| Nächste Überarbeitung | Vorherige Überarbeitung Nächste ÜberarbeitungBeide Seiten, nächste Überarbeitung |
| server_und_serverdienste:graylogserver [2019/01/20 00:09] – angelegt boospy | server_und_serverdienste:graylogserver [2021/03/04 14:02] – lois |
|---|
| ====== Graylogserver ====== | ====== Graylogserver ====== |
| | Hauseigenes Apt-Repo: [[https://apt.iteas.at]] [[https://www.paypal.com/cgi-bin/webscr?cmd=_s-xclick&hosted_button_id=KE592Y5993ZKW|{{:wiki:btn_donatecc_lg.gif|}}]] \\ \\Je verteilter die Anwendungen, umso wichtiger ist die zentrale Logspeicherung. Immer mehr Anwendungen werden in privaten oder öffentlichen Clouds betrieben. Die Anwendungen laufen also nicht mehr auf realen Servern, sondern in virtuellen Maschinen oder Containern. Mit diesem Trend zu leichtgewichtigeren Umgebungen verändert sich auch ihre Lebensdauer. Anstatt einen Server immer wieder manuell zu hegen und zu pflegen, werden Container oder virtuelle Maschinen direkt neu erstellt und alte Versionen gelöscht. Ohne ein zentrales Logmanagement gehen die Logs der Anwendungen also verloren und damit auch eine wichtige Informationsquelle, die gebraucht wird, um Development und Operations bei der Untersuchung von Fehlern zu unterstützen. |
| Je verteilter die Anwendungen, umso wichtiger ist die zentrale Logspeicherung. Immer mehr Anwendungen werden in privaten oder öffentlichen Clouds betrieben. Die Anwendungen laufen also nicht mehr auf realen Servern, sondern in virtuellen Maschinen oder Containern. Mit diesem Trend zu leichtgewichtigeren Umgebungen verändert sich auch ihre Lebensdauer. Anstatt einen Server immer wieder manuell zu hegen und zu pflegen, werden Container oder virtuelle Maschinen direkt neu erstellt und alte Versionen gelöscht. Ohne ein zentrales Logmanagement gehen die Logs der Anwendungen also verloren und damit auch eine wichtige Informationsquelle, die gebraucht wird, um Development und Operations bei der Untersuchung von Fehlern zu unterstützen. | |
| |
| Gleichzeitig beobachten wir eine Entwicklung, die von Applikationsservern und monolithischen Applikationen weggeht hin zu verteilten Anwendungen, bei denen jede Business-Capability von einem eigenen Microservice umgesetzt wird. Gerade in verteilten Umgebungen ist es für den Betrieb und die Softwarewartung schwierig, Anfragen über verschiedene Knoten zu verfolgen und in den einzelnen Applikationslogs nach Hinweisen zu suchen. Traditionell müssen sich die Administratoren dazu an jedem Knoten anmelden und dann die Logs durchforsten oder sie manuell zusammentragen. Das ist zeitaufwändig und skaliert nicht. | Gleichzeitig beobachten wir eine Entwicklung, die von Applikationsservern und monolithischen Applikationen weggeht hin zu verteilten Anwendungen, bei denen jede Business-Capability von einem eigenen Microservice umgesetzt wird. Gerade in verteilten Umgebungen ist es für den Betrieb und die Softwarewartung schwierig, Anfragen über verschiedene Knoten zu verfolgen und in den einzelnen Applikationslogs nach Hinweisen zu suchen. Traditionell müssen sich die Administratoren dazu an jedem Knoten anmelden und dann die Logs durchforsten oder sie manuell zusammentragen. Das ist zeitaufwändig und skaliert nicht. |
| apt update && apt install graylog-server | apt update && apt install graylog-server |
| </code> | </code> |
| Als erstes konfiguriert man Graylog in der Datei ''/etc/graylog/server/server.conf'' und fügt die Optionen ''password_secret'' und ''root_password_sha2'' hinzu. Diese Optionen sind verpflichtend. Ohne diese startet Graylog nicht. | Als erstes konfiguriert man Graylog in der Datei ''/etc/graylog/server/server.conf'' und fügt die Optionen ''password_secret'' (pwgen -N 1 -s 96) und ''root_password_sha2'' hinzu. Diese Optionen sind verpflichtend. Ohne diese startet Graylog nicht. |
| |
| Um ''root_password_sha2'' zu generieren bedienst man sich z.B. folgendem Befehle: | Um ''root_password_sha2'' zu generieren bedienst man sich z.B. folgendem Befehle: |
| <code> | <code> |
| echo -n "Geheimespasswort" && head -1 </dev/stdin | tr -d '\n' | sha256sum | cut -d" " -f1 | echo -n "Enter Password" && head -1 </dev/stdin | tr -d '\n' | sha256sum | cut -d" " -f1 |
| </code> | </code> |
| Das Passwort wird mit dem Benutzer "admin" mit den Login am Webinterface http://FQDN:9000 verwendet. | Das Passwort wird mit dem Benutzer "admin" mit den Login am Webinterface http://FQDN:9000 verwendet. |
| systemctl start graylog-server.service | systemctl start graylog-server.service |
| </code> | </code> |
| | |
| | ===== Übertragen von Logs zu Graylog ===== |
| | Das Prinzip funktioniert gleich wie bei syslog/rsyslog. Am Graylogserver gibt es jede Menge Inputs/Plugins. Syslog ist eines davon und muss im Webinterface aktiviert werden. "System --> Notes --> Note auswählen --> Manage Inputs". Normalerweise würde man Sysloginput auf Port 514 (Defaul) konfigurieren. Leider kann man dann nur als Root darauf zugreifen. Wir haben nun die Möglichkeit mit IPtables das Port um zu mappen, z.B. |
| | <code> |
| | iptables -t nat -A PREROUTING -p tcp --dport 514 -j REDIRECT --to 1514 |
| | iptables -t nat -A PREROUTING -p udp --dport 514 -j REDIRECT --to 1514 |
| | </code> |
| | Oder wir setzen das Port am Input gleich auf 1514 UDP. Das ist die einfachste Lösung. |
| | |
| | ==== Konfiguration des Clients ==== |
| | Auf Linux muss Rsyslog installiert und folgendes Konfig gesetzt werden: |
| | <code> |
| | nano /etc/rsyslog.d/51-remote.conf |
| | |
| | *.* @FQDN.bla.local:1514;RSYSLOG_SyslogProtocol23Format |
| | </code> |
| | Nun noch den Dienst durchstarten: |
| | <code> |
| | systemctl restart rsyslog.service |
| | </code> |
| | Danach werden die Logs bereits übertragen. Drucker, Switch, Fortigate und usw. sind da auch ganz einfach zu konfigurieren. |
| | |
| | |
| | |
| | |