Graylog2: Difference between revisions
Created page with "Henri Rindesalu AK-21" |
|||
(18 intermediate revisions by the same user not shown) | |||
Line 1: | Line 1: | ||
Henri Rindesalu | [[Category:Operatsioonisüsteemide administreerimine ja sidumine]] | ||
= Autor = | |||
Henri Rindesalu AK21 [mailto:henri.rindesalu@itcollege.ee henri.rindesalu@itcollege.ee] | |||
= Sissejuhatus = | |||
[http://graylog2.org/ Graylog2] on avaliku koodiga tarkvara, mis kogub logisid ja kuvab neid kasutajasõbralikul moel. Graylog koosneb neljast osast: Serverist, mis on kirjutatud Java's, mis võtab vastu syslogi sõnumeid üle TCP või UDP ja hoiab neid [http://www.mongodb.org/ mongoDB] andmebaasis. Teine osa on Ruby on Rails veebiliides, läbi mille saab logisid lugeda ja analüüsida. Kolmas osa on [http://www.elasticsearch.org/overview/ ElasticSearch], mis pakub otsingut ja analüütikat. Ning neljas on juba eelpool mainitud MongoDB. | |||
= Kasutajatugi = | |||
GrayLog2 veebilehel on piisavalt dokumentatsiooni, et süsteemi tundma õppida. Samuti saab küsida nõu kommuunist, anda teada vigadest, liituda meililistiga ning IRC kanaliga. | |||
http://graylog2.org/support | |||
Graylogile saab ka tasulist tuge, mida pakub [http://www.torch.sh/ Torch] | |||
= Paigaldamine = | |||
Graylog2 käsitsi paigaldus on üsna keeruline ning aeganõudev. Aja säästmiseks kasutame [https://github.com/mrlesmithjr/graylog2/blob/master/install_graylog2_ubuntu.sh skripti]. Antud skript on kirjutatud Github kasutaja [https://github.com/mrlesmithjr mrlesmithjr] poolt muutmaks Graylog2 paigaldust kiiremaks ja lihtsamaks. Skripti koduleht Githubis: https://github.com/mrlesmithjr/graylog2 | |||
== Eeldused == | |||
Antud juhendi toimiseks peavad olema täidetud järgnevad eeldused: | |||
Server: Ubuntu Server 12.04 X64 või 12.10 X64<br> | |||
Minimaalne mälu maht: sõltub andmebaasi suurusest. Mälu peaks olema vähemalt sama palju, kui suur on andmebaas<br> | |||
Minimaalne kõvaketta suurus: 5 GB<br> | |||
Võrk: interneti olemasolu vajalik, DNS peab olema seadistatud. | |||
Lisatarkvara: | |||
* Apache | |||
* Ruby | |||
* Git | |||
== Paigaldusdetailid == | |||
https://github.com/mrlesmithjr/graylog2 | |||
'''1. Võtame terminali lahti juurkasutajana.''' | |||
<source lang="bash"> | |||
sudo -i | |||
</source> | |||
'''2. Paigaldame Git'i .''' | |||
<source lang="bash"> | |||
apt-get -y install git | |||
</source> | |||
'''3. Tekitame Git klooni''' | |||
<source lang="bash"> | |||
git clone https://github.com/mrlesmithjr/graylog2/ | |||
</source> | |||
'''4. Muudame githubist saadud skripti käivitatavaks''' | |||
<source lang="bash"> | |||
chmod +x ./graylog2/install_graylog2_ubuntu.sh | |||
</source> | |||
'''5. Et muuta paigaldatava serveri IP aadressi, tuleb skripti muuta. Vaikimisi tunneb skript serveri IP aadressi ise ära. Faili muutmiseks avame selle tekstiredaktoriga.''' | |||
<source lang="bash"> | |||
nano ./graylog2/install_graylog2_ubuntu.sh | |||
</source> | |||
'''6. Kui skript on meelepärane, käivitame selle.''' | |||
<source lang="bash"> | |||
./graylog2/install_graylog2_ubuntu.sh | |||
</source> | |||
'''7. Graylog2 koos kõige vajalikuga on paigaldatud''' | |||
Mine brauseriga aadressile [http://serveriIP http://<serveriIP>/] ja tekita endale esialgne konto. | |||
== Edasised seadistused == | |||
=== Logide kogumine Windowsi masinatest === | |||
Selleks, et Graylog saaks logisid Windowsi masinatest, tuleb paigaldada monitooritavatesse arvutitesse klient, mis logisid välja saadab. Nt. [http://nxlog-ce.sourceforge.net/ nxlog]. | |||
'''1. Laeme alla nxlogi msi paki.''' | |||
http://sourceforge.net/projects/nxlog-ce/files/ | |||
'''2. Paigaldame paki monitooritavale masinale.''' | |||
'''3. Liigume kausta: C:\Program Files (x86)\nxlog\conf''' | |||
'''4. Avame faili nxlog.conf''' | |||
'''5. Määrame ära Graylog2 serveri IP aadressi ja syslogi pordi.''' | |||
<Output out> | |||
Module om_tcp | |||
Host serveri.ip.aadress.siia | |||
Port pordinumber | |||
</Output> | |||
'''6. Veendu, et teenus nimega nxlog töötab.''' | |||
Selleks ava Run aken (win+r). Sisesta käsk: services.msc ja otsi nimekirjast teenus nimega nxlog. Veendu, et status oleks "Running". | |||
