 第6步:安装Graylog v3.1-它从各种输入中接收和记录日志,并提供用于分析和监视的Web界面。
- 步骤7:配置Graylog
- 步骤8:测试Graylog
- 步骤9:登录Graylog
先决条件
- 最小的Debian10。我们可以参考 本教程。
- 至少4 GB RAM,2个核心CPU和20GB磁盘
- 预设密码:KataLaluan
- 默认密码: SecretRahsiaSecreta
- 使用“ su- ”进行根访问,Debian最近更改了su命令的行为。现在,“ su ”命令不替换PATH。使用“ su- ”代替。
步骤1:使用Debian Backport更新系统
配置系统以使用Debian backports仓库
cat > /etc/apt/sources.list << EOF
deb http://ftp.debian.org/debian/ buster main contrib non-free
deb http://security.debian.org/debian-security buster/updates main contrib non-free
deb http://ftp.debian.org/debian/ buster-updates main contrib non-free
deb http://ftp.debian.org/debian buster-backports main contrib non-free
EOF
apt -y update
apt -y dist-upgrade
第2步-安装无头Java运行时v11.00
Graylog和 Elasticsearch是基于Java的应用程序。因此,我们需要将Java安装到您的系统中。默认情况下,Debian 10默认存储库中提供了最新版本的Java。我们可以通过运行以下命令来安装它:
apt -y install apt-transport-https default-jdk
第3步-安装一些 帮助程序
在此过程中,我们需要安装一些有用的工具作为辅助工具:
- GnuPG- OpenPGP标准的 实现,有助于 密钥管理系统
- wget- 使用HTTP,HTTPS和FTP(最广泛使用的Internet协议)检索文件的工具
apt -y install gnupg wget
步骤4-安装MongoDB v4.2
默认情况下,MongoDB在Debian 10默认存储库中不可用。因此,我们需要将MongoDB存储库添加到系统中:
apt-key adv --keyserver hkp://keyserver.ubuntu.com:80 --recv 4B7C549A058F8B6B
echo "deb http://repo.mongodb.org/apt/debian buster/mongodb-org/4.2 main" | tee /etc/apt/sources.list.d/latest-mongodb.list
apt -y update
apt install -y mongodb-org
启用并重新启动MongoDB服务:
systemctl enable mongod.service
systemctl start mongod.service
步骤5:安装Elasticsearch-OSS 6.x
在这 一刻, Graylog V3.1不支持 Elasticsearch-OSS 7.x的还
我们将把Elasticsearch密钥和存储库添加到Debian。使用elastic.co提供的elasticsearch存储库,我们可以通过运行以下命令来安装Elasticsearch :
wget -qO - https://artifacts.elastic.co/GPG-KEY-elasticsearch | apt-key add -
echo "deb https://artifacts.elastic.co/packages/oss-6.x/apt stable main" | tee -a /etc/apt/sources.list.d/latest-elastic-6.x.list
apt -y update
apt -y install elasticsearch-oss
为集群名称配置 Elasticsearch
sed -i "s/#cluster.name: my-application/cluster.name: graylog-application/g" /etc/elasticsearch/elasticsearch.yml
启用并重新启动 Elasticsearch服务:
systemctl enable elasticsearch.service
systemctl start elasticsearch.service
步骤6:安装Graylog v3.1
我们将下载一个简单的Graylog软件包,该软件包有助于添加Graylog密钥并配置 Graylog 存储库
cd /tmp/
wget https://packages.graylog2.org/repo/packages/graylog-3.1-repository_latest.deb
dpkg -i graylog-3.1-repository_latest.deb
apt -y update
通过运行以下命令来安装Graylog :
apt -y install graylog-server
步骤7:配置Graylog
哈希密码,然后复制哈希。“ KataLaluan ”是当前选择的密码。
echo 'KataLaluan' | tr -d '\n' | sha256sum | cut -d" " -f1
在Graylog配置文件中添加哈希密码
sed -i "s/^root_password_sha2 =\$/root_password_sha2 = a25d2f6605c9e27f182d39b66a8b527eb7f2360e52b2ccc7614f8ac24e472bef/g" /etc/graylog/server/server.conf
在Graylog配置文件中添加密钥,其最小长度为16个字符。
sed -i "s/^password_secret =\$/password_secret = SecretRahsiaSecreta/g" /etc/graylog/server/server.conf
允许外部访问Graylog
sed -i "s/^#http_bind_address = 127.0.0.1:9000/http_bind_address = 0.0.0.0:9000/g" /etc/graylog/server/server.conf
将时区更改为位置
sed -i "s/#root_timezone = UTC/root_timezone = Asia\/Kuala_Lumpur/g" /etc/graylog/server/server.conf
启用并重新启动G raylog服务:
systemctl enable graylog-server.service
systemctl start graylog-server.service
如果Graylog位于路由器后面,则必须将路由器WAN的IP地址设置为Graylog配置。也可以是指向相同IP地址的DNS的A记录
sed -i '/http_publish_uri =/c\http_publish_uri = http://graylog.howtoforge.com:9000/' /etc/graylog/server/server.conf
步骤8:测试Graylog
让我们使用一些原始命令测试Graylog
apt -y install netcat curl
这是一些示例命令要记录。
echo "Hello Graylog, let's be friends." | nc -w 1 -u 127.0.0.1 9099
这是获取Graylog服务器API状态的一些示例命令。
curl -X GET http://localhost:9200
curl -XGET 'http://localhost:9200/_cluster/health?pretty=true'
这是获取Graylog服务器日志的一些示例命令。
tail -f /var/log/graylog-server/server.log
步骤9:登录Graylog
让我们使用WebGUI。该URL可以是:
- http:// <本地IP地址>:9000 /
- http:// <公共IP地址>:9000 /
- http:// <ARecord>:9000 /
URL样本
- http://192.168.0.3:9000/
- http://104.26.2.165:9000/
- http://graylog.howtoforge:9000 /
在浏览器中输入网址后,我们应该会看到以下登录页面,默认用户名是admin,所选密码是 KataLaluan,
登录后,我们应该看到以下Graylog页面:
结论
完成后,我们已经在Debian 10上成功安装并配置了Graylog 3.1服务器。现在,我们可以轻松地在中央位置查看日志并分析系统日志。
原文:https://www.howtoforge.com/how-to-monitor-log-files-with-graylog-v31-on-debian-10/