
Nov 19 2017, 01:05:28

111.111.111.111 - этот IP адрес в настройках вы меняете на свой IP адрес сервера
Зачем ставить Graylog
В чем в общем-то смысл установки Graylog... Когда у вас больше чем 2-3 сервера то поиски и мониторинг этих серверов начинает занимать достаточно много времени. Тут то на выручку и приходят системы мониторинга(аля Zabbix) и централизованного хранения логов(аля Graylog). Zabbix достаточно мощная система и в даже базовой установке мониторит столько метрик серверов что существенно позволяет не заморачиваться на то, все ли в порядке с сервером. Но он наблюдает за метриками. Логи же вторая половина картины. Еще одной плюшкой централизированного хранения логов это то что даже взломам один из серверов и удалив логи, они будут удалены с атакованного сервера, но останутся доступными вам в централизованной системе. Не говоря уже об удобстве просмотра с одного интерфейса, а не кучи разрозненных файлов.Итак, погнали...
Ставим Java и MongoDB
apt update && sudo apt upgrade
apt install apt-transport-https openjdk-8-jre-headless uuid-runtime pwgen
apt install mongodb-server
Ставим ElasticSearch
wget -qO - https://artifacts.elastic.co/GPG-KEY-elasticsearch | apt-key add -
echo "deb https://artifacts.elastic.co/packages/5.x/apt stable main" | tee -a /etc/apt/sources.list.d/elastic-5.x.list
sudo apt update && apt install elasticsearch
Редактируем файл: /etc/elasticsearch/elasticsearch.yml меняя в строке cluster.name значение на:
cluster.name: graylog
Обновляем сервисы systemd и делаем автозапускаемым elasticsearch и перезагружаем его:
systemctl daemon-reload
systemctl enable elasticsearch.service
systemctl restart elasticsearch.service
Ставим сам Graylog2
wget https://packages.graylog2.org/repo/packages/graylog-2.3-repository_latest.deb
dpkg -i graylog-2.3-repository_latest.deb
apt update && apt install graylog-server
Делаем Graylog автозапускаемым после загрузки сервера:
systemctl enable graylog-server.service
Чтобы Graylog запускался нужно в конфигурационном файле(/etc/graylog/server/server.conf) задать два параметра:
password_secret = thisismypassword
root_password_sha2 = 1da9133ab9dbd11d2937ec8d312e1e2569857059e73cc72df92e670928983ab5
root_username = someadmin
root_password_sha2 нужно указать sha2 пароля, можно следующей командой его сгенерировать:
echo -n thisismypassword | shasum -a 256
Чтобы иметь возможность подключиться к Graylog нужно также указать следующие два параметра:
rest_listen_uri = http://111.111.111.111:9000/api/
web_listen_uri = http://111.111.111.111:9000
Теперь запускаем Graylog:
systemctl start graylog-server.service
Теперь в браузере переходим на наш адрес: http://111.111.111.111:9000/ где 111.111.111.111 меняем на адрес нашего сервера и видим окно входа:

Вводим наши данные авторизации, которые указывали в конфиге и получаем следующий экран:

С первым этапом мы закончили, теперь нужно добавлять инпуты(так называются точки сбора логов). Но это мы сделаем в следующем материале.
Категория:
