2. 程式人生 > >Ubuntu 16.04 下部署 Graylog 2.x 日誌伺服器

Ubuntu 16.04 下部署 Graylog 2.x 日誌伺服器

阿新 發佈:2018-12-03

 

  • Graylog是一個開源的日誌管理系統,集中式收集、索引、分析其它伺服器發來的日誌。它是由Java語言編寫的,能夠接收TCP、UDP、AMQP協議傳送的日誌資訊,並且使用Mongodb做為後臺資料庫。它還有一個使用Ruby編寫的Web管理介面,可以輕鬆管理Graylog和查詢日誌。Graylog可以收集監控多種不同應用的日誌。
  • 本文只是會為了示範說明,會把用到的元件全部安裝到一個單獨的伺服器上。對於大型、生產系統你可以把元件分開安裝在不同的伺服器上,這樣可以提高效率。
  • Graylog 2 的元件 

    Graylog 2 有 4 個基本元件:

    Graylog Server: 這個服務負責接收和處理日誌/訊息,並且和其他元件溝通。 
    Elasticsearch: 儲存所有的日誌,它的效能依賴記憶體和硬碟IO。 
    MongoDB: 儲存資料。 
    Web介面: 使用者介面。 

    下面是 Graylog 2 各元件之間的關係圖

     

    Ubuntu 16.04 下部署 Graylog 2.x 日誌伺服器


    安裝和配置 Graylog 2 
    環境依賴 

    Graylog 2 需要以下環境依賴:

    一臺 Ubuntu 16.04 伺服器,至少有 2 GB 的 RAM。 
    Elasticsearch (>= 2.x,推薦使用最新穩定版本。) 
    MongoDB (>= 2.4,推薦使用最新穩定版本。) 
    Oracle Java SE 或 OpenJDK (>= 8,推薦使用最新穩定版本。) 

    如果你的 Ubuntu Server 是最小化安裝的,還需要提前安裝以下軟體包:


    $ sudo apt-get install apt-transport-https uuid-runtime pwgen 

    安裝 Java JDK
     

    Elasticsearch 是基於 Java 的應用,我們首先需要安裝 OpenJDK 或 Oracle JDK。這裡我們選擇安裝 OpenJDK 8:

    $ sudo apt-get update && sudo apt-get install openjdk-8-jdk 
     

    如果你的系統上存在多個 Java 版本,可使用以下指令設定預設使用版本。

    $ update-alternatives --config java 

    安裝 Elasticsearch 

    Elasticsearch 是 Graylog 一個主要的元件,負責分析和索引日誌。Graylog 2.3.x 開始支援 Elasticsearch 5.x, 這裡我們就安裝 Elasticsearch 5.x 版本。

    # 新增 GPG 簽名金鑰 
    $ wget -qO - https://artifacts.elastic.co/GPG-KEY-elasticsearch | sudo apt-key add - 
    # 新增 Eleasticsearch 源 
    $ echo "deb https://artifacts.elastic.co/packages/5.x/apt stable main" | sudo tee -a /etc/apt/sources.list.d/elastic-5.x.list 
    # 安裝 Elasticsearch 
    $ sudo apt-get update && sudo apt-get install elasticsearch 
     

    編輯 Elasticsearch 配置檔案:

    $ sudo vim /etc/elasticsearch/elasticsearch.yml 
    # 把 cluster.name 設定為 graylog。 
    cluster.name: graylog 
     

    修改配置後,你需要重啟 Elasticsearch:

    $ sudo systemctl daemon-reload 
    $ sudo systemctl restart elasticsearch.service 
     

    如果要把 Elasticsearch 服務加入隨系統啟動,可以執行以下命令:

    $ sudo systemctl enable elasticsearch.service 
     

    測試 Elastisearch 工作是否正常

    Elastisearch 預設使用 9200 埠接收 http 請求,這裡使用 curl 指令進行一個簡單的請求測試。

    $ curl -X GET http://localhost:9200 

    "name" : "V8jWSvJ", 
    "cluster_name" : "graylog", 
    "cluster_uuid" : "8cnTgvEzRZ2U81LTYq5nEw", 
    "version" : { 
    "number" : "5.6.3", 
    "build_hash" : "1a2f265", 
    "build_date" : "2017-10-06T20:33:39.012Z", 
    "build_snapshot" : false, 
    "lucene_version" : "6.6.1" 
    }, 
    "tagline" : "You Know, for Search" 

