Mục lục
Hầu hết các hệ thống và phần mềm ngày nay đều tạo nhật ký bao gồm trình duyệt web, hệ điều hành, tường lửa và hệ thống phát hiện xâm nhập. Giải pháp giám sát nhật ký rất quan trọng trong môi trường như vậy và đóng vai trò như một tháp canh đối với các hoạt động mạng của bạn.
Giải pháp quản lý nhật ký cung cấp các dịch vụ kiểm tra các sự kiện hệ thống và lưu trữ các hành động của người dùng như đổi tên, tạo hoặc xóa tệp. Tất cả các nhật ký này được tạo từ các điểm khác nhau, khi được hợp nhất thực sự quan trọng không chỉ cho mục đích giải trình mà còn để giữ an toàn cho tổ chức của bạn. Nó có thể cung cấp quá trình xảy ra cuộc tấn công hoặc cho các mục đích pháp lý, chẳng hạn như biết một cuộc tấn công bắt nguồn từ thời điểm nào.
Graylog là một giải pháp quản lý nhật ký hữu ích, có mã nguồn mở và cung cấp các tính năng mạnh mẽ như phân tích nhật ký, hiển thị nhật ký, tùy chỉnh các cảnh báo và hành động được kích hoạt
– VPS Ubuntu hoặc Máy chủ chuyên dụng chạy Ubuntu 18.04
– Người dùng không phải root được định cấu hình với đặc quyền sudo
– Bạn đã thông thạo về Linux
Bây giờ, chúng ta hãy đến với các bước để thực hiện cài đặt và định cấu hình máy chủ Graylog trên Ubuntu 18.04 VPS hoặc Dedicated Server.
|
1 |
$ sudo apt update && sudo apt upgrade |
Graylog được xây dựng dựa trên java, vì vậy nó có thể chạy kỹ thuật ở bất kỳ đâu, tuy nhiên điều đó có thể yêu cầu bạn cài đặt Java Development Kit có chứa Runtime Environment. Cùng với điều này, bạn sẽ cần cài đặt một số gói bổ sung khác:
|
1 |
$ sudo apt install openjdk-8-jre pwgen uuid-runtime apt-transport-https |
3.3.1. Người quản lý gói sử dụng khóa công khai
|
1 |
$ sudo apt-key adv --keyserver hkp://keyserver.ubuntu.com:80 --recv 9DA31620334BD75D9DCB49F368818C72E52529D4 |
3.3.2. Tạo một tệp danh sách MongoDB
|
1 |
echo"deb [ arch=amd64 ] https://repo.mongodb.org/apt/ubuntu bionic/mongodb-org/4.0 multiverse" | sudo tee /etc/apt/sources.list.d/mongodb-org-4.0.list |
3.3.3. Tải lại gói hệ thống db và cài đặt MongoDB
|
1 2 |
$ sudo systemctl start mongod $ sudo systemctl enable mongod |
Để lưu trữ dữ liệu nhật ký và thực hiện phân tích dữ liệu bằng các thuật toán được viết tùy chỉnh của Graylog, hãy cài đặt Elasticsearch và định cấu hình tên cụm sau đó:
|
1 |
$ wget -qO - https://artifacts.elastic.co/GPG-KEY-elasticsearch | sudo apt-key add - |
|
1 |
$ echo"deb https://artifacts.elastic.co/packages/5.x/apt stable main" | sudo tee -a /etc/apt/sources.list.d/elastic-5.x.list |
|
1 |
$ sudo apt update && sudo apt install elasticsearch |
|
1 2 |
$ sudo systemctl start elasticsearch $ sudo systemctl enable elasticsearch |
Đi tới tệp cấu hình tại /etc/elasticsearch/elasticsearch.yml. Tìm kiếm mục nhập cấu hình cluster.name, bỏ ghi chú dòng và thay đổi ứng dụng của tôi thành Graylog.
Bây giờ, để cài đặt cấu hình Graylog, hãy sử dụng các lệnh sau:
|
1 2 3 |
$ wget https://packages.graylog2.org/repo/packages/graylog-2.4-repository_latest.deb $ sudo dpkg -i graylog-2.4-repository_latest.deb $ sudo apt update && sudo apt install graylog-server |
Sau khi hoàn tất thành công, bây giờ bạn cần tạo khóa bí mật và root_password_sha2 (mật khẩu tài khoản quản trị viên).
Để tạo root_password_sha2, hãy sử dụng lệnh sau trong khi thay thế “mật khẩu” bằng mật khẩu của riêng bạn.
|
1 |
$ echo -n password | sha256sum5e884898da28047151d0e56f8dc6292773603d0d6aabbdd62a11ef721d1542d8 - |
Mở tệp cấu hình máy chủ tại /etc/graylog/server/server.conf và thực hiện các thay đổi sau:
– Thêm các giá trị password_secret và root_password_sha2 từ các đầu ra đã tạo của bạn cho các lệnh ở trên.
– Thêm các giá trị web_listen_uri và rest_listen_uri tương ứng.
Tệp cấu hình sẽ trông giống như tệp bên dưới:
|
1 2 3 4 |
... # You MUST set a secret to secure/pepper the stored user passwords here. Use at least 64 characters. # Generate one by using for example: pwgen -N 1 -s 96 password_secret = Zb4NpK0im9I4FoWGp20o0E0EFWiGjXNZdM3miaF6bi1MqKD2zfjfiGILSlpraqYSVeoLZzXz9WcEpoE6 # The default root user is named 'admin' #root_username = admin # You MUST specify a hash password for the root user (which you only need to initially set up the # system and in case you lose connectivity to your authentication backend) # This password cannot be changed using the API or via the web interface. If you need to change it, # modify it in this file. # Create one by using for example: echo -n yourpassword | shasum -a 256 # and put the resulting hash value into the following line root_password_sha2 = e884898da28047151d0e56f8dc6292773603d0d6aabbdd62a11ef721d1542d8 - ... |
Khởi động lại máy chủ Graylog và kiểm tra trạng thái để xác minh xem nó có hoạt động tốt hay không.
|
1 2 3 4 5 6 7 8 9 |
$ sudo systemctl start Graylog $ sudo systemctl status Graylog●graylog-server.service-Graylogserver Loaded: loaded(/usr/lib/systemd/system/graylog-server.service;disabled;vendor preset: enabled) Active: active(running)sinceSat2018-10-2500:22:14CDT;54sago Docs: http://docs.graylog.org/ Main PID: 571(graylog-server) CGroup: /system.slice/graylog-server.service ├─571/bin/sh/usr/share/graylog-server/bin/graylog-server └─572/usr/bin/java-Xms1g-Xmx1g -XX:NewRatio=1 -server -XX:+ResizeTLAB -XX:+UseConcMarkSweepGC -XX:+CMSConcurrentMTEnabled -XX:+CMSClassUnloadingEnabled -XX:+UseParNewGC -XX:-OmitStackTraceInFastThr |
Bạn đã cài đặt thành công máy chủ Graylog trên Ubuntu 18.04 VPS hoặc dedicated server của mình, Graylog được cấu hình tùy theo kích thước hoạt động của bạn.
Nó có thể khác so với cách cấu hình theo cách cơ bản nhất trong đó tất cả ba thành phần tức là Elasticsearch, MongoDB và Graylog nằm trên một máy chủ hoặc trong môi trường nhiều nút nơi các thành phần có thể nằm trên các máy chủ khác nhau.
.png)
