ログ管理: Ubuntu 16.04 の Graylog 2
Graylog: 強力なログ管理システム
Graylog は、あらゆるソースからのログ メッセージ、ワイヤおよびイベント データを解析して強化するオープン ソースのログ管理システムであり、fluentd や beats などのサードパーティ コレクタに集中構成管理システムを提供します。 とnxlog です。たとえば、Graylog を使用すると、IP アドレスから変換された地理座標を使用してログ メッセージを強化したり、ユーザー ID をユーザー名にマッピングしたりすることができます。
特徴
Graylog の最も注目すべき機能には次のようなものがあります。
- 中央ログ管理システム。チームは、Graylog サーバーに触れることなくランタイム設定とログ データにアクセスできます。
- ユーザーをロールにグループ化してアクセス許可の管理を簡素化します。 Graylog には、ユーザーのデータ アクセスを制限するための非常に強力なシステムがあり、非常に便利です。
- LDAP の統合。
- プログラムによるログ データ アクセスのための REST API の使用
目標
このチュートリアルでは、Ubuntu 16.04 を実行しているマシンでの Graylog のインストールと基本構成について説明します。
前提条件
- 少なくとも 2 GB の RAM を搭載した Ubuntu 16.04 を実行する 1 台のサーバー。
- モンゴDB。
- エラスティックサーチ 2.x。
- オラクルJDK8。
はじめる
ご使用のシステムが上記の前提条件を満たしている場合は、Graylog 2 のインストール プロセスを開始できます。
サーバーを常に最新の状態に保つ:
sudo apt-get update && sudo apt-get upgrade
sudo apt-get install apt-transport-https uuid-runtime pwgen
Elasticsearchの構成
上で述べたように、Graylog 2.0.0 (以降) には Elasticsearch2.x が必要です。 Elastisearch 設定ファイルを変更する必要があります。
、Graylog 構成ファイルに設定されているものと一致するようにクラスター名を設定します。このチュートリアルでは、 クラスター名はgraylog として選択されます。 スパン>
テキスト エディタを使用して、Elasticsearch 設定ファイルを開きます。
sudo $EDITOR /etc/elasticsearch/elasticsearch.yml
を検索してください
cluster.name
行に移動してコメントを解除します。次に、次のように変更します。
---------------------------------- Cluster -----------------------------------
#
Use a descriptive name for your cluster:
#
cluster.name: graylog
#
ファイルを保存して閉じ、Elastisearch サービスを再起動します。
sudo systemctl restart elasticsearch
グレイログをインストールする
サーバーの構成が完了したら、Graylog のインストールに進むことができます。次のコマンドを使用して Graylog リポジトリを構成します。
wget https://packages.graylog2.org/repo/packages/graylog-2.2-repository_latest.deb
sudo dpkg -i graylog-2.2-repository_latest.deb
次に、パッケージをインストールします。
sudo apt-get update && sudo apt-get install graylog-server
インストール プロセスの最後に、起動時に Graylog が開始されるようにします。
systemclt enable graylog-server
Graylog を開始する前に、設定する必要があります。
グレイログの構成
Graylog 設定ファイルは次のとおりです。
/etc/graylog/server/server.conf
。ログ管理プログラムを開始する前に、このファイル内のいくつかのパラメータを編集する必要があります。
まず最初に、
password_secret
価値。これは少なくとも64 文字である必要があります。これはpwgenを使用して生成します。
このツールは apt でインストールできます。
sudo apt-get install pwgen
次に、sed を使用して、生成された文字を Graylog 構成ファイルに直接書き込みます。
sudo -E sed -i -e "s/password_secret =.*/password_secret = $(pwgen -N 1 -s 128)/" /etc/graylog/server/server.conf
すべてが正しく行われたことを確認するには、次のコードを使用します。
cat /etc/graylog/server/server.conf | grep password_secret
コマンドにより表示されるはずです。
password_secret
ライン。私たちの場合には:
password_secret = hjg5nBbZQcgLVW3do5uw1irfbq9UiRwhISZgPie8r96dejt4hgWdHUJcIaK1onQfFFatbrPZ3WV4yEhoqX9ITtaEUmn9SKn2aRT62uCO9KRZGK81q2xrO1aMQnOELPqP
次のステップは、
これは、希望するパスワードの SHA-256 ハッシュです。 まず、次のコマンドを実行します。
sudo sed -i -e "s/root_password_sha2 =.*/root_password_sha2 = $(echo -n '<strong>your_<span class="highlight">password</span></strong>' | shasum -a 256 | cut -d' ' -f1)/" /etc/graylog/server/server.conf
Graylog に接続できるようにするには、
そして
値は、接続できるマシンのホスト名またはパブリック IP アドレスに設定されます。 Web インターフェース URI と REST API は、Web インターフェースを使用する誰もがアクセスできる必要があります。これは、Graylog がパブリック ネットワーク インターフェースでリッスンする必要があることを意味します。
Graylog 構成ファイルを開きます。
sudo $EDITOR /etc/graylog/server/server.conf
このファイル内で、
rest_listen_uri
デフォルトでは次の行になります。
REST API listen URI. Must be reachable by other Graylog server nodes if you run a cluster.
When using Graylog Collectors, this URI will be used to receive heartbeat messages and must be accessible for all collectors.
rest_listen_uri = http://127.0.0.1:9000/api/
交換してください
127.0.0.1
サーバーのパブリックIPを使用します。
次に、
web_liste_uri
ライン :
Web interface listen URI.
Configuring a path for the URI here effectively prefixes all URIs in the web interface. This is a replacement
for the application.context configuration parameter in pre-2.0 versions of the Graylog web interface.
#web_listen_uri = http://127.0.0.1:9000/
コメントを解除し、先ほどと同じように IP を変更します。
rest_listen_api
ステップ。
ファイルを保存して閉じてから、Graylog を開始します。
sudo systemctl start graylog-server
次のコードを使用して Graylog ステータスを確認します。
sudo systemctl status graylog-server
graylog-server.service - Graylog server
Loaded: loaded (/usr/lib/systemd/system/graylog-server.service; enabled; vend
Active: active (running) ...
グレイログのテスト
クライアント上の Web ブラウザで、次の場所に移動します。
http://192.168.1.138:9000/
。ブラウザにログインページが表示されます
ユーザー名として admin を使用し、設定手順で入力したパスワード (「your_password」) を使用します。
ログインすると、「はじめに」ページが表示されます。
[システム] > [入力]に進むと、入力構成にアクセスできます。
ここですべての入力が設定されます。これは、ログ管理のために Graylog でデータを収集する最初のステップです。
結論
この時点で、Graylog サーバーは Ubuntu 16.04 マシン上で正しく起動し、実行されています。今後のガイドでは、入力を構成し、サーバーからこの強力なログ管理システムにデータを送信する方法について説明します。
より高度なログ管理を行うために、マルチノード Graylog システムを構成する方法についても説明します。