Graylog adalah alat manajemen log sumber terbuka dan gratis berbasis Java, Elasticsearch, dan MongoDB yang dapat digunakan untuk mengumpulkan, mengindeks, dan menganalisis log server apa pun dari lokasi terpusat. Anda dapat dengan mudah memantau login SSH dan aktivitas tidak biasa untuk men-debug aplikasi dan log menggunakan Graylog. Graylog menyediakan bahasa kueri yang kuat, kemampuan peringatan, saluran pemrosesan untuk transformasi data, dan banyak lagi. Anda dapat memperluas fungsionalitas Graylog melalui REST API dan Add-on.
Graylog terdiri dari tiga komponen:
- Elasticsearch :Menyimpan semua pesan yang masuk dan menyediakan fasilitas pencarian.
- MongoDB :Digunakan untuk database, menyimpan konfigurasi dan informasi meta.
- Server Graylog :Menerima dan memproses pesan dari berbagai masukan dan menyediakan antarmuka web untuk analisis dan pemantauan.
Dalam tutorial ini, kami akan menjelaskan cara menginstal Graylog2 di Server Debian 9.
Prasyarat
- Server yang menjalankan Debian 9.
- RAM minimal 4 GB.
- Alamat IP statis 192.168.0.187 disiapkan di server Anda.
1 Instal Paket yang Diperlukan
Sebelum memulai, Anda perlu menginstal Java 8 dan paket lain yang diperlukan ke sistem Anda. Tidak semua paket yang dibutuhkan tersedia di repositori standar Debian 9, jadi Anda perlu menambahkan Debian Backports ke daftar sumber paket. Pertama, login dengan pengguna root dan buat file backport.list:
nano /etc/apt/sources.list.d/backport.list
Tambahkan baris berikut:
deb http://ftp.debian.org/debian stretch-backports main
Simpan file setelah Anda selesai, lalu perbarui sistem Anda dengan perintah berikut:
apt-get update -y
apt-get upgrade -y
Setelah sistem Anda diperbarui, instal semua paket dengan perintah berikut:
apt-get install apt-transport-https openjdk-8-jre-headless uuid-runtime pwgen -y
Setelah semua paket yang diperlukan terinstal, Anda dapat melanjutkan untuk menginstal MongoDB.
2 Instal MongoDB
MongoDB diperlukan untuk menyimpan konfigurasi dan informasi meta. MongoDB tersedia di repositori default Debian 9, sehingga Anda dapat menginstal MongoDB hanya dengan menjalankan perintah berikut:
apt-get install mongodb-server -y
Setelah MongoDB terinstal, Anda dapat melanjutkan untuk menginstal Elasticsearch.
3 Instal Elasticsearch
Elasticsearch bertindak sebagai server pencarian yang menyimpan semua log yang dikirim oleh server Graylog dan menampilkan pesan kapan pun Anda meminta. Elasticsearch tidak tersedia di repositori default Debian 9. Anda perlu menambahkan repositori Elasticsearch ke sumber paket Debian.
Pertama, unduh dan tambahkan kunci GPG Elasticsearch dengan perintah berikut:
wget -qO - https://packages.elastic.co/GPG-KEY-elasticsearch | apt-key tambahkan -
Selanjutnya, buat file repo Elasticsearch dengan perintah berikut:
nano /etc/apt/sources.list.d/elasticsearch.list
Tambahkan baris berikut:
deb https://packages.elastic.co/elasticsearch/2.x/debian stable main
Simpan file setelah Anda selesai, lalu perbarui repositori dengan menjalankan perintah berikut:
apt-get update -y
Selanjutnya, instal Elasticsearch dengan menjalankan perintah berikut:
apt-get install elasticsearch -y
Setelah Elasticsearch diinstal, Anda perlu memodifikasi file konfigurasi utama Elasticsearch:
nano /etc/elasticsearch/elasticsearch.yml
Lakukan perubahan berikut:
nama cluster:greylognetwork.host:192.168.0.187discovery.zen.ping.timeout:10sdiscovery.zen.ping.multicast.enabled:falsediscovery.zen.ping.unicast.hosts:["192.168.0.187:9300" ]
Simpan dan tutup file setelah Anda selesai, lalu mulai layanan Elasticsearch dan aktifkan untuk memulai saat boot:
systemctl start elasticsearch
systemctl aktifkan elasticsearch
Setelah beberapa detik, jalankan perintah berikut untuk menguji bahwa Elasticsearch berjalan dengan benar:
curl -XGET 'http://192.168.0.187:9200/_cluster/health?pretty=true'
Pastikan output menunjukkan status cluster sebagai "hijau":
{ "cluster_name" :"graylog", "status" :"green", "timed_out" :false, "number_of_nodes" :1, "number_of_data_nodes" :1, "active_primary_shards" :1, "active_shards" :1, "relocating_shards" :0, "initializing_shards" :0, "unassigned_shards" :1, "delayed_unassigned_shards" :0, "number_of_pending_tasks" :0, "number_of_in_flight_fetch" :0, "task_max_waiting_active_in_queue_} pra>
Setelah Elasticsearch diinstal dan berfungsi dengan baik, Anda dapat melanjutkan ke langkah berikutnya.
