웹사이트 검색

Debian 10에서 Graylog v3.1로 로그 파일을 모니터링하는 방법

이 튜토리얼은 다음 OS 버전에 대해 존재합니다.

  • 데비안 9(스트레치)

이 페이지에서

  1. 전제 조건
  2. 1단계: Debian Backport로 시스템 업데이트
  3. 2단계 - 헤드리스 Java 런타임 v11.00 설치\n
  4. 4단계 - MongoDB v4.2 설치
  5. 5단계: Elasticsearch-OSS 6.x 설치
  6. 6단계: Graylog v3.1 설치
  7. 7단계: Graylog 구성
  8. 8단계: Graylog 테스트
  9. 9단계: Graylog 로그인
  10. 결론

Graylog는 Java, ElasticSearch 및 MongoDB를 기반으로 하는 무료 오픈 소스 로그 관리 도구입니다. Graylog는 중앙 위치 또는 분산된 위치에서 모든 서버 로그를 수집, 색인화 및 분석하는 데 사용할 수 있습니다. Graylog를 사용하여 애플리케이션 및 로그 디버깅을 위한 비정상적인 활동을 쉽게 모니터링할 수 있습니다. Graylog는 강력한 쿼리 언어, 경고 기능, 데이터 변환을 위한 처리 파이프라인 등을 제공합니다. 또한 REST API 및 애드온을 통해 Graylog의 기능을 확장할 수 있습니다.

현재 Debian 10의 Graylog v3.1에 대한 공식 가이드는 아직 없습니다.

Debian 10에 Graylog v3.1을 설치하는 과정은 9단계입니다.

  • 1단계: Debian Backport 리포지토리로 시스템 업데이트
  • 2단계: 도우미 설치
  • 3단계: 헤드리스 JAVA 런타임 v11.00 설치\n
  • 4단계: 구성 및 메타 정보를 저장할 데이터베이스인 MongoDB v4.2를 설치합니다.\n
  • 5단계: Elasticsearch-OSS 6.x 설치: 들어오는 모든 메시지를 저장하고 검색 기능을 제공합니다.\n
  • 6단계: Graylog v3.1 설치 - 다양한 입력을 수신 및 기록하고 분석 및 모니터링을 위한 웹 인터페이스를 제공합니다.\n
  • 7단계: Graylog 구성
  • 8단계: Graylog 테스트
  • 9단계: Graylog 로그인

전제 조건

  • 최소 Debian 10. 이 튜토리얼을 참조할 수 있습니다.\n
  • 최소 4GB RAM, 2코어 CPU 및 20GB 디스크
  • 기본 비밀번호: KataLaluan\n
  • 기본 보안 비밀: SecretRahsiaSecreta
  • "su -"를 사용한 루트 액세스, 데비안은 최근 su 명령 동작을 변경했습니다. 이제 su 명령은 PATH를 대체하지 않습니다. 대신 "su -"를 사용하십시오.\n

1단계: Debian Backport로 시스템 업데이트

Debian 백포트 저장소를 사용하도록 시스템 구성

cat > /etc/apt/sources.list << EOF
deb http://ftp.debian.org/debian/ buster main contrib non-free
deb http://security.debian.org/debian-security buster/updates main contrib non-free
deb http://ftp.debian.org/debian/ buster-updates main contrib non-free
deb http://ftp.debian.org/debian buster-backports main contrib non-free
EOF
apt -y update
apt -y dist-upgrade

2단계 - 헤드리스 Java 런타임 v11.00 설치

Graylog 및 Elasticsearch는 자바 기반 애플리케이션입니다. 따라서 시스템에 Java를 설치해야 합니다. 기본적으로 최신 버전의 Java는 Debian 10 기본 리포지토리에서 사용할 수 있습니다. 다음 명령을 실행하여 설치할 수 있습니다.

apt -y install apt-transport-https default-jdk

3단계 - 도우미 설치

프로세스에서 도우미로 몇 가지 유용한 도구를 설치해야 합니다.

  • GnuPG - 키 관리 시스템에 도움이 되는 OpenPGP 표준 구현\n
  • wget - 가장 널리 사용되는 인터넷 프로토콜인 HTTP, HTTPS 및 FTP를 사용하여 파일을 검색하는 도구\n

apt -y install gnupg wget

4단계 - MongoDB v4.2 설치

기본적으로 MongoDB는 Debian 10 기본 저장소에서 사용할 수 없습니다. 따라서 시스템에 MongoDB 저장소를 추가해야 합니다.

apt-key adv --keyserver hkp://keyserver.ubuntu.com:80 --recv 4B7C549A058F8B6B
echo "deb http://repo.mongodb.org/apt/debian buster/mongodb-org/4.2 main" | tee /etc/apt/sources.list.d/latest-mongodb.list
apt -y update
apt install -y mongodb-org

MongoDB 서비스 활성화 및 재시작:

systemctl enable mongod.service
systemctl start mongod.service

5단계: Elasticsearch-OSS 6.x 설치

현재 Graylog v3.1은 아직 Elasticsearch-OSS 7.x를 지원하지 않습니다.

