úvod

Väčšina systémov a softvéru dnes generuje denníky vrátane webových prehľadávačov, operačného systému, brán firewall a systémov detekcie narušenia. Riešenie monitorovania protokolov je v takomto prostredí dôležité tým, že funguje ako strážna veža vašich sieťových aktivít.


Riešenie správy protokolov ponúka služby, ako napríklad prehliadanie systémových udalostí a ukladanie akcií používateľa, napríklad premenovanie, vytváranie alebo mazanie súborov. Všetky tieto generované protokoly z rôznych miest, keď sú konsolidované, môžu byť naozaj dôležité nielen pre účely zodpovednosti, ale aj pre zaistenie bezpečnosti vašej organizácie. Môžu ponúknuť dobrý prehľad o útoku, ktorý sa vyskytuje, alebo na forenzné účely, ako napríklad poznať, v ktorom okamihu útok vznikol..

Graylog je dobré riešenie správy protokolov, ktoré je otvoreným zdrojom a ponúka robustné funkcie, ako je analýza protokolov, vizualizácia protokolov a prispôsobenie výstrah a akcií, ktoré sa majú spustiť.

predpoklad

  • Ubuntu VPS alebo vyhradený server so systémom Ubuntu 18.04
  • Užívateľ typu non-root nakonfigurovaný s oprávneniami sudo
  • Pre tento tutoriál musíte byť oboznámený s prostredím Linuxu

kroky

Aktualizujte svoje systémové balíky systému Linux

$ sudo apt update && aktualizácia sudo apt

Nainštalujte ďalšie balíčky

Graylog je vytvorený pomocou Java, takže ho možno technicky spúšťať kdekoľvek. Môže to však vyžadovať inštaláciu Java Development Kit, ktorá obsahuje aj Runtime Environment. Spolu s tým budete musieť nainštalovať ďalšie ďalšie balíčky:

$ sudo apt install openjdk-8-jre pwgen uuid-runtime apt-transport-https

Nainštalujte MongoDB

Databáza NoSQL sa používa na ukladanie konfiguračných údajov špecifických pre používateľa, ale nie vašich protokolových údajov: Tu je návod, ako postupovať pri inštalácii a aktivácii:

  1. Získajte verejný kľúč používaný správcom balíkov:

$ sudo apt-key adv –keyserver hkp: //keyserver.ubuntu.com: 80 –recv 9DA31620334BD75D9DCB49F368818C72E52529D4

  1. Vytvorte zoznam súborov MongoDB

$ echo"deb [arch = amd64] https://repo.mongodb.org/apt/ubuntu bionic / mongodb-org / 4.0 multiverse" | sudo tee /etc/apt/sources.list.d/mongodb-org-4.0.list

  1. Obnovte systémové balíky db a nainštalujte MongoDB

$ sudo apt update
$ sudo apt install -y mongodb-org

  1. Spustite a povoľte služby MongoDB počas spúšťania systému.

$ sudo systemctl start mongod
$ sudo systemctl povolí mongod

Nainštalujte a nakonfigurujte Elasticsearch

Ak chcete uložiť údaje denníka a vykonať analýzu údajov pomocou vlastných písomných algoritmov Graylog, nainštalujteElasticsearch a potom nakonfigurujte názov klastra:

  1. Získajte verejný kľúč na použitie manažéra balíkov

$ wget -qO – https://artifacts.elastic.co/GPG-KEY-elasticsearch | sudo apt-add add –

  1. Vytvorte súbor so zoznamom pre MongoDB

$ echo"deb https://artifacts.elastic.co/packages/5.x/apt stabilná hlavná" | sudo tee -a /etc/apt/sources.list.d/elastic-5.x.list

  1. Nainštalujte balík Elasticsearch

$ sudo apt update && sudo apt install elasticsearch

  1. Spustite a povoľte službu Elasticsearch

$ sudo systemctl začne elasticsearch
$ sudo systemctl umožní elasticsearch

Prejdite do konfiguračného súboru na adrese /etc/elasticsearch/elasticsearch.yml. Vyhľadajte konfiguračný záznam klastra.name, odložte riadok a zmeňte moju aplikáciu na Graylog.

Nainštalujte aplikáciu Graylog

Teraz na konečnú inštaláciu konfigurácie Graylog použite nasledujúce príkazy:

$ wget https://packages.graylog2.org/repo/packages/graylog-2.4-repository_latest.deb
$ sudo dpkg -i graylog-2.4-repository_latest.deb
$ sudo apt update && sudo apt install graylog-server

Po úspešnom dokončení je teraz potrebné vygenerovať tajomstvo kľúč a root_password_sha2 (heslo účtu správcu).

Ak chcete vygenerovať root_password_sha2, použite nasledujúci príkaz pri výmene "heslo" s vlastným heslom.

$ echo -n heslo | sha256sum5e884898da28047151d0e56f8dc6292773603d0d6aabbdd62a11ef721d1542d8  –

Na vygenerovanie secret_key môžete použiťpwgen príkaz urobiť.