     

    檢視 Elasticsearch 的健康狀態

    $ curl -XGET 'http://localhost:9200/_cluster/health?pretty=true' 

    "cluster_name" : "graylog", 
    "status" : "green", 
    "timed_out" : false, 
    "number_of_nodes" : 1, 
    "number_of_data_nodes" : 1, 
    "active_primary_shards" : 0, 
    "active_shards" : 0, 
    "relocating_shards" : 0, 
    "initializing_shards" : 0, 
    "unassigned_shards" : 0, 
    "delayed_unassigned_shards" : 0, 
    "number_of_pending_tasks" : 0, 
    "number_of_in_flight_fetch" : 0, 
    "task_max_waiting_in_queue_millis" : 0, 
    "active_shards_percent_as_number" : 100.0 


    安裝 MongoDB 

    Ubuntu 16.04 預設安裝源中包含的 MongoDB (目前版本是 2.6.10) 是支援 Graylog 2.3.x 或更高版本的。

    $ sudo apt-get install mongodb-server 
     

    啟動 MongoDB 服務

    $ sudo systemctl start mongodb 
     

    如果要把 MongoDB 服務加入隨系統啟動,可以執行以下命令:

    $ sudo systemctl enable mongodb 

    安裝 Graylog Server 

    Graylog Server 負責接收和處理日誌。

    # 下載安裝 Graylog Server 倉庫 
    $ wget https://packages.graylog2.org/repo/packages/graylog-2.3-repository_latest.deb 
    $ sudo dpkg -i graylog-2.3-repository_latest.deb 
    # 安裝 Graylog Server 
    $ sudo apt-get update && sudo apt-get install graylog-server

  • 編輯 Graylog Server 配置檔案:

    設定 password_secret ,首先使用 pwgen 命令生成密碼:

    $ pwgen -N 1 -s 96 
    LUoLd77x1fhYYqpFlApRn6NzwPJntevTtoU1e3MI1HoeJzHrApc6eWn9YUJTHefHoZUjAM7nbouef7Ag53c8gCP3HhqFGY6g 
     

    修改 password_secret 引數值:

    $ sudo vim /etc/graylog/server/server.conf 
    password_secret = LUoLd77x1fhYYqpFlApRn6NzwPJntevTtoU1e3MI1HoeJzHrApc6eWn9YUJTHefHoZUjAM7nbouef7Ag53c8gCP3HhqFGY6g 
     

    設定 Graylog Server 管理員密碼 root_password_sha2 ,這個密碼用來登入 Web 管理頁面。 

    假如你要把密碼設定為 000000 ,可以使用 sha256sum 命令來生成:

    $ echo -n 000000 | sha256sum 
    91b4d142823f7d20c5f08df69122de43f35f057a988d9619f6d3138485c9a203 
     

    修改 root_password_sha2 引數值:

    $ sudo vim /etc/graylog/server/server.conf 
    root_password_sha2 = 91b4d142823f7d20c5f08df69122de43f35f057a988d9619f6d3138485c9a203 
     

    注: password_secret 和 root_password_sha2 引數是必須設定的,否則 Graylog Server 將無法啟動。

    如果你要設定管理員郵箱和時區,可以使用以下引數值:

    $ sudo vim /etc/graylog/server/server.conf 
    root_email = " [email protected]
    root_timezone = UTC 
     

    設定 Elasticsearch 節點:

    $ sudo vim /etc/graylog/server/server.conf 
    # Default: http://127.0.0.1:9200 
    elasticsearch_hosts = http://192.168.100.212:9200 
     

    如果需要配置多個 Elasticsearch 節點或是需要認證的節點,可按以下格式配置:

    elasticsearch_hosts = http://node1:9200,http://user: xxx@xxx.com:19200 
     

    注:如不配置,預設是連線到本機的 Elasticsearch 節點。

    其它一些和 Elasticsearch 的相關設定:

    elasticsearch_index_prefix = graylog 
    elasticsearch_connect_timeout = 10s 
    elasticsearch_max_docs_per_index = 20000000 
    elasticsearch_max_total_connections = 20 
    elasticsearch_max_number_of_indices = 20 
    elasticsearch_shards = 1 
    elasticsearch_replicas = 0 

