Ricerca nel sito web

Come inviare i registri di Ubuntu a un server Graylog

Su questa pagina

  1. Prerequisiti
  2. Impostazione dell'input Graylog
  3. Configura il client Ubuntu per inviare i log
  4. Controllo dei registri dal server Graylog
  5. Conclusione

Graylog è un sistema di gestione dei log centralizzato su piattaforma. È uno dei sistemi di gestione dei log più popolari nel mondo DevOps con supporto multipiattaforma e può essere installato in un ambiente container come Docker e Kubernetes.

Come sistema di gestione dei registri, Graylog supporta più input per diversi tipi di applicazioni e sistemi. È possibile utilizzare l'input Syslog per sistemi operativi simili a Unix, Windows EventLog per sistemi Windows, utilizzando GELF (Graylog Extended Log Format) per le applicazioni personalizzate.

In questo tutorial imparerai come impostare i log di invio dalla macchina Ubuntu al server Graylog. Questa demo utilizza l'ultima macchina Ubuntu 22.04 come client e il server Graylog v4.3. Se ti piace sapere come configurare un server Graylog su Debian 11, dai un'occhiata qui.

Prerequisiti

  • Un server Graylog installato - Questa demo utilizza Graylog v4.3 installato sul server Debian.
  • Un computer client Ubuntu: questa cupola utilizza il server Ubuntu 22.04.
  • Un utente non root con privilegi di amministratore di Sudo.

Impostazione dell'input Graylog

Prima di iniziare a configurare la macchina client Ubuntu, dovrai configurare l'input sul tuo server Graylog.

Graylog supporta diversi tipi di input per il sistema di registrazione, questo include Syslog, Journald, registro eventi di Windows, Raw/Plaintext, file, ecc.

Per i sistemi Linux, è possibile inviare facilmente i log al server Graylog utilizzando l'input Syslog. Devi solo creare un input sul tuo server Graylog con il tipo Syslog e questo verrà eseguito automaticamente su una porta e un indirizzo IP specifici.

Apri il tuo browser web e visita l'installazione del tuo server Graylog (ad es. http://graylog.hwdomain.io/). Accedi al tuo server Graylog con l'utente predefinito admin e la tua password complessa.

Ora fai clic sul menu Sistema e fai clic su Ingressi e otterrai la nuova pagina.

Nella pagina degli input a discesa, seleziona qui il tipo di input \Syslog UDP\ e fai clic sul pulsante \Launch new input\.

Ora dovrai impostare l'input Syslog sul server Graylog:

  • Il nodo qui verrà selezionato automaticamente, quindi lascialo come predefinito.
  • Inserisci il titolo per il tuo nuovo input, ad esempio, \Syslog Linux UDP\.
  • Il bind-address qui puoi specificare l'indirizzo IP per il tuo input. Questo può essere l'indirizzo IP locale del tuo server oppure puoi semplicemente usare 0.0.0.0 per eseguire l'input su tutti gli indirizzi IP sul server.
  • La porta qui è possibile utilizzare una porta diversa per l'input. Assicurati solo che nessun altro servizio sia in esecuzione su quella porta e assicurati che la porta non sia compresa nell'intervallo tra 1-1024. In questa demo, stiamo usando la porta UDP 5148.

Ora fai clic sul pulsante Salva per confermare la creazione dell'input.

Ora nella pagina di input, vedrai tutti gli input disponibili in esecuzione sul tuo server Graylog. Nello screenshot qui sotto puoi vedere l'input \Syslog Linux UDP\ è in esecuzione sulla porta UDP 5148 con l'indirizzo bind 0.0.0.0, che significa che è in esecuzione su tutti gli indirizzi IP sul server.

Configura il client Ubuntu per inviare i log

Ora è il momento di configurare la macchina client Ubuntu per l'invio dei log al server Graylog. E questo può essere fatto utilizzando il servizio Rsyslog.

Innanzitutto, connettiti alla tua macchina Ubuntu usando il comando ssh di seguito.

ssh

Controlla il pacchetto Rsyslog sulla macchina Ubuntu e assicurati che sia installato.

sudo dpkg -l | grep rsyslog
sudo apt info rsyslog

Nello screenshot qui sotto, puoi vedere che il pacchetto rsyslog è installato per impostazione predefinita. Il \ii\ sul campo significa installato.

Ora verifica il servizio Rsyslog utilizzando il comando seguente.

sudo systemctl is-enabled rsyslog
sudo systemctl status rsyslog

Vedrai che il servizio rsyslog è abilitato, il che significa che verrà eseguito automaticamente all'avvio del sistema. E lo stato corrente del servizio rsyslog è in esecuzione.

Per inviare i log dalla macchina client Ubuntu al server Graylog utilizzando rsyslog, sarà necessario creare una nuova configurazione rsyslog aggiuntiva. La configurazione predefinita di rsyslog è il file \/etc/rsyslog.conf\ e la configurazione aggiuntiva di rsyslog può essere memorizzata in \/etc/rsyslog.d\ rubrica.

Crea una nuova configurazione rsyslog aggiuntiva \/etc/rsyslog.d/60-graylog.conf\ utilizzando nano editor.

sudo nano /etc/rsyslog.d/60-graylog.conf

Aggiungere la seguente configurazione al file.

*.*@192.168.5.10:5148;RSYSLOG_SyslogProtocol23Format

Salva e chiudi il file quando hai finito.

L'indirizzo IP è 192.168.5.10 qui è l'indirizzo IP del server Graylog, che esegue gli input sulla porta UDP 5148.

Ora riavvia il servizio rsyslog per applicare le nuove modifiche e la nuova configurazione utilizzando il comando seguente.

sudo systemctl restart rsyslog

E hai completato la configurazione di base di rsyslog per l'invio dei log al server Graylog.

Controllo dei registri dal server Graylog

Ora torniamo al tuo browser web e alla dashboard di Graylog. Fai clic sul menu Cerca in alto e otterrai tutti i registri dal computer client Ubuntu come di seguito.

Dalla dashboard di ricerca di Graylog, puoi filtrare i messaggi di registro dai tuoi server o applicazioni, controllare i messaggi di registro in tempo reale, controllare i messaggi di registro da periodi di tempo specifici, ecc.

Conclusione

Congratulazioni! Ora hai configurato correttamente la macchina client Ubuntu utilizzando il servizio Rsyslog per l'invio dei registri al server Graylog. Hai anche appreso la configurazione di base di Graylog Inputs creando un nuovo tipo di input Syslog UDP sul server Graylog. Un altro modo per inviare i log è utilizzare Syslog TCP, file, JSON e beat da Elastic.