Graylog Community Edition-ді Proxmox-қа орнату, баптау және пайдалану

Graylog — бұл журналдар (логтар) мен мәліметтерді жинау, сақтау және талдау үшін қуатты платформа.

Бұл мақалада біз Graylog Community Edition-ді Proxmox виртуалды машинасына орнатып, конфигурациялауды және жүйенің негізгі мүмкіндіктерін мониторинг және журналдар талдауы үшін қалай пайдалану керектігін қарастырамыз.

1. Graylog сипаттамасы

Graylog — бұл ашық кодты жүйе, ол журналдар мен логтарды жинауға және талдауға арналған. Ол әртүрлі көздерден логтар жинап, оларды сүзуге, өңдеуге және визуализациялауға мүмкіндік береді. Web-интерфейсі арқылы деректерді жылдам іздеуге және сүзуге болады, бұл аналитика мен инциденттерді тергеуге көмектеседі.

Graylog компоненттері:

• Graylog сервері: логтарды өңдейтін және сақтайтын негізгі серверлік бөлік.
• Elasticsearch: деректерді сақтау және индексациялау үшін қолданылады.
• MongoDB: метадеректер мен конфигурацияны сақтайтын дерекқор.
• Graylog Web Interface: жүйені басқару және журналдармен жұмыс істеу үшін веб-интерфейс.

2. Proxmox орнату

Proxmox — виртуализация үшін ашық кодты танымал платформа, ол виртуалды машиналар мен контейнерлерді басқаруға ыңғайлы мүмкіндік береді. Егер сізде Proxmox әлі орнатылмаған болса, келесі қадамдарды орындаңыз:

2.1. Proxmox орнату

1. Proxmox-тың соңғы нұсқасын ресми сайттан жүктеңіз (https://www.proxmox.com).
2. Образды USB-жадысына жазу үшін Rufus немесе balenaEtcher сияқты құралдарды пайдаланыңыз.
3. Серверді USB құрылғысы арқылы жүктеп, орнату процесін аяқтау үшін экрандағы нұсқауларды орындаңыз.

2.2. Желіні және интерфейсті баптау

Proxmox орнатылғаннан кейін оны веб-интерфейс арқылы баптауға болады:

1. Браузерде Proxmox IP-адресіне өтіңіз (мысалы, http://192.168.1.100:8006).
2. Әдепкі логин мен паролді енгізіңіз (әдепкі бойынша: root және орнату кезінде енгізілген пароль).

Енді Proxmox пайдалану үшін дайын. Келесі кезеңге өтейік — Graylog орнату.

3. Graylog орнату үшін виртуалды машина жасау

Graylog орнату үшін біз Proxmox-та виртуалды машина (VM) қолданамыз.

3.1. Жаңа виртуалды машина жасау

1. Proxmox веб-интерфейсінде Create VM түймесін басыңыз.
2. Параметрлерді енгізіңіз:
   • Node: хостты таңдаңыз (егер бірнеше хост болса).
   • VM ID: виртуалды машина үшін бірегей идентификатор.
   • Name: виртуалды машинаның атауын енгізіңіз (мысалы, graylog-server).
   • OS Type: операциялық жүйені таңдаңыз. Біз үшін бұл Linux (мысалы, Ubuntu).
3. Диск параметрлерін таңдаңыз (мысалы, 20 ГБ).
4. CPU бөлімінде ядролар санын таңдаңыз (кем дегенде 2).
5. Memory бөлімінде жедел жады көлемін таңдаңыз (кемінде 4 ГБ).
6. Желіні баптаңыз (әрине, Bridge Mode режимін таңдаңыз).

3.2. Операциялық жүйені виртуалды машинаға орнату

1. Ubuntu Server ISO образын ресми сайттан жүктеңіз.
2. Виртуалды машинада ISO образын CD/DVD ретінде жүктеп алыңыз.
3. Виртуалды машинаны іске қосып, Ubuntu орнату бойынша стандартты қадамдарды орындаңыз.

4. Graylog орнату

Виртуалды машина дайын болған соң, Graylog орнатуды бастаймыз.