$ pwgen -s 80 1Zb4NpK0im9I4FoWGp20o0E0EFWiGjXNZdM3miaF6bi1MqKD2zfjfiGILSlpraqYSVeoLZzXz9WcEpoE6

Otvorte konfiguračný súbor servera na adrese /etc/graylog/server/server.conf a vykonajte nasledujúce zmeny:

  1. Z vygenerovaných výstupov vyššie uvedených príkazov pridajte hodnoty password_secret a root_password_sha2.
  2. Podľa toho pridajte hodnoty web_listen_uri a rest_listen_uri.

Konfiguračný súbor by mal vyzerať podobne ako nasledujúci:


# Musíte tu nastaviť tajomstvo, aby ste si zabezpečili / okorenili uložené heslá používateľov. Použite najmenej 64 znakov. # Vygenerujte ho napríklad pomocou: pwgen -N 1 -s 96 password_secret = Zb4NpK0im9I4FoWGp20o0E0EFWiGjXNZdM3miaF6bi1MqKD2zfjfiGILSlpraqYSVeoLZzXz9WcEpoE6 # admin = administrátor # ‘root = administrátor #’ user_min = používateľ_minusty = používateľ_minusty = používateľ_minusty = používateľ # Musíte zadať hašovacie heslo pre užívateľa root (ktoré musíte najprv nastaviť # systém a v prípade, že stratíte pripojenie k autentifikačnému backendu) # Toto heslo nie je možné zmeniť pomocou API alebo cez webové rozhranie. Ak ju potrebujete zmeniť, # upravte ju v tomto súbore. # Vytvorte ho napríklad pomocou: echo -n yourpassword | shasum -a 256 # a výslednú hodnotu hash vložte do nasledujúceho riadku root_password_sha2 = e884898da28047151d0e56f8dc6292773603d0d6aabbdd62a11ef721d1542d8  –

Reštartujte server Graylog a skontrolujte stav, aby ste si overili, či funguje dobre.

$ sudo systemctl start Graylog
$ sudo systemctl status Graylog ● graylog-server.service-Graylogserver
Načítané: načítané (/usr/lib/systemd/system/graylog-server.service;disabled;v predvoľba dodávateľa: enabled)
Aktívne: aktívne (beží) odSat2018-10-2500: 22: 14CDT; 54sago
Dokumenty: http://docs.graylog.org/
Hlavný identifikátor PID: 571 (server šedej adresy)
CGroup: /system.slice/graylog-server.service
├─571 / bin / sh / usr / share / graylog-server / bin / graylog-server
└─572 / usr / bin / java-Xms1g-Xmx1g -XX: NewRatio = 1 -server -XX: + ResizeTLAB -XX: + UseConcMarkSweepGC -XX: + CMSConcurrentMTEnabled -XX: + CMSClassUnloadingEnabled -XX: +PN: OmitStackTraceInFastThr

záver

Na vašom Ubuntu 18.04 VPS alebo dedikovanom serveri ste úspešne nainštalovali server Graylog. Graylog je možné nakonfigurovať podľa veľkosti vašich operácií..

Môže sa líšiť od konfigurácie najzákladnejším spôsobom, keď všetky tri komponenty, tj Elasticsearch, MongoDB a Graylog, sídlia na jednom hostiteľovi ALEBO v prostredí s viacerými uzlami, kde komponenty môžu byť umiestnené na rôznych hostiteľoch..

Pozrite sa na tieto top 3 služby VPS:

Hosting A2

Vyvolávacia cena:
$ 5.00


Spoľahlivosť
9.3


stanovenie ceny
9.0


Užívatelsky prívetivý
9.3


podpora
9.3


Vlastnosti
9.3

Prečítajte si recenzie

Navštívte A2 Hosting

ScalaHosting

Vyvolávacia cena:
$ 12.00


Spoľahlivosť
9.4


stanovenie ceny
9.5


Užívatelsky prívetivý
9.5


podpora
9.5


Vlastnosti
9.4

Prečítajte si recenzie

Navštívte ScalaHosting

Hostinger

Vyvolávacia cena:
$ 3,95


Spoľahlivosť
9.3


stanovenie ceny
9.3


Užívatelsky prívetivý
9.4


podpora
9.4


Vlastnosti
9.2

Prečítajte si recenzie

Navštívte Hostinger

Súvisiace články s návodmi

  • Ako povoliť dvojfaktorové overenie na serveri Ubuntu 18.04 VPS alebo na vyhradenom serveri
    stredná
  • Ako nainštalovať phpBB s Apache na Ubuntu 18.04 VPS alebo na vyhradenom serveri
    stredná
  • Ako nainštalovať balík LLMP na server Ubuntu 18.04 VPS alebo vyhradený server
    stredná
  • Ako nastaviť replikáciu na PostgreSQL na serveri Ubuntu 18.04 VPS alebo na vyhradenom serveri
    stredná
  • Ako prepínať medzi verziami PHP na serveri Ubuntu 18.04 VPS alebo na vyhradenom serveri
    stredná
Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me