Cara Memantau File Log dengan Graylog2 di Debian 9
Cara Memantau File Log dengan Graylog2 di Debian 9
Ini kerja sama tim, tapi lebih sederhana, lebih menyenangkan, dan lebih produktif.
Graylog adalah alat pengelolaan log sumber gratis dan terbuka berbasis Java, Elasticsearch, dan MongoDB yang dapat digunakan untuk mengumpulkan, mengindeks, dan menganalisis log server apa pun dari lokasi terpusat. Anda dapat dengan mudah memantau SSH login dan aktivitas tidak biasa untuk debugging aplikasi dan log menggunakan Graylog. Graylog menyediakan bahasa query yang kuat, mengingatkan kemampuan, jalur pemrosesan untuk transformasi data dan banyak lagi. Anda dapat memperluas fungsi Graylog melalui API REST dan Add-on.
Graylog terdiri dari tiga komponen:
- Elasticsearch: Ini menyimpan semua pesan masuk dan menyediakan fasilitas pencarian.
- MongoDB: Ini digunakan untuk database, menyimpan konfigurasi dan informasi meta.
- Server Graylog: Menerima dan memproses pesan dari berbagai masukan dan menyediakan antarmuka web untuk analisis dan pemantauan.
Dalam tutorial ini, kami akan menjelaskan cara menginstal Graylog2 di Debian 9 Server.
Prasyarat
- Server yang menjalankan Debian 9.
- RAM minimum 4 GB.
- Konfigurasi alamat IP 192.168.0.187 statis di server Anda.
1 Pasang Paket yang Diperlukan
Sebelum memulai, Anda perlu menginstal Java 8 dan paket lain yang dibutuhkan ke sistem Anda. Tidak semua paket yang dibutuhkan tersedia di repositori standar Debian 9, jadi Anda perlu menambahkan Backports Debian ke daftar sumber paket. Pertama, masuk dengan pengguna root dan buat file backport.list:
nano /etc/apt/sources.list.d/backport.list
Tambahkan baris berikut:
deb http://ftp.debian.org/debian jessie-backports utama
Simpan file ketika Anda selesai, kemudian perbarui sistem Anda dengan perintah berikut:
pembaruan apt-get -y
apt-get upgrade -y
Setelah sistem Anda terbaru, instal semua paket dengan perintah berikut:
apt-get install apt-transport-https openjdk-8-jre-headless uuid-runtime pwgen -y
Setelah semua paket yang diperlukan diinstal, Anda dapat melanjutkan untuk menginstal MongoDB.
2 Instal MongoDB
MongoDB diperlukan untuk menyimpan konfigurasi dan informasi meta. MongoDB tersedia di repositori default Debian 9, sehingga Anda dapat menginstal MongoDB hanya dengan menjalankan perintah berikut:
apt-get install mongodb-server -y
Setelah MongoDB diinstal, Anda dapat melanjutkan untuk menginstal Elasticsearch.
3 Pasang Elasticsearch
Elasticsearch bertindak sebagai server pencarian yang menyimpan semua log yang dikirim oleh server Graylog dan menampilkan pesan setiap kali Anda meminta. Elasticsearch tidak tersedia di repositori default Debian 9. Anda perlu menambahkan repositori Elasticsearch ke sumber paket Debian.
