如何在Debian 10上使用Graylog v3.1监视日志文件

如何在Debian 10上使用Graylog v3.1监视日志文件

Graylog是基于Java,ElasticSearch和MongoDB的免费开源日志管理工具。使用Graylog从集中或分布式位置收集,索引和分析服务器日志。使用Graylog可以轻松监视异常活动以调试应用程序和日志。 Graylog提供了强大的查询语言,警报功能,数据转换处理管道等。您还可以通过REST API和附加组件扩展Graylog的功能。

目前,还没有Debian 10的Graylog v3.1的官方指南。

在Debian 10上安装Graylog v3.1是一个九个步骤的过程。

  • 第1步:使用Debian Backport存储库更新系统
  • 步骤2:安装助手
  • 步骤3:安装Headless JAVA Runtime v11.00
  • 步骤4:安装MongoDB v4.2,该数据库存储配置和元信息。
  • 步骤5:安装Elasticsearch-OSS 6.x:保存所有传入消息并提供搜索功能。
  • 步骤6:安装Graylog v3.1-从各种输入接收并记录日志,并提供用于分析和监视的Web界面。
  • 步骤7:配置Graylog
  • 步骤8:测试灰色日志
  • 步骤9:登录到Graylog

前提条件

  • 最小Debian 10。您可以参考本教程。
  • 至少4 GB RAM,2核CPU和20 GB磁盘
  • 默认密码:KataLaluan
  • 默认密码:SecretRahsiaSecreta
  • 使用根访问su-”,Debian最近更改了su命令的行为。现在,“‘该命令不会替代PATH。使用“su-相反。

步骤1:使用Debian backport更新系统

配置系统以使用Debian backport仓库

cat > /etc/apt/sources.list << EOFdeb http://ftp.debian.org/debian/ buster main contrib non-freedeb http://security.debian.org/debian-security buster/updates main contrib non-freedeb http://ftp.debian.org/debian/ buster-updates main contrib non-freedeb http://ftp.debian.org/debian buster-backports main contrib non-freeEOFapt -y updateapt -y dist-upgrade

第2步-安装Headless Java Runtime v11.00

Graylog和Elasticsearch是基于Java的应用程序。因此,必须在系统上安装Java。默认情况下,Debian 10默认存储库中提供了最新版本的Java。只需运行以下命令即可安装。

apt -y install apt-transport-https default-jdk

第3步-安装助手

您需要安装一些有用的工具作为该过程的助手。

  • 实施GnuPG-OpenPGP标准。支持密钥管理系统。
  • wget-使用最广泛使用的Internet协议HTTP,HTTPS和FTP检索文件的工具
apt -y install gnupg wget

步骤4-安装MongoDB v4.2

默认情况下,默认Debian 10存储库中不提供MongoDB。因此,您需要向系统添加MongoDB存储库。

apt-key adv --keyserver hkp://keyserver.ubuntu.com:80 --recv 4B7C549A058F8B6Becho "deb http://repo.mongodb.org/apt/debian buster/mongodb-org/4.2 main" | tee /etc/apt/sources.list.d/latest-mongodb.listapt -y updateapt install -y mongodb-org

启用MongoDB服务并重新启动。

systemctl enable mongod.servicesystemctl start mongod.service

步骤5:安装Elasticsearch-OSS 6.x

目前,Graylog v3.1尚不支持Elasticsearch-OSS 7.x

将Elasticsearch密钥和存储库添加到Debian。使用elastic.co提供的elasticsearch存储库,您可以通过运行以下命令来安装Elasticsearch Elastic:

wget -qO - https://artifacts.elastic.co/GPG-KEY-elasticsearch | apt-key add -echo "deb https://artifacts.elastic.co/packages/oss-6.x/apt stable main" | tee -a /etc/apt/sources.list.d/latest-elastic-6.x.listapt -y updateapt -y install elasticsearch-oss

将Elasticsearch设置为集群名称

sed -i "s/#cluster.name: my-application/cluster.name: graylog-application/g" /etc/elasticsearch/elasticsearch.yml

启用Elasticsearch服务并重新启动:

systemctl enable elasticsearch.servicesystemctl start elasticsearch.service

步骤6:安装Graylog v3.1

添加Graylog密钥并下载一个简单的Graylog软件包,该软件包将帮助您设置“ Graylog”存储库。

cd /tmp/wget https://packages.graylog2.org/repo/packages/graylog-3.1-repository_latest.debdpkg -i graylog-3.1-repository_latest.debapt -y update

运行以下命令以安装Graylog。

apt -y install graylog-server

步骤7:配置Graylog

哈希密码并复制哈希。 ”加泰罗尼亚语“是当前选择的密码。

echo 'KataLaluan' | tr -d 'n' | sha256sum | cut -d" " -f1

将哈希密码添加到Graylog配置文件

sed -i "s/^root_password_sha2 =$/root_password_sha2 = a25d2f6605c9e27f182d39b66a8b527eb7f2360e52b2ccc7614f8ac24e472bef/g" /etc/graylog/server/server.conf

在Graylog配置文件中添加一个“秘密”。 “最小长度”是16个字符。

sed -i "s/^password_secret =$/password_secret = SecretRahsiaSecreta/g" /etc/graylog/server/server.conf

允许外部访问灰色日志

sed -i "s/^#http_bind_address = 127.0.0.1:9000/http_bind_address = 0.0.0.0:9000/g" /etc/graylog/server/server.conf

将您的时区更改为您的位置

sed -i "s/#root_timezone = UTC/root_timezone = Asia/Kuala_Lumpur/g" /etc/graylog/server/server.conf

启用Graylog服务并重新启动。

systemctl enable graylog-server.servicesystemctl start graylog-server.service

如果Graylog在路由器后面,则需要在Graylog配置中设置路由器的WAN IP地址。它也可以是指向相同IP地址的DNS A记录

sed -i '/http_publish_uri =/chttp_publish_uri = http://graylog.howtoforge.com:9000/' /etc/graylog/server/server.conf

步骤8:测试灰色日志

您可以使用一些“原始”命令来测试greylog

apt -y install netcat curl

以下是要记录的命令的示例。

echo "Hello Graylog, let's be friends." | nc -w 1 -u 127.0.0.1 9099

以下是获取Graylog服务器API状态的示例命令。

curl -X GET http://localhost:9200curl -XGET 'http://localhost:9200/_cluster/health?pretty=true'

以下是用于获取Graylog服务器日志的示例命令。

tail -f /var/log/graylog-server/server.log

步骤9:登录到Graylog

让我们使用WebGUI。 URL如下:

  • http://:9000 /
  • http://:9000 /
  • http://:9000 /

网址样本

  • http://192.168.0.3:9000/
  • http://104.26.2.165:9000/
  • http://graylog.howtoforge:9000 /

在浏览器中输入URL时,将显示以下登录页面。默认用户名是 管理员,选择的密码是 加泰罗尼亚语

如何在Debian 10上使用Graylog v3.1监视日志文件

登录后,将显示以下Graylog页面。

如何在Debian 10上使用Graylog v3.1监视日志文件

结论

已完成您已经在Debian10上成功安装并配置了Graylog 3.1服务器。这使得在中央位置轻松查看日志和分析系统日志。从获取详细信息 Graylog文件 页面。如有任何疑问,请留下评论和反馈。

祝您登录愉快。

Source

Sidebar