4 Instal Graylog
Graylog tidak tersedia di repositori default Debian 9, jadi Anda harus mengunduh dan menginstal repositori Graylog 2 terlebih dahulu. Anda dapat melakukannya dengan menjalankan perintah berikut:
wget https://packages.graylog2.org/repo/packages/graylog-2.2-repository_latest.deb
dpkg -i greylog-2.2-repository_latest.deb
Setelah repositori terinstal, perbarui repositori dan instal server Graylog dengan perintah berikut:
apt-get update -y
apt-get install greylog-server -y
Setelah menginstal Graylog, Anda perlu menyetel rahasia untuk mengamankan sandi pengguna dan juga menyetel sandi hash (sha256) untuk pengguna root.
Pertama, buat password_secret dengan perintah berikut:
pwgen -N 1 -s 96
Anda akan melihat output berikut:
TRXbNPoW4gGC8BN8Gzl4wH3jtfLoi06WCJqia18UtYyPaNLx4r8U7jUPRlIJHoGGxrCjZVqAvW2DcueI6N1zHoy2bKEWLyyC
Selanjutnya buat hash password untuk root user dengan perintah berikut:
echo -n sandiadminanda | sha256sum
Anda akan melihat output berikut:
e3c5925aa22abdfa18cf197a7b218fcad31acb6409d2e2dbebae807d3a9750ee
Catatan:Ingat kedua kunci sandi, karena kedua kunci perlu dikonfigurasi di server.conf.
Selanjutnya, Anda perlu memodifikasi file konfigurasi utama server Graylog yang terletak di direktori /etc/graylog/server/:
nano /etc/graylog/server/server.conf
Lakukan perubahan berikut:
is_master =truenode_id_file =/ etc / graylog / server / node-id ######## masa lalu--Anda-sandi rahasia-sini ######### password_secret =TRXbNPoW4gGC8BN8Gzl4wH3jtfLoi06WCJqia18UtYyPaNLx4r8U7jUPRlIJHoGGxrCjZVqAvW2DcueI6N1zHoy2bKEWLyyCroot_username =admin ## #####past-your-root-hash-password-di sini##########root_password_sha2 =e3c5925aa22abdfa18cf197a7b218fcad31acb6409d2e2dbebae807d3a9750eeroot_timezone =UTCplugin_dir/0.0uriyrest_0.0en_dir =/usr/servershare :9000 / api / rest_enable_cors =trueweb_listen_uri =http://0.0.0.0:9000/rotation_strategy =countelasticsearch_max_docs_per_index =20000000elasticsearch_max_number_of_indices =7retention_strategy =deleteelasticsearch_shards =4elasticsearch_replicas =1elasticsearch_index_prefix =graylogallow_leading_wildcard_searches =trueallow_highlighting =falseelasticsearch_cluster_name =graylogelasticsearch_discovery_zen_ping_unicast_hosts =192.168.0.187:9300elasticsearch_http_enabled =falseelasticsearch_network_host =0,0 . 00elasticsearch_discovery_initial_state_timeout =3selasticsearch_analyzer =standardoutput_batch_size =500output_flush_interval =1output_fault_count_threshold =5output_fault_penalty_seconds =30processbuffer_processors =5outputbuffer_processors =3processor_wait_strategy =blockingring_size =65536inputbuffer_ring_size =65536inputbuffer_processors =2inputbuffer_wait_strategy =blockingmessage_journal_enabled =truemessage_journal_dir =/ var / lib / graylog-server / journalasync_eventbus_processors =2lb_recognition_period_seconds =3alert_check_interval =60mongodb_uri =mongodb:/ /localhost/graylogmongodb_max_connections =1000mongodb_threads_allowed_to_block_multiplier =5content_packs_dir =/usr/share/graylog-server/contentpackscontent_packs_auto_load =grok-patterns.jsonproxied_requests_thread_pool_size =32