Pertama, unduh dan tambahkan kunci GPG Elasticsearch dengan perintah berikut:
wget -qO - https://packages.elastic.co/GPG-KEY-elasticsearch | apt-key add -
Selanjutnya, buat file repo Elasticsearch dengan perintah berikut:
nano /etc/apt/sources.list.d/elasticsearch.list
Tambahkan baris berikut:
deb https://packages.elastic.co/elasticsearch/2.x/debian stabil utama
Simpan file ketika Anda selesai, kemudian perbarui repositori dengan menjalankan perintah berikut:
pembaruan apt-get -y
Selanjutnya, instal Elasticsearch dengan menjalankan perintah berikut:
apt-get install elasticsearch -y
Setelah Elasticsearch diinstal, Anda perlu memodifikasi file konfigurasi utama Elasticsearch:
nano /etc/elasticsearch/elasticsearch.yml
Buat perubahan berikut:
cluster.name: graylog network.host: 192.168.0.187 discovery.zen.ping.timeout: 10s discovery.zen.ping.multicast.enabled: false discovery.zen.ping.unicast.hosts: ["192.168.0.187: 9300"]
Simpan dan tutup file ketika Anda selesai, kemudian mulai layanan Elasticsearch dan aktifkan untuk memulai saat boot:
systemctl memulai elasticsearch
systemctl memungkinkan elasticsearch
Setelah beberapa detik, jalankan yang berikut untuk menguji bahwa Elasticsearch berjalan dengan benar:
curl -XGET 'http: // 192.168.0.187: 9200 / _cluster / health? pretty = true'
Pastikan output menunjukkan status kluster sebagai "hijau":
{"cluster_name": "graylog", "status": "green", "timed_out": false, "number_of_nodes": 1, "number_of_data_nodes": 1, "active_primary_shards": 1, "active_shards": 1, "relocating_shard" : 0, "inisialisasi_shards": 0, "unassigned_shards": 1, "penundaan_unassigned_shards": 0, "number_of_pending_tasks": 0, "number_of_in_flight_fetch": 0, "_ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _0_03_03
Setelah Elasticsearch diinstal dan berfungsi dengan baik, Anda dapat melanjutkan ke langkah berikutnya.
4 Instal Graylog
Graylog tidak tersedia di repositori default Debian 9, jadi Anda harus mengunduh dan menginstal Graylog 2 repositori terlebih dahulu. Anda dapat melakukan ini dengan menjalankan perintah berikut:
wget https://packages.graylog2.org/repo/packages/graylog-2.2-repository_latest.deb
dpkg -i graylog-2.2-repository_latest.deb
Setelah repositori diinstal, perbarui repositori dan instal server Graylog dengan perintah berikut:
pembaruan apt-get -y
apt-get install graylog-server -y
Setelah menginstal Graylog, Anda perlu mengatur rahasia untuk mengamankan kata sandi pengguna dan juga menetapkan kata sandi hash (sha256) untuk pengguna root.
Pertama, buat password_secret dengan perintah berikut:
pwgen -N 1 -s 96
Anda seharusnya melihat output berikut:
TRXbNPoW4gGC8BN8Gzl4wH3jtfLoi06WCJqia18UtYyPaNLx4r8U7jUPRlIJHoGGxrCjZVqAvW2DcueI6N1zHoy2bKEWLyyC
Selanjutnya, buat kata sandi hash untuk pengguna root dengan perintah berikut:
echo -n youradminpassword | sha256sum
Anda seharusnya melihat output berikut:
e3c5925aa22abdfa18cf197a7b218fcad31acb6409d2e2dbebae807d3a9750ee
Catatan: Ingat kedua kunci kata sandi, karena kedua kunci perlu dikonfigurasi di server.conf.
Selanjutnya, Anda perlu memodifikasi file konfigurasi utama server Graylog yang terletak di direktori / etc / graylog / server /:
nano /etc/graylog/server/server.conf
Buat perubahan berikut:
is_master = true node_id_file = / etc / graylog / server / node-id ######## masa lalu-Anda-sandi rahasia-sini ######### password_secret = TRXbNPoW4gGC8BN8Gzl4wH3jtfLoi06WCJqia18UtYyPaNLx4r8U7jUPRlIJHoGGxrCjZVqAvW2DcueI6N1zHoy2bKEWLyyC root_username = admin ### #### masa lalu-Anda-akar-hash-sandi-sini ########## root_password_sha2 = e3c5925aa22abdfa18cf197a7b218fcad31acb6409d2e2dbebae807d3a9750ee root_timezone = UTC plugin_dir = / usr / share / graylog-server / plugin rest_listen_uri = http: // 0.0.0.0 : 9000 / api / rest_enable_cors = true web_listen_uri = http: // 0.0.0.0: 9000 / rotation_strategy = count elasticsearch_max_docs_per_index = 20000000 elasticsearch_max_number_of_indices = 7 retention_strategy = menghapus elasticsearch_shards = 4 elasticsearch_replicas = 1 elasticsearch_index_prefix = graylog allow_leading_wildcard_searches = true allow_highlighting = false elasticsearch_cluster_name = graylog elasticsearch_ discovery_zen_ping_unicast_hosts = 192.168.0.187: 9300 elasticsearch_http_enabled = false elasticsearch_network_host = 0.0.00 elasticsearch_discovery_initial_state_timeout = 3s elasticsearch_analyzer = standar output_batch_size = 500 output_flush_interval = 1 output_fault_count_threshold = 5 output_fault_penalty_seconds = 30 processbuffer_processors = 5 outputbuffer_processors = 3 processor_wait_strategy = memblokir ring_size = 65536 inputbuffer_ring_size = 65536 inputbuffer_processors = 2 inputbuffer_wait_strategy = memblokir message_journal_enabled = true message_journal_dir = / var / lib / graylog-server / jurnal async_eventbus_processors = 2 lb_recognition_period_seconds = 3 alert_check_interval = 60 mongodb_uri = mongodb: // localhost / graylog mongodb_max_connections = 1000 mongodb_threads_allowed_to_block_multiplier = 5 content_packs_dir = / usr / share / graylog-server / contentpacks content_packs_auto_load = grok-patterns.json proxied_requests_thread_pool_siz e = 32
Simpan dan tutup file ketika Anda selesai, kemudian mulai layanan Graylog dan aktifkan untuk memulai saat boot:
systemctl mulai graylog-server
systemctl memungkinkan graylog-server
Setelah Anda selesai, Anda dapat melanjutkan ke langkah berikutnya
5 Konfigurasi Firewall
Secara default, antarmuka web Graylog mendengarkan pada port 9000, jadi Anda harus mengizinkan port 9000 melalui firewall UFW. Firewall UFW tidak diinstal di Debian 9. Jadi Anda perlu menginstalnya terlebih dahulu. Anda dapat menginstalnya dengan menjalankan perintah berikut:
apt-get install ufw -y
Setelah UFW diinstal, aktifkan dengan menjalankan perintah berikut;
ufw aktifkan
Selanjutnya, izinkan port 9000 melalui firewall UFW dengan menjalankan perintah berikut:
ufw memungkinkan 9000
Anda dapat memeriksa status firewall UFW kapan saja dengan menjalankan perintah berikut.
status ufw
Setelah firewall dikonfigurasi, Anda dapat melanjutkan ke langkah berikutnya.
6 Access Graylog Web Interface
Antarmuka web Graylog sedang mendengarkan di port 9000. Sekarang, buka browser web Anda dan ketikkan URL http://192.168.0.187:9000, Anda harus melihat layar berikut:
Login dengan nama pengguna “admin”Dan kata sandi yang Anda konfigurasikan di root_password_sha2 di server.conf. Anda seharusnya melihat layar berikut:
Selanjutnya, Anda perlu menambahkan input untuk menerima pesan syslog menggunakan UDP. Untuk menambahkan input, Klik pada Sistem -> pilih Input -> Syslog UDP -> klik tombol Luncurkan input baru, Anda akan melihat layar berikut:
Isi semua detail seperti Title, Port, Bind address dan akhirnya Klik pada tombol Save, Anda akan melihat layar berikut:
Sekarang server Graylog akan menerima log sistem menggunakan port 8514 dari klien atau server.
Pada sistem Klien, Anda perlu mengkonfigurasi rsyslog sehingga ia akan mengirim log sistem pesan ke server Graylog. Anda dapat melakukan ini dengan mengedit file rsyslog.conf:
nano /etc/rsyslog.conf
Tambahkan baris berikut:
# menyediakan penerimaan syslog UDP $ ModLoad imudp $ UDPServerRun 8514 $ template GRAYLOGRFC5424, "% protokol-versi%% timestamp ::: date-rfc3339%% HOSTNAME%% app-name%% procid%%%%%" ". 192.168.0.187: 8514; GRAYLOGRFC5424
Simpan file dan restart layanan rsyslog untuk menerapkan perubahan ini:
systemctl restart rsyslog
Selanjutnya, pada server Graylog, klik pada “Graylog Sources” Anda dapat melihat log ssh dengan upaya login gagal di layar berikut.
Kesimpulan
Selamat! Anda telah berhasil menginstal dan mengkonfigurasi server Graylog pada Debian 9. Anda sekarang dapat dengan mudah melihat log dan analisis log sistem dari lokasi pusat. Anda juga dapat menyesuaikan Graylog dan mengirim jenis log lainnya sesuai kebutuhan Anda. Anda dapat memperoleh informasi lebih lanjut dari halaman dokumentasi Graylog http://docs.graylog.org/en/2.2/pages/getting_started.html. Jangan ragu untuk berkomentar jika Anda memiliki pertanyaan.
Tidak ada komentar:
Posting Komentar