Ставим Graylog2(сервис централизованного сбора и хранения логов) на Debian 9

test
graylog2 login page Давно хотел сделать централизованный сбор логов и их просмотр. И вот вместе сошлись желание, возможность и время. Ставиться он в принципе 1 в 1 к оф. доке, но там на английском, а здесь на русском. Официальная дока

111.111.111.111 - этот IP адрес в настройках вы меняете на свой IP адрес сервера

Зачем ставить Graylog

В чем в общем-то смысл установки Graylog... Когда у вас больше чем 2-3 сервера то поиски и мониторинг этих серверов начинает занимать достаточно много времени. Тут то на выручку и приходят системы мониторинга(аля Zabbix) и централизованного хранения логов(аля Graylog). Zabbix достаточно мощная система и в даже базовой установке мониторит столько метрик серверов что существенно позволяет не заморачиваться на то, все ли в порядке с сервером. Но он наблюдает за метриками. Логи же вторая половина картины. Еще одной плюшкой централизированного хранения логов это то что даже взломам один из серверов и удалив логи, они будут удалены с атакованного сервера, но останутся доступными вам в централизованной системе. Не говоря уже об удобстве просмотра с одного интерфейса, а не кучи разрозненных файлов.
Итак, погнали...

Ставим Java и MongoDB

apt update && sudo apt upgrade
apt install apt-transport-https openjdk-8-jre-headless uuid-runtime pwgen
apt install mongodb-server


Ставим ElasticSearch

wget -qO - https://artifacts.elastic.co/GPG-KEY-elasticsearch | apt-key add -
echo "deb https://artifacts.elastic.co/packages/5.x/apt stable main" | tee -a /etc/apt/sources.list.d/elastic-5.x.list
sudo apt update && apt install elasticsearch


Редактируем файл: /etc/elasticsearch/elasticsearch.yml меняя в строке cluster.name значение на:
cluster.name: graylog


Обновляем сервисы systemd и делаем автозапускаемым elasticsearch и перезагружаем его:
systemctl daemon-reload
systemctl enable elasticsearch.service
systemctl restart elasticsearch.service


Ставим сам Graylog2

wget https://packages.graylog2.org/repo/packages/graylog-2.3-repository_latest.deb
dpkg -i graylog-2.3-repository_latest.deb
apt update && apt install graylog-server


Делаем Graylog автозапускаемым после загрузки сервера: systemctl enable graylog-server.service

Чтобы Graylog запускался нужно в конфигурационном файле(/etc/graylog/server/server.conf) задать два параметра:
password_secret = thisismypassword
root_password_sha2 = 1da9133ab9dbd11d2937ec8d312e1e2569857059e73cc72df92e670928983ab5
так же я установил параметр:
root_username = someadmin
Так как это способствует улучшению безопасности
root_password_sha2 нужно указать sha2 пароля, можно следующей командой его сгенерировать:
echo -n thisismypassword | shasum -a 256

Чтобы иметь возможность подключиться к Graylog нужно также указать следующие два параметра:
rest_listen_uri = http://111.111.111.111:9000/api/
web_listen_uri = http://111.111.111.111:9000
Последний вообще по умолчанию закомментирован и доступа к морде из браузера не будет если не раскомментировать этот параметр. В обоих параметрах нужно задать реальный IP или домен сервера, иначе интерфейс и апи не будут доступны из сети.

Теперь запускаем Graylog:
systemctl start graylog-server.service


Теперь в браузере переходим на наш адрес: http://111.111.111.111:9000/ где 111.111.111.111 меняем на адрес нашего сервера и видим окно входа: graylog2 login page

Вводим наши данные авторизации, которые указывали в конфиге и получаем следующий экран: graylog2 logged in page

С первым этапом мы закончили, теперь нужно добавлять инпуты(так называются точки сбора логов). Но это мы сделаем в следующем материале.
Категория: 
Share/Save

Делитесь с друзьями в социальных сетях! Оставляйте комментарии!

Share/Save

Это Вам так же может быть интересно!