'''7. Mõne minuti pärast hakkab nxlog'i klient Windowsi event logi Graylogi serverisse saatma''' | |||
= Kokkuvõtteks = | |||
Graylog2 on äärmiselt efektiivne logide analüüsimise ja kuvamise süsteem. Logisid saab saata kõikidelt seadmetelt, mis toetavad syslogi. Probleemiks võib osutuda meeletu info kogus, mis logiserverile saadetakse, kuna esialgse seadistusena võetakse kõik vastu. Seega peab vaeva nägema ja vastavad filtrid tekitama, et olulist infot ebaolulisest eristada. | |||
= Viited = | |||
# http://graylog2.org/ | |||
# https://github.com/mrlesmithjr/graylog2 | |||
# http://www.mongodb.org/ | |||
# http://www.elasticsearch.org/ |
Latest revision as of 11:29, 9 January 2014
Autor
Henri Rindesalu AK21 henri.rindesalu@itcollege.ee
Sissejuhatus
Graylog2 on avaliku koodiga tarkvara, mis kogub logisid ja kuvab neid kasutajasõbralikul moel. Graylog koosneb neljast osast: Serverist, mis on kirjutatud Java's, mis võtab vastu syslogi sõnumeid üle TCP või UDP ja hoiab neid mongoDB andmebaasis. Teine osa on Ruby on Rails veebiliides, läbi mille saab logisid lugeda ja analüüsida. Kolmas osa on ElasticSearch, mis pakub otsingut ja analüütikat. Ning neljas on juba eelpool mainitud MongoDB.
Kasutajatugi
GrayLog2 veebilehel on piisavalt dokumentatsiooni, et süsteemi tundma õppida. Samuti saab küsida nõu kommuunist, anda teada vigadest, liituda meililistiga ning IRC kanaliga. http://graylog2.org/support
Graylogile saab ka tasulist tuge, mida pakub Torch
Paigaldamine
Graylog2 käsitsi paigaldus on üsna keeruline ning aeganõudev. Aja säästmiseks kasutame skripti. Antud skript on kirjutatud Github kasutaja mrlesmithjr poolt muutmaks Graylog2 paigaldust kiiremaks ja lihtsamaks. Skripti koduleht Githubis: https://github.com/mrlesmithjr/graylog2
Eeldused
Antud juhendi toimiseks peavad olema täidetud järgnevad eeldused:
Server: Ubuntu Server 12.04 X64 või 12.10 X64
Minimaalne mälu maht: sõltub andmebaasi suurusest. Mälu peaks olema vähemalt sama palju, kui suur on andmebaas
Minimaalne kõvaketta suurus: 5 GB
Võrk: interneti olemasolu vajalik, DNS peab olema seadistatud.
Lisatarkvara:
- Apache
- Ruby
- Git
Paigaldusdetailid
https://github.com/mrlesmithjr/graylog2
1. Võtame terminali lahti juurkasutajana.
sudo -i
2. Paigaldame Git'i .
apt-get -y install git
3. Tekitame Git klooni
git clone https://github.com/mrlesmithjr/graylog2/
4. Muudame githubist saadud skripti käivitatavaks
chmod +x ./graylog2/install_graylog2_ubuntu.sh
5. Et muuta paigaldatava serveri IP aadressi, tuleb skripti muuta. Vaikimisi tunneb skript serveri IP aadressi ise ära. Faili muutmiseks avame selle tekstiredaktoriga.
nano ./graylog2/install_graylog2_ubuntu.sh
6. Kui skript on meelepärane, käivitame selle.
./graylog2/install_graylog2_ubuntu.sh
7. Graylog2 koos kõige vajalikuga on paigaldatud
Mine brauseriga aadressile http://<serveriIP>/ ja tekita endale esialgne konto.
Edasised seadistused
Logide kogumine Windowsi masinatest
Selleks, et Graylog saaks logisid Windowsi masinatest, tuleb paigaldada monitooritavatesse arvutitesse klient, mis logisid välja saadab. Nt. nxlog.
1. Laeme alla nxlogi msi paki. http://sourceforge.net/projects/nxlog-ce/files/
2. Paigaldame paki monitooritavale masinale.
3. Liigume kausta: C:\Program Files (x86)\nxlog\conf
4. Avame faili nxlog.conf
5. Määrame ära Graylog2 serveri IP aadressi ja syslogi pordi.
<Output out> Module om_tcp Host serveri.ip.aadress.siia Port pordinumber </Output>
6. Veendu, et teenus nimega nxlog töötab. Selleks ava Run aken (win+r). Sisesta käsk: services.msc ja otsi nimekirjast teenus nimega nxlog. Veendu, et status oleks "Running".
7. Mõne minuti pärast hakkab nxlog'i klient Windowsi event logi Graylogi serverisse saatma
Kokkuvõtteks
Graylog2 on äärmiselt efektiivne logide analüüsimise ja kuvamise süsteem. Logisid saab saata kõikidelt seadmetelt, mis toetavad syslogi. Probleemiks võib osutuda meeletu info kogus, mis logiserverile saadetakse, kuna esialgse seadistusena võetakse kõik vastu. Seega peab vaeva nägema ja vastavad filtrid tekitama, et olulist infot ebaolulisest eristada.