    安裝 Graylog Web 介面 

    從 Graylog 2.x 版本開始,Graylog 已經預設集成了 Web 介面。 

    配置 Graylog Web 介面

    $ sudo vim /etc/graylog/server/server.conf 
    # 配置rest Api 的 URI 
    rest_listen_uri = http://your_ip_or_domain:9001/ 
    # 配置 Web 介面的 URI 
    web_listen_uri = http://your_ip_or_domain:9000/ 
     

    注: your_ip_or_domain 為你實際伺服器 IP 或域名。 

    啟動 Graylog Server 服務:

    $ sudo systemctl daemon-reload 
    $ sudo systemctl start graylog-server.service 
     

    如果要把 Graylog Server 服務加入隨系統啟動,可以執行以下命令:

    $ sudo systemctl enable graylog-server.service 
     

    訪問 Graylog Web

    使用瀏覽器訪問 http://your_ip_or_doamin:9000 ,能成功看到如下介面則表示安裝成功。預設使用者名稱為:admin,密碼為: root_password_sha2 引數中設定的。

     

    Ubuntu 16.04 下部署 Graylog 2.x 日誌伺服器


    新增一個需收集日誌的伺服器 
    建立 Syslog UDP 輸入 

    Ubuntu 系統自帶 Rsyslog 服務無需安裝,只需要配置一下即可。

    開啟 Graylog Web 頁面,選擇 System->Inputs->Syslog UDP->Launch new input,新增一個要接收 Syslog 日誌的伺服器。

    在彈出的視窗上輸入如下資訊:

    Node: 在列表中選擇你的 Graylog Server 伺服器 
    Title: Linux Server Logs 
    Port: 8514 
    Bind address: 0.0.0.0 
    點選 Save 

    配置完成後就生成了一個監聽在 8514 埠上的 Syslog 服務端,下面可以用它來收集其它伺服器上的日誌。

     

    Ubuntu 16.04 下部署 Graylog 2.x 日誌伺服器

     

    本次測試採用同一臺伺服器做演示,所以繫結到所有網絡卡介面。如只在特定網路中訪問,請按實際情況填寫 Bind address 的 IP 地址。

    現在,我們的 Graylog Server 伺服器已經做好了接收其它伺服器發來日誌的準備。下面我們還需要配置需收集日誌伺服器,讓這些伺服器給 Graylog Server 伺服器傳送日誌。

    配置伺服器傳送日誌到 Graylog 

    建立 rsyslog 配置檔案 /etc/rsyslog.d/90-graylog.conf。

    如果你的 rsyslog 版本 > 5.10,請按以下格式配置:

    *.* @graylog_server_ip:8514;RSYSLOG_SyslogProtocol23Format 
     

    如果你的 rsyslog 版本 < 5.10,請按以下格式配置:

    $template GRAYLOGRFC5424,"<%PRI%>%PROTOCOL-VERSION% %TIMESTAMP:::date-rfc3339% %HOSTNAME% %APP-NAME% %PROCID% %MSGID% %STRUCTURED-DATA% %msg%/n" 
    *.* @graylog_server_ip:8514;GRAYLOGRFC5424 
     

    注:把 graylog_server_ip 替換為 Graylog 伺服器 IP 地址。

    我這裡使用的是 rsyslog 8.16 版本,修改後類似下面:

    $ sudo vim /etc/rsyslog.d/90-graylog.conf 
    *.* @192.168.100.212:8514;RSYSLOG_SyslogProtocol23Format 
     

    重啟 rsyslog 服務使生效

    $ sudo systemctl restart rsyslog 
     

    配置完成之後,回到 Graylog Web,點選 Sources,檢視是否有新新增 Rsyslog 來源的圖形。

     

    Ubuntu 16.04 下部署 Graylog 2.x 日誌伺服器


    搜素 Graylog 

    在 Graylog Web 上,點選 Search 可以訪問 Graylog 搜尋頁面。 在這裡可以根據條件查詢指定的日誌。

    Ubuntu 16.04 下部署 Graylog 2.x 日誌伺服器

     