4.1. Қажетті тәуелділіктерді орнату

Graylog жұмыс істеуі үшін Java, Elasticsearch, және MongoDB қажет. Енді қажетті компоненттерді орнатамыз:

1. Жүйені жаңартыңыз:

   bash

   Копировать

   sudo apt-get update && sudo apt-get upgrade -y

2. Java орнату (11-нұсқасын):

   bash

   Копировать

   sudo apt-get install openjdk-11-jre-headless -y

3. MongoDB орнату:

   bash

   Копировать

   sudo apt-get install -y mongodb sudo systemctl start mongodb sudo systemctl enable mongodb

4. Elasticsearch орнату:

   Elasticsearch репозиторийін қосамыз:

   bash

   Копировать

   wget https://artifacts.elastic.co/downloads/elasticsearch/elasticsearch-7.10.0-amd64.deb sudo dpkg -i elasticsearch-7.10.0-amd64.deb sudo systemctl start elasticsearch sudo systemctl enable elasticsearch

5. Graylog орнату:

   Graylog репозиторийін жүктеп, Graylog серверін орнатамыз:

   bash

   Копировать

   wget https://packages.graylog2.org/repo/packages/graylog-4.0-repository_latest.deb sudo dpkg -i graylog-4.0-repository_latest.deb sudo apt-get update sudo apt-get install graylog-server -y

4.2. Graylog конфигурациясын баптау

1. Graylog конфигурациялық файлын баптаймыз: /etc/graylog/server/server.conf файлын ашыңыз:

   bash

   Копировать

   sudo nano /etc/graylog/server/server.conf

   Төмендегілерді өзгертіңіз:

   • Құпия кілтті орнатыңыз:
     bash

     Копировать

     password_secret = some_random_secret
   • Әкімші паролін орнатыңыз:
     bash

     Копировать

     root_password_sha2 = <hashed_password>
     Пароль хэшін алу үшін келесі команданы қолданыңыз:
     bash

     Копировать

     echo -n your_password | sha256sum

2. Graylog серверін іске қосыңыз:

   bash

   Копировать

   sudo systemctl start graylog-server sudo systemctl enable graylog-server 

5. Graylog веб-интерфейсіне қолжетімділік

Graylog сервері іске қосылғаннан кейін, веб-интерфейске қосылуға болады.

1. Браузерде келесі адреспен өтіңіз: http://<ip-адрес-сервера>:9000

2. Әкімші логині (admin) мен орнатқан пароліңізді енгізіңіз.

6. Журнал көздерін баптау және Graylog пайдалану

Енді Graylog орнатылып, конфигурацияланғаннан кейін журнал көздерін баптауды бастайық. Бұл бөлімде біз журналдармен жұмыс істеп, Graylog-ты мониторинг және талдау үшін қалай қолдануға болатынын қарастырамыз.

6.1. Негізгі ұғымдар

Inputs (кіріс) — бұл Graylog жүйесіне журналдар алудың тәсілі. Әртүрлі input түрлерін (мысалы, Syslog, GELF және т.б.) баптауға болады. Қандай қызметтер мен қосымшаларды бақылауды жоспарласаңыз, сәйкес input-ты баптауыңыз қажет.

Streams (ағындар) — журналдарды сұрыптау және сүзгілеу тәсілі. Әрбір ағын журналдарды белгілі бір ережелерге сай бөледі. Бұл маңызды оқиғаларды кем маңыздыдан бөлуге және журналдарды түрлі категорияларға (мысалы, қателер, ескертулер, ақпараттар) ұйымдастыруға көмектеседі.

Dashboards (приборлық панельдер) — Graylog жүйесінде алынған деректерді визуализациялау үшін жасалған графикалық бейнелер. Олар деректерді нақты уақыт режимінде көрсетуге мүмкіндік береді, бұл жүйенің жағдайын талдауға көмектеседі.

6.2. Input жасау және баптау

Graylog жүйесіне журналдар жинау үшін кіріс деректер (input) баптау қажет. Мысалы, Syslog input конфигурациясын орнату қарапайым мысал болып табылады.