Simpan dan tutup file setelah Anda selesai, lalu jalankan layanan Graylog dan aktifkan untuk memulai saat boot:
systemctl start greylog-server
systemctl aktifkan greylog-server
Setelah selesai, Anda dapat melanjutkan ke langkah berikutnya
5 Konfigurasi Firewall
Secara default, antarmuka web Graylog mendengarkan pada port 9000, jadi Anda harus mengizinkan port 9000 melalui firewall UFW. Firewall UFW tidak diinstal di Debian 9. Jadi Anda harus menginstalnya terlebih dahulu. Anda dapat menginstalnya dengan menjalankan perintah berikut:
apt-get install ufw -y
Setelah UFW diinstal, aktifkan dengan menjalankan perintah berikut;
ufw aktifkan
Selanjutnya, izinkan port 9000 melalui firewall UFW dengan menjalankan perintah berikut:
ufw izinkan 9000
Anda dapat memeriksa status firewall UFW kapan saja dengan menjalankan perintah berikut.
status ufw
Setelah firewall dikonfigurasi, Anda dapat melanjutkan ke langkah berikutnya.
6 Akses Antarmuka Web Graylog
Antarmuka web Graylog mendengarkan pada port 9000. Sekarang, buka browser web Anda dan ketik URL http://192.168.0.187:9000 , Anda akan melihat layar berikut:
Masuk dengan nama pengguna "admin " dan kata sandi yang Anda konfigurasikan di root_password_sha2 di server.conf. Anda akan melihat layar berikut:
Selanjutnya, Anda perlu menambahkan input untuk menerima pesan syslog menggunakan UDP. Untuk menambahkan input, Klik System -> pilih Inputs -> Syslog UDP -> klik tombol Launch new input, Anda akan melihat layar berikut:
Isi semua detail seperti Judul, Port, alamat Bind dan terakhir Klik tombol Simpan, Anda akan melihat layar berikut:
Sekarang server Graylog akan menerima log sistem menggunakan port 8514 dari klien atau server.
Pada sistem Klien, Anda perlu mengonfigurasi rsyslog sehingga ia akan mengirim pesan log sistem ke server Graylog. Anda dapat melakukannya dengan mengedit file rsyslog.conf:
nano /etc/rsyslog.conf
Tambahkan baris berikut:
# menyediakan penerimaan syslog UDP$ModLoad imudp$UDPServerRun 8514$templat GRAYLOGRFC5424,"%protocol-version% %timestamp:::date-rfc3339% %HOSTNAME% %nama-aplikasi% %procid% %msg%\n" *.* @192.168.0.187:8514;GRAYLOGRFC5424
Simpan file dan mulai ulang layanan rsyslog untuk menerapkan perubahan ini:
systemctl restart rsyslog
Selanjutnya, pada server Graylog klik "Sumber Graylog" Anda dapat melihat log ssh dengan upaya login yang gagal di layar berikut.
Kesimpulan
Selamat! Anda telah berhasil menginstal dan mengkonfigurasi server Graylog di Debian 9. Sekarang Anda dapat dengan mudah melihat log dan analisis log sistem dari lokasi pusat. Anda juga dapat menyesuaikan Graylog dan mengirim jenis log lain sesuai kebutuhan Anda. Anda bisa mendapatkan informasi lebih lanjut dari halaman dokumentasi Graylog http://docs.graylog.org/en/2.2/pages/getting_started.html. Jangan ragu untuk mengomentari saya jika Anda memiliki pertanyaan.
Cara Menginstal dan Mengkonfigurasi OpenLiteSpeed Web Server di Debian 10
Instal Automad CMS dengan Nginx dan Mari Enkripsi SSL di Debian 10
Debian