    假如你要搜尋 ssh 的活動日誌,輸入關鍵字 sshd,點搜尋圖示:

     

    Ubuntu 16.04 下部署 Graylog 2.x 日誌伺服器


    一些常用的搜尋語法 
    搜尋包含關鍵字 ssh 的資訊 
     

    ssh

    搜尋包含關鍵字 ssh 或 login 的資訊 
    ssh login 

    搜尋包含完整關鍵字 ssh login 的資訊 
    "ssh login" 

    搜尋欄位型別包含 ssh 的資訊 
    type:ssh 

    搜尋欄位型別包含 ssh 或 login 的資訊 
    type:(ssh login) 

    搜尋欄位型別包含完整關鍵字 ssh login 的資訊 
    type:"ssh login" 
     

    更詳細搜尋語法可參考官方文件: http://docs.graylog.org/en/2.3/pages/queries.html

     

    到此為止,就完成了一個基本的可以從其它伺服器收集日誌的 Graylog 伺服器部署

  •  

相關推薦

Ubuntu 16.04 部署 Graylog 2.x 日誌伺服器

  Graylog是一個開源的日誌管理系統,集中式收集、索引、分析其它伺服器發來的日誌。它是由Java語言編寫的,能夠接收TCP、UDP、AMQP協議傳送的日誌資訊,並且使用Mongodb做為後臺資料庫。它還有一個使用Ruby編寫的Web管理介面,可以輕鬆管理Graylog和查詢

ubuntu 16.04安裝VirtualBox5.2

參考網址:https://tecadmin.net/install-oracle-virtualbox-on-ubuntu/ 網上大多數教程都是如下安裝virturalbox,但是經常會出現問題,故記錄一中新的安裝方式,也是我成功安裝的方式 1.到oracle的htt

Ubuntu 16.04為Android編譯OpenCV 3.2.0 Manager

由於 ica 如何 setting -i add 標記 roi stripe http://johnhany.net/2016/07/build-opencv-manager-for-android-on-ubuntu/ 最近想在Android上嘗試一下SIFT和SU

【netcore基礎】ubuntu 16.04 搭建.net core 2.1 linux 執行環境 nginx反向代理 supervisor配置自啟動 【.NetCore學習】ubuntu16.04 搭建.net core mvc api 執行環境 .Net Core 部署Ubuntu 16.0

今天來整理下netcore在linux(ubuntu)上的執行環境搭建   對應版本 ubuntu 16.04 .net core 2.1 nginx version: nginx/1.10.3 (Ubuntu) supervisor Supervisorhttp://super

==2==Ubuntu 16.04安裝TensorFlow 目標檢測 API(物件檢測API)

由於最近剛看了rcnn,faster_rcnn,mask_rcnn的原文,想著做一下實驗,所以就如題,在ubuntu下安裝TensorFlow的目標識別API!!!!在此之前很少用Ubuntu,所以犯的錯很齊全 環境配置參考部落格連結 物件檢測API參考的部落格 主要參照上面的兩個部落格

並行作業2Ubuntu(16.04)安裝配置hadoop(2.7.3)

Ubuntu(16.04)下安裝配置hadoop(2.7.3) 系統採用vm下ubuntu16.04 一、Java環境搭建(參考我的其它部落格) 二、安裝ssh-server並實現免密碼登入 1、下載安裝ssh-server sudo apt-get install op

Ubuntu 16.04Redis叢集部署

Linux版本:Ubuntu16.04系統。(要讓叢集正常工作至少需要3個主節點,在這裡我們要建立6個redis節點,其中三個為主節點,三個為從節點,對應的redis節點的ip和埠對應關係如下)127.0.0.1:7000127.0.0.1:7001127.0.0.1:700

Ubuntu 16.04安裝Cuda 8.0, Anaconda 4.4.0和TensorFlow 1.2.1

原文連結:http://blog.csdn.net/jinzhuojun/article/details/77140806 Cuda 如果配了Nvidia卡的,可以考慮安裝Cuda,這樣之後可以用GPU加速。之前寫過一篇在Ubuntu 14.04上裝Cuda 7.5的文章(

