Install Graylog บน Debian 10
Step 1 Insatall Package Require
apt update
apt upgrade
apt install apt-transport-https openjdk-11-jre-headless uuid-runtime pwgen dirmngr software-properties-common
Step 2 Install Mongodb
wget -qO - https://www.mongodb.org/static/pgp/server-4.2.asc | apt-key add -
echo "deb http://repo.mongodb.org/apt/debian buster/mongodb-org/4.2 main" | tee /etc/apt/sources.list.d/mongodb-org-4.2.list
apt-get update
apt-get install -y mongodb-org
systemctl daemon-reload
systemctl enable mongod.service
systemctl restart mongod.service
systemctl status mongod.service
Step 3 Install Elasticsearch
graylog ใช้ Elasticsearch ได้ เฉพาะเวอร์ชั่น 6.x เท่านั้น
wget -qO - https://artifacts.elastic.co/GPG-KEY-elasticsearch | apt-key add -
add-apt-repository "deb https://artifacts.elastic.co/packages/6.x/apt stable main"
apt-get update
apt-get install elasticsearch
- set cluster name
vim /etc/elasticsearch/elasticsearch.yml
cluster.name: graylog
systemctl daemon-reload
systemctl enable elasticsearch.service
systemctl restart elasticsearch.service
systemctl status elasticsearch.service
Step 4 Install Graylog
pwgen -N 1 -s 96 เอาไปรันใน หน้า command ของ linux แล้วเอาไปใส่ใน password_secret
echo -n yourpassword | shasum -a 256 เอาไปรันใน หน้า command ของ linux แล้วเอาไปใส่ใน root_password_sha2 เป็น pass ของ user admin graylog
user สำหรับ login graylog Default คือ admin และ Defaul Port ของ Graylog คือ 9000 สามารถเปลี่ยนได้ใน server.conf
สามารถเข้าหน้า graylog ผ่าน url: your-ip-address:9000
Install
wget https://packages.graylog2.org/repo/packages/graylog-3.3-repository_latest.deb
dpkg -i graylog-3.3-repository_latest.deb
apt-get update && apt-get install graylog-server
- config graylog
vim /etc/graylog/server/server.conf
http_bind_address = your-ip-address:9000
password_secret =
root_password_sha2 = pass for graylog login
root_timezone = Asia/Bangkok
systemctl daemon-reload
systemctl enable graylog-server.service
systemctl start graylog-server.service
systemctl status graylog-server.service
config ให้ส่ง log มาที่เครื่องได้โดย คอนฟิกที่เครื่องที่ต้องการส่ง log
vim /etc/rsyslog.conf
เพิ่มเข้าไป แล้วแต่ว่าจะใช้ TCP หรือ UDP
UDP:
$ . @graylog.example.org:514;RSYSLOG_SyslogProtocol23Format
TCP:
$ . @@graylog.example.org:514;RSYSLOG_SyslogProtocol23Format
config ที่ เครื่อง graylog ให้เปิด port รอรับ log ตามภาพ โดยไปที่ System/Inputs > Inputs เพิ่ม Select input
