Установка и настройка Graylog

Добро пожаловать в подробное руководство по установке и настройке Graylog в НАЙС ОС. В этом документе мы рассмотрим процесс установки, настройки и управления Graylog, включая настройку сбора и анализа логов, управление потоками и правилами обработки, а также интеграцию с внешними источниками данных и визуализацию. Graylog — это мощная система для сбора, анализа и управления логами. Понимание его установки и конфигурации является важным навыком для системных администраторов и DevOps-инженеров.

Установка и конфигурация Graylog

Установка зависимостей

Для начала установите необходимые зависимости, включая Java, MongoDB и Elasticsearch:

sudo tdnf install -y java-1.8.0-openjdk mongodb-server

Скачайте и установите Elasticsearch:

sudo rpm --import https://artifacts.elastic.co/GPG-KEY-elasticsearch
sudo tee /etc/yum.repos.d/elasticsearch.repo <yum
gpgcheck=1
gpgkey=https://artifacts.elastic.co/GPG-KEY-elasticsearch
enabled=1
autorefresh=1
type=rpm-md
EOF
sudo tdnf install -y elasticsearch

Запуск и настройка MongoDB и Elasticsearch

Запустите и включите MongoDB и Elasticsearch при старте системы:

sudo systemctl start mongod
sudo systemctl enable mongod
sudo systemctl start elasticsearch
sudo systemctl enable elasticsearch

Установка Graylog

Скачайте и установите Graylog:

wget https://packages.graylog2.org/repo/packages/graylog-4.2-repository_latest.rpm
sudo rpm -Uvh graylog-4.2-repository_latest.rpm
sudo tdnf install -y graylog-server

Конфигурация Graylog

Отредактируйте файл конфигурации /etc/graylog/server/server.conf и настройте следующие параметры:


password_secret = your_random_secret
root_password_sha2 = your_sha256_password_hash
root_email = "admin@example.com"
root_timezone = UTC
elasticsearch_hosts = http://localhost:9200
  

Создайте секретный ключ и хеш пароля:

pwgen -N 1 -s 96
echo -n your_password | sha256sum

Запуск Graylog

Запустите и включите Graylog при старте системы:

sudo systemctl start graylog-server
sudo systemctl enable graylog-server

Настройка сбора и анализа логов

Настройка входящих потоков

Откройте веб-интерфейс Graylog по адресу http://your_domain_or_IP:9000 и войдите с учетными данными администратора. Для настройки входящих потоков выполните следующие шаги:

  1. Перейдите в раздел "System / Inputs".
  2. Нажмите "Select input" и выберите тип входящего потока (например, Syslog UDP).
  3. Нажмите "Launch new input", укажите параметры и нажмите "Save".

Настройка Filebeat для отправки логов в Graylog

Установите Filebeat и настройте его для отправки логов в Graylog:

  1. Добавьте репозиторий Filebeat:
  2. sudo tee /etc/yum.repos.d/filebeat.repo <yum
    gpgcheck=1
    gpgkey=https://artifacts.elastic.co/GPG-KEY-elasticsearch
    enabled=1
    autorefresh=1
    type=rpm-md
    EOF
    
  3. Установите Filebeat:
  4. sudo tdnf install -y filebeat
  5. Настройте Filebeat для отправки логов в Graylog. Отредактируйте файл /etc/filebeat/filebeat.yml:
  6. 
    filebeat.inputs:
    - type: log
      enabled: true
      paths:
        - /var/log/*.log
    
    output.logstash:
      hosts: ["localhost:5044"]
        
  7. Запустите и включите Filebeat при старте системы:
  8. sudo systemctl start filebeat
    sudo systemctl enable filebeat

Управление потоками и правилами обработки

Создание потоков

Для создания потоков выполните следующие шаги:

  1. Перейдите в раздел "Streams" и нажмите "Create stream".
  2. Введите имя и описание потока и выберите входящий поток.
  3. Нажмите "Create stream" для завершения создания потока.

Настройка правил обработки

Для настройки правил обработки выполните следующие шаги:

  1. Перейдите в раздел "Streams" и выберите созданный поток.
  2. Нажмите "Manage rules" и затем "Add rule".
  3. Введите имя и описание правила, выберите условие и действие.
  4. Нажмите "Save" для сохранения правила.

Интеграция с внешними источниками данных и визуализация

Интеграция с внешними источниками данных

Graylog поддерживает интеграцию с различными внешними источниками данных через плагины и API. Рассмотрим пример интеграции с внешним HTTP API.

Использование HTTP Input

Для использования HTTP Input выполните следующие шаги:

  1. Перейдите в раздел "System / Inputs".
  2. Нажмите "Select input" и выберите "HTTP JSON Path".
  3. Нажмите "Launch new input", укажите параметры и нажмите "Save".

Визуализация данных

Для визуализации данных в Graylog выполните следующие шаги:

  1. Перейдите в раздел "Dashboards" и нажмите "Create dashboard".
  2. Введите имя и описание дашборда и нажмите "Create".
  3. Добавьте виджеты на дашборд, выбрав "Add widget" и настроив параметры визуализации.
  4. Нажмите "Save" для сохранения дашборда.

Заключение

Мы рассмотрели основные аспекты установки, настройки и управления Graylog в НАЙС ОС. Graylog предоставляет мощные возможности для сбора, анализа и управления логами, а понимание его настройки и интеграции является важным навыком для системных администраторов и DevOps-инженеров. Продолжайте изучать и применять эти знания на практике для создания стабильных и эффективных систем мониторинга и анализа логов.