Ubuntu 16.04 安裝 MATLAB 2017b 及其 Robotics ToolBox for MATLAB 10.2

1.安裝MATLAB 2017b2.設定MATLAB介面字型過小問題3.安裝Robotics ToolBox for MATLAB 10.2參考官網Robotics Toolbox 的下載安裝指導,這裡

ubuntu 16.04安裝使用opencv_3.2.0

首先,更新ubuntu上的一些庫: sudo apt-get update sudo apt-get upgrade 其次,需要安裝一些搭建opencv3的庫(要在opencv3搭建前安裝好) 具體需要的庫如下: sudo apt-get install cmake s

Ubuntu 16.04Markdown編輯器Haroopad

share .html eas 執行 6.0 png 嘗試 urg roo 1、下載deb包 地址:https://bitbucket.org/rhiokim/haroopad-download/downloads/haroopad-v0.13.2-x64.deb 這裏

Ubuntu 16.04使用gcc輸出匯編的.0文件為可執行文件時出現:`_start'被多次定義

file blank pan art 一次 x86_64 另一個 使用 urn 錯誤如下: `_start‘被多次定義 /usr/lib/gcc/x86_64-linux-gnu/5/../../../x86_64-linux-gnu/crt1.o:(.text+0

Ubuntu 16.04安裝nodejs

.cn ges ubuntu 技術 com apt-get 分享 6.0 images 源安裝: 1.curl -sL https://deb.nodesource.com/setup_5.x | sudo -E bash - 2.sudo apt-get insta

Ubuntu 16.04使用VirtualBox虛擬機安裝Windows XP win7 linux 安裝虛擬機

tle .aspx 定義 支持 ins amd 幫助 不用 1.2 1. http://www.linuxidc.com/Linux/2016-09/135192.htm 2. 對於初次使用Ubuntu 16.04的多小夥伴來說,可能還不是很熟悉操作,有時候,我們就需要在這

Ubuntu 16.04Redis Cluster集群搭建(官方原始方案)

選擇 正數 mil 請求 點數據 包含 最終 util 交互 前提:先安裝好Redis,參考:http://www.cnblogs.com/EasonJim/p/7599941.html 說明:Redis Cluster集群模式可以做到動態增加節點和下線節點,使用起來非常

Ubuntu 16.04搭建基於攜程Apollo(阿波羅)配置中心單機模式

settings cal tro script fig setting col 文件夾 .gz 官網:https://github.com/ctripcorp/apollo Wiki:https://github.com/ctripcorp/apollo/wiki Is

Ubuntu 16.04快速在當前目錄打開終端的快捷鍵設置

pen 打開終端 span 分享圖片 使用 apt nal 圖片 快捷鍵設置 說明:不一定每次都準確打開,80%的機會是行的。 原理:使用xdotool模擬鍵盤按鍵,打開的文件夾管理界面,然後通過Ctrl+L獲取地址欄地址,然後傳遞到終端上。 安裝: 1、安裝xdot

Ubuntu 16.04使用UNetbootin制作的ISO鏡像為U盤啟動出現:Missing Operating System (mbr.bin)

www 真的 通過 net ref 激活 class index.php miss 通過以下方式進行排查: 1、確定U盤是否真的有啟動系統 2、分區是否已經標記為激活狀態,尤其使用了Fdisk進行分區時,如果分區>=2時默認是不設置激活分區。 比如下面是通過Fd

Ubuntu 16.04安裝Apache壓力測試工具ab

apt-get gpo 簡單使用 utils sta markdown 測試結果 壓力測試 安裝apache 安裝 sudo apt-get install apache2-utils 簡單使用 # 對http://www.baidu.com/進行100次請求,10個並發請

Ubuntu 16.04使用VMware安裝CentOS 6.9然後在裏面再安裝KVM之後配置網橋無法上網的問題

div 使用 ubuntu inux 成功 log 無法上網 ubun centos 6 別試了,這個問題無法解決,已經使用VMware安裝了一層虛擬機,然後在裏面再安裝KVM,網絡層次已經變了,即使配置了網橋同樣無法上網。 可是這樣試一下,不一定成功:把VMware的虛