6.2.1. Syslog үшін жаңа input жасау

1. Graylog веб-интерфейсіне өтіңіз.
2. System мәзірінде Inputs таңдаңыз.
3. Inputs бетінде Launch new input түймесін басыңыз.
4. Кіріс түрін таңдаңыз (мысалы, Syslog UDP немесе Syslog TCP).
5. Input атауын енгізіп (мысалы, Syslog-Input), портты таңдаңыз (мысалы, 514) және Graylog тыңдайтын интерфейсті баптаңыз.
6. Save түймесін басыңыз.

6.2.2. Input жұмысын тексеру

Жаңа input жұмыс істеп тұрғанын тексеру үшін:

• Басқа құрылғыдан немесе серверден бірнеше тест журналын жіберіңіз.
• Inputs бетінде жаңа input деректер қабылдап жатқанын көресіз. Егер байланыс дұрыс болса, алынған және өңделген хабарламалардың статистикасы көрсетіледі.

6.3. Журнал көздерін қосу

Кейінгі қадам — Graylog-қа журналдарды жіберетін серверлерді немесе құрылғыларды баптау. Әртүрлі журнал көздерін қосу әдісін қарастырайық.

6.3.1. Linux серверінде Syslog баптау

Linux серверінде журналдарды Graylog-қа жіберу үшін rsyslog утилитасын пайдаланыңыз. Конфигурациялық файлды өңдеп, журналдарды Graylog серверіне жіберу үшін келесі қадамдарды орындаңыз:

1. rsyslog конфигурациялық файлын ашыңыз:

   bash

   Копировать

   sudo nano /etc/rsyslog.conf

2. Graylog серверіне жіберу үшін келесі жолды қосыңыз (мысалы, 514 порт):

   markdown

   Копировать

   *.* @<IP-адрес-Graylog>:514

3. rsyslog қызметін қайта жүктеңіз:

   bash

   Копировать

   sudo systemctl restart rsyslog

Енді сервердегі барлық журналдар Graylog серверіне жіберіледі.

6.3.2. Windows жүйесінде журналдарды жіберу

Windows жүйесінен журналдарды Graylog-қа жіберу үшін NXLog сияқты арнайы бағдарламаны орнату қажет.

1. NXLog-ты ресми сайттан жүктеп орнатыңыз.

2. nxlog.conf конфигурациялық файлын ашып, журналдарды Graylog серверіне жіберу үшін баптаңыз:

   bash

   Копировать

   <Input in> Module im_msvistalog </Input> <Output out> Module om_udp Host <IP-адрес-Graylog> Port 514 </Output> <Route 1> Path in => out </Route>

3. NXLog қызметін қайта іске қосыңыз:

   bash

   Копировать

   net stop nxlog net start nxlog

Енді Windows жүйесінен Graylog-қа журналдар жіберіледі.

6.4. Stream жасау (ағындар)

Graylog жүйесінде журналдарды сұрыптап, бөліп отыру үшін streams қолданылады. Бұл сізге деректерді тиімді ұйымдастыруға мүмкіндік береді.

6.4.1. Жаңа ағын жасау

1. Streams бөліміне өтіңіз.

2. Create Stream түймесін басыңыз.

3. Ағын атауын енгізіңіз (мысалы, қателіктер үшін ErrorLogs) және сипаттама жазыңыз.

4. Ағынды жасағаннан кейін оны сүзгілей аласыз. Мысалы, тек қателіктерді осы ағынға бағыттау үшін сүзгіні мынадай етіп орнатыңыз:

   • Өңдеу: level
   • Операция: equals
   • Мән: 3 (Graylog-те қателік деңгейі)

5. Save түймесін басыңыз.

Енді тек қателіктер осы ағынға бағытталады.

6.5. Dashboard жасау (приборлық панельдер)

Graylog жүйесі деректерді тиімді талдау үшін dashboard жасауға мүмкіндік береді. Бұл сізге графиктер, кестелер және басқа элементтерді қосу арқылы деректерді нақты уақыт режимінде бақылауға көмектеседі.

