亚游wwwag8com
你好,游客 登录 注册
背景:
阅读新闻

CentOS 7下安装部署Graylog3.0收集分析网络设备日志

[日期:2019-05-18] 来源:Linux社区  作者:羊草 [字体: ]

亚游wwwag8com,  在过去一年中,反倾销已成为中美贸易角逐最常用的手段。浙江大学管理学院一位教授对本报分析说,一般来说,美国向中国打反倾销牌,既方便又容易成功,而中国则受制于“经济地位”的是非之辨而无力反击。

  联合会与中国共产党和政府保持着紧密的关系。这点已经很明确。联合会的成员主要是“世界各地的华人华侨”。成员中有些人虽然在美国居住,却担任着中国人民政治协商会议顾问和中华全国归国华侨联合会顾问。西班牙将掌管垃圾邮件网络俄罗斯程序员引渡给美国  不知道是不是从小S开始,生产后,都会要求自己秒速瘦身,用最短的时间恢复到标准身形出现在公众面前。

Graylog是一款优秀的日志收集分析软件,区别于ELK,它更加简洁,高效,部署使用更加简单。官方网址/wwwd35cgraylogd35corg/,安装手册参考/docsd35cgraylogd35corg/en/3.0/pages/installation.html

一、安装部署

    graylog采用单机部署,,采用最小化部署,架构如下

组件介绍 

  • Graylog 提供 graylog 对外接口 ,Web界面, CPU 

  • Elasticsearch 日志文件的持久化存储和检索, IO 

  • MongoDB 只是存储一些 Graylog 的配置

安装前准备,采用虚拟机,操作系统CentOS7 ,内存4G,硬盘100G,安装之前需要关闭selinux,清空iptables规则和关闭防火墙

setenforce 0
sed -i "s/SELINUX=enforcing/SELINUX=disabled/g" /etc/selinux/config
iptables -F
service iptables save
systemctl disabled firewalld
systemctl stop firewalld

1.1先决条件

以最小的服务器设置为基础将需要这些额外的包:

yum install java-1.8.0-openjdk-headless.x86_64            #安装java软件包
yum install epel-release                                  #安装epel软件仓库
yum install pwgen                                         #安装pwgen生成密

1.2 安装mongodb

首先创建软件仓库文件/etc/yum.repos.d/mongodb-org.repo使用以下内容添加存储库文件

touch /etc/yum.repos.d/mongodb-org.repo
cat << EOF >/etc/yum.repos.d/mongodb-org.repo
[mongodb-org-4.0]
name=MongoDB Repository
baseurl=/repod35cmongodbd35corg/yum/亚游wwwag8comRedHat/$releasever/mongodb-org/4.0/x86_64/
gpgcheck=1
enabled=1
gpgkey=/wwwd35cmongodbd35corg/static/pgp/server-4.0.asc
EOF

配置完成后,可以通过yum安装最新版本的MongoDB   

yum install mongodb-org

然后配置MongoDB作为服务开机启动

chkconfig --add mongod 
systemctl daemon-reload 
sudo systemctl enable mongod.service 
systemctl start mongod.service

1.3安装Elasticsearch

    首先安装Elastic GPG密钥,然后添加包含以下内容的存储库文件中,graylog3.0采用的是elasticsearch6.x版本

rpm --import /artifactsd35celasticd35cco/GPG-KEY-elasticsearch
touch /etc/yum.repos.d/elasticsearch.repo
cat << EOF >/etc/yum.repos.d/elasticsearch.repo
[elasticsearch-6.x]
name=Elasticsearch repository for 6.x packages
baseurl=/artifactsd35celasticd35cco/packages/oss-6.x/yum
gpgcheck=1
gpgkey=/artifactsd35celasticd35cco/GPG-KEY-elasticsearch
enabled=1
autorefresh=1
type=rpm-md
EOF

随后安装最新版本

yum install elasticsearch-oss

修改elasticsearch的配置文件,/etc/elasticsearch/elasticsearch.yml,将cluster.name修改为graylog,然后在配置文件中最后一样添加action.auto_create_index: false

vim /etc/elasticsearch/elasticsearch.yml

在16后行修改cluster.name

最后一行添加action.auto_create_index: false

修改配置后,可以启动Elasticsearch:

chkconfig --add elasticsearch 
systemctl daemon-reload 
systemctl enable elasticsearch.service 
systemctl restart elasticsearch.service

1.4安装graylog

现在使用以下命令安装Graylog存储库配置和Graylog本身:

rpm -Uvh /packagesd35cgraylog2d35corg/repo/packages/graylog-3.0-repository_latest.rpm 
yum install graylog-server

安装完成后,首先生成生成password_secret密码

pwgen -N 1 -s 96

生成root_password_sha2密码 (Web登录密码)

echo -n "Enter Password: " && head -1 </dev/stdin | tr -d '\n' | sha256sum | cut -d" " -f1

然后将生成的password_secret密码和root_password_sha2密码字符串,添加到配置文件/etc/graylog/server/server.conf中,分别在55行和66行

然后修改web登陆接口,在104行,按照如下配置,默认端口9000,可以修改

完成修改后保存,然后启动graylog

chkconfig --add graylog-server
systemctl daemon-reload
systemctl enable graylog-server.service
systemctl start graylog-server.service

 然后可以使用浏览器登陆 /ip:9000

 

默认管理员用户名admin,密码为root_password_sha2配置设定的密码

目前graylog没有中文版

 

