ウェブサイト検索

ログ管理: Ubuntu 16.04 の Graylog 2


Graylog: 強力なログ管理システム

Graylog は、あらゆるソースからのログ メッセージ、ワイヤおよびイベント データを解析して強化するオープン ソースのログ管理システムであり、fluentdbeats などのサードパーティ コレクタに集中構成管理システムを提供します。 nxlog です。たとえば、Graylog を使用すると、IP アドレスから変換された地理座標を使用してログ メッセージを強化したり、ユーザー ID をユーザー名にマッピングしたりすることができます。

特徴

Graylog の最も注目すべき機能には次のようなものがあります。

  • 中央ログ管理システム。チームは、Graylog サーバーに触れることなくランタイム設定とログ データにアクセスできます。
  • ユーザーをロールにグループ化してアクセス許可の管理を簡素化します。 Graylog には、ユーザーのデータ アクセスを制限するための非常に強力なシステムがあり、非常に便利です。
  • LDAP の統合
  • プログラムによるログ データ アクセスのための REST API の使用

目標

このチュートリアルでは、Ubuntu 16.04 を実行しているマシンでの Graylog のインストールと基本構成について説明します。

前提条件

  • 少なくとも 2 GB の RAM を搭載した Ubuntu 16.04 を実行する 1 台のサーバー。
  • モンゴDB。
  • エラスティックサーチ 2.x。
  • オラクルJDK8。

はじめる

ご使用のシステムが上記の前提条件を満たしている場合は、Graylog 2 のインストール プロセスを開始できます。

サーバーを常に最新の状態に保つ:

sudo apt-get update && sudo apt-get upgrade
sudo apt-get install apt-transport-https uuid-runtime pwgen

Elasticsearchの構成

上で述べたように、Graylog 2.0.0 (以降) には Elasticsearch2.x が必要です。 Elastisearch 設定ファイルを変更する必要があります。

、Graylog 構成ファイルに設定されているものと一致するようにクラスター名を設定します。このチュートリアルでは、 クラスター名はgraylog として選択されます。

テキスト エディタを使用して、Elasticsearch 設定ファイルを開きます。

sudo $EDITOR /etc/elasticsearch/elasticsearch.yml

を検索してください

cluster.name

行に移動してコメントを解除します。次に、次のように変更します。

---------------------------------- Cluster -----------------------------------
#
Use a descriptive name for your cluster:
#
 cluster.name: graylog
#

ファイルを保存して閉じ、Elastisearch サービスを再起動します。

sudo systemctl restart elasticsearch

グレイログをインストールする

サーバーの構成が完了したら、Graylog のインストールに進むことができます。次のコマンドを使用して Graylog リポジトリを構成します。

wget https://packages.graylog2.org/repo/packages/graylog-2.2-repository_latest.deb
sudo dpkg -i graylog-2.2-repository_latest.deb

次に、パッケージをインストールします。

sudo apt-get update && sudo apt-get install graylog-server

インストール プロセスの最後に、起動時に Graylog が開始されるようにします。

systemclt enable graylog-server

Graylog を開始する前に、設定する必要があります。

グレイログの構成

Graylog 設定ファイルは次のとおりです。

/etc/graylog/server/server.conf

。ログ管理プログラムを開始する前に、このファイル内のいくつかのパラメータを編集する必要があります。

まず最初に、

password_secret

価値。これは少なくとも64 文字である必要があります。これはpwgenを使用して生成します。

このツールは apt でインストールできます。

sudo apt-get install pwgen

次に、sed を使用して、生成された文字を Graylog 構成ファイルに直接書き込みます。

sudo -E sed -i -e "s/password_secret =.*/password_secret = $(pwgen -N 1 -s 128)/" /etc/graylog/server/server.conf

すべてが正しく行われたことを確認するには、次のコードを使用します。

cat /etc/graylog/server/server.conf | grep password_secret

コマンドにより表示されるはずです。

password_secret

ライン。私たちの場合には:

password_secret = hjg5nBbZQcgLVW3do5uw1irfbq9UiRwhISZgPie8r96dejt4hgWdHUJcIaK1onQfFFatbrPZ3WV4yEhoqX9ITtaEUmn9SKn2aRT62uCO9KRZGK81q2xrO1aMQnOELPqP

次のステップは、

これは、希望するパスワードの SHA-256 ハッシュです。 まず、次のコマンドを実行します。



 sudo sed -i -e "s/root_password_sha2 =.*/root_password_sha2 = $(echo -n '<strong>your_<span class="highlight">password</span></strong>' | shasum -a 256 | cut -d' ' -f1)/" /etc/graylog/server/server.conf

Graylog に接続できるようにするには、

そして

値は、接続できるマシンのホスト名またはパブリック IP アドレスに設定されます。 Web インターフェース URI と REST API は、Web インターフェースを使用する誰もがアクセスできる必要があります。これは、Graylog がパブリック ネットワーク インターフェースでリッスンする必要があることを意味します。

Graylog 構成ファイルを開きます。

sudo $EDITOR /etc/graylog/server/server.conf

このファイル内で、

rest_listen_uri

デフォルトでは次の行になります。

REST API listen URI. Must be reachable by other Graylog server nodes if you run a cluster.
When using Graylog Collectors, this URI will be used to receive heartbeat messages and must be accessible for all collectors.
rest_listen_uri = http://127.0.0.1:9000/api/

交換してください

127.0.0.1

サーバーのパブリックIPを使用します。

次に、

web_liste_uri

ライン :

Web interface listen URI.
Configuring a path for the URI here effectively prefixes all URIs in the web interface. This is a replacement
for the application.context configuration parameter in pre-2.0 versions of the Graylog web interface.
#web_listen_uri = http://127.0.0.1:9000/

コメントを解除し、先ほどと同じように IP を変更します。

rest_listen_api

ステップ。

ファイルを保存して閉じてから、Graylog を開始します。

sudo systemctl start graylog-server

次のコードを使用して Graylog ステータスを確認します。

sudo systemctl status graylog-server
graylog-server.service - Graylog server
   Loaded: loaded (/usr/lib/systemd/system/graylog-server.service; enabled; vend
   Active: active (running) ...

グレイログのテスト

クライアント上の Web ブラウザで、次の場所に移動します。

http://192.168.1.138:9000/

。ブラウザにログインページが表示されます

ユーザー名として admin を使用し、設定手順で入力したパスワード (「your_password」) を使用します。

ログインすると、「はじめに」ページが表示されます。

[システム] > [入力]に進むと、入力構成にアクセスできます。

ここですべての入力が設定されます。これは、ログ管理のために Graylog でデータを収集する最初のステップです。

結論

この時点で、Graylog サーバーは Ubuntu 16.04 マシン上で正しく起動し、実行されています。今後のガイドでは、入力を構成し、サーバーからこの強力なログ管理システムにデータを送信する方法について説明します。

より高度なログ管理を行うために、マルチノード Graylog システムを構成する方法についても説明します。

関連記事:


全著作権所有。 © Linux-Console.net • 2019-2025