Installa e configura lo strumento di gestione dei registri Graylog
Se devi effettuare un'analisi dei log, tieni presente che esiste uno strumento open source chiamato Graylog che può raccogliere, indicizzare e analizzare dati strutturati e non strutturati da varie fonti.
Graylog è una piattaforma di gestione dei log open source completamente integrata per la raccolta, l'indicizzazione e l'analisi di dati strutturati e non strutturati provenienti da quasi tutte le fonti.
Collaborando con MongoDB per la gestione dei metadati e con ElasticSearch per l'archiviazione di log e la ricerca di testo, Graylog può aiutarti a comprendere meglio l'uso fatto all'interno delle tue applicazioni, a migliorarne la sicurezza e a ridurre i costi.
Pertanto Graylog indicizza tutti gli eventi esistenti nei tuoi log, ti consente di effettuare ricerche su tutti essi, ti invia avvisi in base alle parole chiave che hai definito e ti fornisce una dashboard chiara.
Questa è una soluzione interessante, semplice e facile da testare poiché è disponibile una macchina virtuale.
In questo tutorial, proveremo a installare GrayLog.
Installa GrayLog
Il modo più semplice per iniziare con una configurazione Graylog pronta per la produzione è utilizzare i nostri dispositivi ufficiali per macchine virtuali.
Questa è una configurazione Graylog minima che può essere utilizzata per configurazioni più piccole, non critiche o di prova. Nessuno dei componenti è ridondante ma è facile e veloce da configurare.
Prima di tutto, devi scaricare il file OVA da questo link.
Il secondo passaggio consiste nel distribuire l'appliance GrayLog su un ambiente VMware vSphere™.
Dopo aver eseguito la VM, è necessario accedere e modificare alcune configurazioni come le impostazioni di rete, la password dell'amministratore, ecc.
Configurazione dell'apparecchio
Il bello dei nuovi elettrodomestici è il
strumento che stiamo spedendo con loro. Vogliamo che tu inizi con una configurazione personalizzata il più presto possibile in modo che tu possa ora fare cose come:
Modificare la password dell'interfaccia Web Admin
Il login e la password predefiniti per l'interfaccia web di amministrazione sono admin e admin. Se vuoi cambiarlo devi eseguire il seguente comando:
graylog-ctl set-admin-password <password>Assegna un IP statico
Per impostazione predefinita, l'appliance utilizza DHCP per configurare la rete. Se vuoi accedere a Graylog con un IP statico puoi modificare il file /etc/network/interfaces in questo modo (solo le righe importanti):
auto eth0
iface eth0 inet static
address <static IP address>
netmask <netmask>
gateway <default gateway>
pre-up sleep 2
Attiva il nuovo IP e riconfigura Graylog per utilizzarlo:
sudo ifdown eth0 && sudo ifup eth0
sudo graylog-ctl reconfigureImpostazione della configurazione della posta elettronica
Se desideri ricevere avvisi da GrayLog, devi impostare la configurazione dell'e-mail utilizzando questo comando.
graylog-ctl set-email-config <smtp server> [--port=<smtp port> --user=<username> --password=<password>]
graylog-ctl set-timezone <zone acronym>Dopo ogni modifica è necessario riconfigurare Graylog per utilizzarlo:
sudo graylog-ctl reconfigureAttendi un po' di tempo finché tutti i servizi non verranno riavviati e saranno nuovamente in esecuzione. Successivamente dovresti essere in grado di accedere a Graylog con il nuovo IP.
Una volta effettuato l'accesso, verrà visualizzata la seguente pagina di ricerca.
È tutto. Grazie.