如何在Debian 10上使用Graylog v3.1监视日志文件

Graylog是基于Java，ElasticSearch和MongoDB的免费开放源代码日志管理工具。Graylog可用于从集中式位置或分布式位置收集，索引和分析任何服务器日志  。我们可以使用Graylog轻松监视任何异常活动，以调试应用程序和日志。Graylog提供了强大的查询语言，警报功能，用于数据转换的处理管道等等。我们还可以通过REST API和附加组件扩展Graylog的功能。

目前，还没有Debian 10上Graylog v3.1的官方指南。

在Debian 10上安装Graylog v3.1的过程分为9个步骤：

• 第1步：使用Debian Backport仓库更新系统
• 第2步：安装一些  帮助程序
• 步骤3：安装无头JAVA运行时v11.00
• 步骤4：安装MongoDB v4.2，该数据库用于存储配置和元信息。
• 步骤5：安装Elasticsearch-OSS 6.x：它存储所有传入消息并提供搜索工具。
• 第6步：安装Graylog v3.1-它从各种输入中接收和记录日志，并提供用于分析和监视的Web界面。
• 步骤7：配置Graylog
• 步骤8：测试Graylog
• 步骤9：登录Graylog

先决条件

• 最小的Debian10。我们可以参考  本教程。
• 至少4 GB RAM，2个核心CPU和20GB磁盘
• 预设密码：KataLaluan
• 默认密码：  SecretRahsiaSecreta
• 使用“ su- ”进行根访问，Debian最近更改了su命令的行为。现在，“ su ”命令不替换PATH。使用“ su- ”代替。

步骤1：使用Debian Backport更新系统

配置系统以使用Debian backports仓库

cat > /etc/apt/sources.list << EOF
deb http://ftp.debian.org/debian/ buster main contrib non-free
deb http://security.debian.org/debian-security buster/updates main contrib non-free
deb http://ftp.debian.org/debian/ buster-updates main contrib non-free
deb http://ftp.debian.org/debian buster-backports main contrib non-free
EOF
apt -y update
apt -y dist-upgrade

第2步-安装无头Java运行时v11.00

Graylog和  Elasticsearch是基于Java的应用程序。因此，我们需要将Java安装到您的系统中。默认情况下，Debian 10默认存储库中提供了最新版本的Java。我们可以通过运行以下命令来安装它：

apt -y install apt-transport-https default-jdk

第3步-安装一些  帮助程序

在此过程中，我们需要安装一些有用的工具作为辅助工具：

• GnuPG- OpenPGP标准的  实现，有助于  密钥管理系统
• wget- 使用HTTP，HTTPS和FTP（最广泛使用的Internet协议）检索文件的工具

apt -y install gnupg wget

步骤4-安装MongoDB v4.2

默认情况下，MongoDB在Debian 10默认存储库中不可用。因此，我们需要将MongoDB存储库添加到系统中：

apt-key adv --keyserver hkp://keyserver.ubuntu.com:80 --recv 4B7C549A058F8B6B
echo "deb http://repo.mongodb.org/apt/debian buster/mongodb-org/4.2 main" | tee /etc/apt/sources.list.d/latest-mongodb.list
apt -y update
apt install -y mongodb-org

启用并重新启动MongoDB服务：

systemctl enable mongod.service
systemctl start mongod.service

步骤5：安装Elasticsearch-OSS 6.x

在这  一刻，  Graylog V3.1不支持  Elasticsearch-OSS 7.x的还

我们将把Elasticsearch密钥和存储库添加到Debian。使用elastic.co提供的elasticsearch存储库，我们可以通过运行以下命令来安装Elasticsearch  ：

wget -qO - https://artifacts.elastic.co/GPG-KEY-elasticsearch | apt-key add -
echo "deb https://artifacts.elastic.co/packages/oss-6.x/apt stable main" | tee -a /etc/apt/sources.list.d/latest-elastic-6.x.list
apt -y update
apt -y install elasticsearch-oss

为集群名称配置  Elasticsearch

sed -i "s/#cluster.name: my-application/cluster.name: graylog-application/g" /etc/elasticsearch/elasticsearch.yml

启用并重新启动  Elasticsearch服务：

systemctl enable elasticsearch.service
systemctl start elasticsearch.service

步骤6：安装Graylog v3.1

我们将下载一个简单的Graylog软件包，该软件包有助于添加Graylog密钥并配置  Graylog  存储库

cd /tmp/
wget https://packages.graylog2.org/repo/packages/graylog-3.1-repository_latest.deb
dpkg -i graylog-3.1-repository_latest.deb
apt -y update

通过运行以下命令来安装Graylog  ：

apt -y install graylog-server

步骤7：配置Graylog

哈希密码，然后复制哈希。“ KataLaluan ”是当前选择的密码。

echo 'KataLaluan' | tr -d '\n' | sha256sum | cut -d" " -f1

在Graylog配置文件中添加哈希密码

sed -i "s/^root_password_sha2 =\$/root_password_sha2 = a25d2f6605c9e27f182d39b66a8b527eb7f2360e52b2ccc7614f8ac24e472bef/g" /etc/graylog/server/server.conf

在Graylog配置文件中添加密钥，其最小长度为16个字符。

sed -i "s/^password_secret =\$/password_secret = SecretRahsiaSecreta/g" /etc/graylog/server/server.conf

允许外部访问Graylog

sed -i "s/^#http_bind_address = 127.0.0.1:9000/http_bind_address = 0.0.0.0:9000/g" /etc/graylog/server/server.conf

将时区更改为位置

sed -i "s/#root_timezone = UTC/root_timezone = Asia\/Kuala_Lumpur/g" /etc/graylog/server/server.conf

启用并重新启动G raylog服务：

systemctl enable graylog-server.service
systemctl start graylog-server.service

如果Graylog位于路由器后面，则必须将路由器WAN的IP地址设置为Graylog配置。也可以是指向相同IP地址的DNS的A记录

sed -i '/http_publish_uri =/c\http_publish_uri = http://graylog.howtoforge.com:9000/' /etc/graylog/server/server.conf

步骤8：测试Graylog

让我们使用一些原始命令测试Graylog

apt -y install netcat curl

这是一些示例命令要记录。

echo "Hello Graylog, let's be friends." | nc -w 1 -u 127.0.0.1 9099

这是获取Graylog服务器API状态的一些示例命令。

curl -X GET http://localhost:9200
curl -XGET 'http://localhost:9200/_cluster/health?pretty=true'

这是获取Graylog服务器日志的一些示例命令。

tail -f /var/log/graylog-server/server.log

步骤9：登录Graylog

让我们使用WebGUI。该URL可以是：

• http：// <本地IP地址>：9000 /
• http：// <公共IP地址>：9000 /
• http：// <ARecord>：9000 /

URL样本

• http://192.168.0.3:9000/
• http://104.26.2.165:9000/
• http://graylog.howtoforge:9000 /

在浏览器中输入网址后，我们应该会看到以下登录页面，默认用户名是admin，所选密码是  KataLaluan，

登录后，我们应该看到以下Graylog页面：

结论

完成后，我们已经在Debian 10上成功安装并配置了Graylog 3.1服务器。现在，我们可以轻松地在中央位置查看日志并分析系统日志。

原文：https://www.howtoforge.com/how-to-monitor-log-files-with-graylog-v31-on-debian-10/