二、初始配置以及收集网络设备日志

完成配置登陆后,依照初始向导可以了解初始配置工作

2.1 添加udp协议为收集网络设备日志

 网络设备使用syslog协议的udp514端口进行发送日志,但是在 graylog中和大部分linux操作系统中,1024以下的端口都是属于特权端口,不允许直接使用,所以要配置iptables规则iptables规则重定向流量

iptables -t nat -A PREROUTING -p tcp --dport 514 -j REDIRECT --to 1514
iptables -t nat -A PREROUTING -p udp --dport 514 -j REDIRECT --to 1514
service iptables save

这样配置后,需要将1514端口定向到greylog的514端口上,方可以正常收集syslog协议

首先在“system"中勾选input

因为网络设备的使用syslog协议传输日志,使用udp514,在Inputs中选择“Syslog UDP"

 

完成后??点击launch new input进行下一步编辑

说明:

1、勾选global,代表全局,单服务器部署

2、bind address保持0.0.0.0默认,代表收集任何ip地址的日志

3、port 为1514,一般网络设备的 syslog默认配置为514,完成iptables重定向到1514定向到514,linux特权端口问题

完成配置后,启动input

在完成网络设备日志服务器配置后,例如防火墙

可以在graylog中看到收到的日志信息,点击”show  received message "

可以看到收集到的日志信息

 

2.2添加steam

 

日志收集到后,需要配置steam进行分析和筛选,在steam中创建steam

创建完成后,进行配置,点击manage rules进行配置

按照如下进行配置

说明:

1、type 选择contain代表包含字段信息

2、vlaue代表字段,这里选择error

3、这个stream rule 的意思时收集日志时,筛选过滤出来包含error字段的信息

然后点击保存,保存steam这条rule,当然,一个steam有多个rule,rule规则可以使用强大的正则表方式,这些rule的表达式都是用java写的

注意:时区问题

在graylog配置文件中,需要修改时区,不然graylog时间戳问题会有问题

vim /etc/graylog/server/server.conf
#在74行下添加

root_timezone = Asia/Shanghai

思考:

graylog的功能很强大,还有告警和仪表盘等功能,要学会使用,需要一段时间

Linux公社的RSS地址亚游wwwag8com/wwwd35clinuxidcd35ccom/rssFeed.aspx

本文永久更新链接地址亚游wwwag8com/wwwd35clinuxidcd35ccom/Linux/2019-05/158735.htm

linux
相关资讯       Graylog 
本文评论   查看全部评论 (0)
表情: 表情 姓名: 字数

       

评论声明
  • 尊重网上道德,遵守中华人民共和国的各项有关法律法规
  • 承担一切因您的行为而直接或间接导致的民事或刑事法律责任
  • 本站管理人员有权保留或删除其管辖留言中的任意内容
  • 本站有权在网站内转载或引用您的评论
  • 参与本评论即表明您已经阅读并接受上述条款
利物浦提前筹备欧冠夺冠庆祝 大巴巡游接受膜拜 男子因家庭矛盾用菜刀砍死62岁母亲 已被抓 调查-上港冠军梦再碎 中超成最后希望能成真吗? “六稳”透露调控新信号 朝鲜战争志愿军老兵:朝鲜半岛和平离不开中国 富士康IPO“特事特批”后 A股如何拥抱“独角兽”? 代表建议:组建专门机构评估法律政策是否男女平等 厦大校长:不培养出一流人才无法成为一流大学 俄就调查前特工中毒事件在安理会提草案 遭英否决 海门公安:有人员自行组织“抖友”聚集活动 涉嫌违法 普京驾车开通克里米亚大桥 乌克兰:俄忽视国际法 两家中国比特币矿机厂商计划在港IPO 各拟筹10亿美元
郭台铭:富士康肯定要自主制造芯片 一方就球员戴饰品及派未报名人比赛致歉:疏于管理 穆古鲁扎将出战首届圣何塞赛 与大小威阿扎竞技 美国经济回暖 年内加息预期升温 加拿大冬奥滑雪冠军街头炫技 跳跃空翻如履平地 湿了!他都能百发百中,总冠军还有悬念吗 伊朗对中巴做了一个动作 却让印度紧张不安 雷人!阿森纳旧将念自己名字被罚下 解释后改判 31+5+5!连续两年绝地逃生 无愧最像乔丹的男人 财神爷领走体彩9654万大奖 主任为其颁奖-组图 意甲-7连冠+4连双冠!尤文客平10人罗马提前问鼎 四川叙永马岭镇5名村民相继掉入沼气池身亡
朴槿惠下台被写进印度历史书 数百万学子努力学习 Opera在美上市大涨 昆仑万维和三六零高比例持股曝光 土耳其西部发生沉船事故 已致6死1失踪 姜素拉户外大片干练大气 秀曲线好身材 经济学家:特朗普的关税提议“真是愚蠢、无能” 摩根士丹利紧随高盛 开始提供比特币期货清算服务 女排又一名将留洋 惠若琪接班人加盟印尼联赛 人大代表:“港独”像毒品 强化教育是排毒良方 外媒:软银集团正考虑出售美国手机分销商Brightst… 美国监管机构:对虚拟货币应实施更多监督 新浪彩票名家双色球第18016期推荐汇总 俄空天部队在2018年将接收100多架飞机和直升机 观点:引援锅无关京粤只关足协 内援调解费该废除 亚游wwwag8com