6.5.1. Жаңа панель жасау

1. Dashboards бөліміне өтіңіз.
2. Create new dashboard түймесін басыңыз.
3. Панельге атау беріңіз (мысалы, Server Monitoring).
4. Панель құрылғаннан кейін түрлі виджеттерді қосуға болады (мысалы, қателіктердің саны, логтардың көлемі және т.б.).
5. Save түймесін басыңыз.

Енді сізде деректерді нақты уақыт режимінде көрсететін приборлық панель пайда болады.

6.6. Логтарды талдау және іздеу сұраныстары

Graylog жүйесінде қуатты іздеу механизмін қолдана отырып, журналдардан нақты оқиғалар мен мәліметтерді табуға болады.

6.6.1. Логтарды іздеу

1. Search бөліміне өтіңіз.

2. Іздеу сұранысын енгізіңіз, мысалы:

   bash

   Копировать

   level:3 AND source:server1

   Бұл сұраныс серверден жіберілген барлық қателіктерді табады.

3. Күрделі сұраныстар үшін басқа операторларды пайдалануға болады.

6.6.2. Сұранысты сақтау

Егер жиі қолданылатын сұраныс болса, оны сақтау арқылы жылдам қол жеткізуге болады. Ол үшін Save Search түймесін басып, сұранысқа ат қойыңыз.

6.6.3. Шаблондар мен есептер

Graylog жүйесінде логтарды талдау үшін алдын ала орнатылған шаблондар мен есептерді пайдалану өте ыңғайлы. Есептерді сақтап, талдауға арналған деректерді оңай ала аласыз.

6.7. Алерттерді баптау

Graylog жүйесінде нақты уақыт режимінде маңызды оқиғалар үшін alert орнатуға болады. Бұл сізге дабыл бойынша әрекет етуге мүмкіндік береді.

1. Alerts бөліміне өтіңіз.
2. Create Alert Condition түймесін басыңыз.
3. Ағынды таңдаңыз (мысалы, ErrorLogs) және шартты орнатыңыз (мысалы, соңғы 5 минут ішінде қателіктер саны 10-нан көп болса).
4. Хабарламаларды жіберу тәсілін орнатыңыз (мысалы, электрондық пошта арқылы).
5. Save түймесін басыңыз.

Енді Graylog жүйесі сізге маңызды жағдайлар туралы хабарлайды.

Қорытынды

Осы мақалада біз Graylog Community Edition-ді Proxmox виртуалды машинасына орнату, баптау және пайдалану процесін терең қарастырдық. Біз жүйенің орнатылуын, журнал көздерін баптауды, фильтрациялау және талдау әдістерін сипаттадық. Graylog жүйесін қолдану арқылы сіз серверлер мен қосымшалардан журналдар мен деректерді тиімді қадағалап, талдай аласыз және шұғыл әрекет ету үшін ақпарат ала аласыз.

Осы нұсқаулық пайдалы болды деп үміттенеміз! Егер сізде сұрақтар туындаса немесе көмек қажет болса, бізге хабарласыңыз!

Реклама Google

 

 

Назар аударыңыз! Бұл мақала ресми құжат емес. Ақпаратты сақтықпен және сынақ ортасында пайдалану керек. Әлемдегі жетекші жеткізушілерден сақтық көшірме жасау және киберқауіпсіздік бағдарламалық құралының тегін сынақ нұсқасына тапсырыс беріңіз: Тегін сақтық көшірме жасау және киберқауіпсіздік бағдарламалық құралының спецификациясын есептеу қызметіміздің артықшылығын пайдаланыңыз: Acronis Arcserve Veeam Vembu Vinchin Acronis Arcserve Veeam Vembu Vinchin   Заманауи сақтық көшірме жасау, репликациялау, деректерді синхрондау және төлемдік бағдарламадан қорғау жүйелерін құру туралы сұрақтарыңыз болса, қазіргі заманғы деректердің сақтық көшірмесін жасау және қалпына келтіру технологиялары бойынша кеңес алу үшін біздің компанияға хабарласыңыз . Біздің компанияның осы салада 20 жылдан астам тәжірибесі бар.