Elasticsearch 키와 저장소를 Debian에 추가하려고 했습니다. elastic.co에서 제공하는 elasticsearch 저장소를 사용하여 다음 명령을 실행하여 Elasticsearch를 설치할 수 있었습니다.

wget -qO - https://artifacts.elastic.co/GPG-KEY-elasticsearch | apt-key add -
echo "deb https://artifacts.elastic.co/packages/oss-6.x/apt stable main" | tee -a /etc/apt/sources.list.d/latest-elastic-6.x.list
apt -y update
apt -y install elasticsearch-oss

클러스터 이름에 대해 Elasticsearch 구성

sed -i "s/#cluster.name: my-application/cluster.name: graylog-application/g" /etc/elasticsearch/elasticsearch.yml

Elasticsearch 서비스를 활성화하고 다시 시작합니다.

systemctl enable elasticsearch.service
systemctl start elasticsearch.service

6단계: Graylog v3.1 설치

Graylog 키를 추가하고 Graylog 저장소를 구성하는 데 도움이 되는 간단한 Graylog 패키지를 다운로드하겠습니다.

cd /tmp/
wget https://packages.graylog2.org/repo/packages/graylog-3.1-repository_latest.deb
dpkg -i graylog-3.1-repository_latest.deb
apt -y update

다음 명령어를 실행하여 Graylog를 설치합니다.

apt -y install graylog-server

7단계: Graylog 구성

암호를 해시하고 해시를 복사합니다. "KataLaluan"은 현재 선택된 암호입니다.

echo 'KataLaluan' | tr -d '\n' | sha256sum | cut -d" " -f1

Graylog 구성 파일에 해시된 암호를 추가합니다.

sed -i "s/^root_password_sha2 =\$/root_password_sha2 = a25d2f6605c9e27f182d39b66a8b527eb7f2360e52b2ccc7614f8ac24e472bef/g" /etc/graylog/server/server.conf

Graylog 구성 파일에 암호를 추가합니다. 암호의 최소 길이는 16자입니다.

sed -i "s/^password_secret =\$/password_secret = SecretRahsiaSecreta/g" /etc/graylog/server/server.conf

graylog에 대한 외부 액세스 허용

sed -i "s/^#http_bind_address = 127.0.0.1:9000/http_bind_address = 0.0.0.0:9000/g" /etc/graylog/server/server.conf

위치에 따라 시간대 변경

sed -i "s/#root_timezone = UTC/root_timezone = Asia\/Kuala_Lumpur/g" /etc/graylog/server/server.conf

Graylog 서비스 활성화 및 재시작:

systemctl enable graylog-server.service
systemctl start graylog-server.service

Graylog가 라우터 뒤에 있으면 라우터 WAN IP 주소를 Graylog 구성으로 설정해야 합니다. 또한 동일한 IP 주소를 가리키는 DNS A 레코드일 수도 있습니다.

sed -i '/http_publish_uri =/c\http_publish_uri = http://graylog.linux-console.net:9000/' /etc/graylog/server/server.conf

8단계: Graylog 테스트

기본 명령어를 사용하여 Graylog를 테스트해 보겠습니다.

apt -y install netcat curl

다음은 기록할 몇 가지 샘플 명령입니다.

echo "Hello Graylog, let's be friends." | nc -w 1 -u 127.0.0.1 9099

다음은 Graylog 서버 API 상태를 가져오는 몇 가지 샘플 명령입니다.

curl -X GET http://localhost:9200
curl -XGET 'http://localhost:9200/_cluster/health?pretty=true'

다음은 Graylog 서버 로그를 가져오는 몇 가지 샘플 명령입니다.

tail -f /var/log/graylog-server/server.log

9단계: Graylog 로그인

WebGUI를 사용합시다. URL은 다음과 같을 수 있습니다.

  • http://<로컬_IP_주소>:9000/
  • http://:9000/
  • http://:9000/

URL 샘플

  • http://192.168.0.3:9000/
  • http://104.26.2.165:9000/
  • http://graylog.howtoforge:9000/

브라우저에 URL을 입력하면 다음과 같은 로그인 페이지가 표시되어야 합니다. 기본 사용자 이름은 admin이고 선택된 비밀번호는 KataLaluan입니다.

로그인하면 다음 Graylog 페이지가 표시됩니다.

결론

완료, Debian 10에 Graylog 3.1 서버를 성공적으로 설치하고 구성했습니다. 이제 중앙 위치에서 시스템 로그의 로그 및 분석을 쉽게 볼 수 있습니다. Graylog 설명서 페이지에서 자세한 정보를 확인하세요. 질문이 있으면 의견과 의견을 보내주십시오.

행복한 로깅.