Cách gửi nhật ký Ubuntu đến máy chủ Graylog
Graylog là một hệ thống quản lý nhật ký tập trung nền tảng. nó là một trong những hệ thống quản lý nhật ký phổ biến nhất trong thế giới DevOps với hỗ trợ đa nền tảng và có thể được cài đặt trong môi trường vùng chứa như Docker và Kubernetes.
Là một hệ thống quản lý nhật ký, Graylog hỗ trợ nhiều đầu vào cho các loại ứng dụng và hệ thống khác nhau. Bạn có thể sử dụng đầu vào Syslog cho hệ điều hành giống Unix, Windows EventLog cho hệ thống Windows, sử dụng GELF (Định dạng nhật ký mở rộng Graylog) cho các ứng dụng tùy chỉnh của bạn.
Trong hướng dẫn này, bạn sẽ học cách đặt nhật ký gửi từ máy Ubuntu tới máy chủ Graylog. Bản trình diễn này sử dụng máy Ubuntu 22.04 mới nhất làm máy khách và máy chủ Graylog v4.3. Nếu bạn muốn biết cách thiết lập máy chủ Graylog trên Debian 11, hãy xem tại đây.
Điều kiện tiên quyết
- Máy chủ Graylog được cài đặt – Bản trình diễn này sử dụng Graylog v4.3 được cài đặt trên máy chủ Debian.
- Máy khách Ubuntu – Mái vòm này sử dụng máy chủ Ubuntu 22.04.
- Người dùng không phải root có đặc quyền quản trị viên Sudo.
Thiết lập đầu vào Graylog
Trước khi bắt đầu định cấu hình máy khách Ubuntu, bạn sẽ cần thiết lập đầu vào trên máy chủ Graylog của mình.
Graylog hỗ trợ các loại đầu vào khác nhau cho hệ thống ghi nhật ký, bao gồm Syslog, Journald, Windows eventlog, Raw / Plaintext, tệp, v.v.
Đối với hệ thống Linux, bạn có thể gửi nhật ký đến máy chủ Graylog dễ dàng bằng cách sử dụng đầu vào Syslog. Bạn chỉ cần tạo một đầu vào trên máy chủ Graylog của mình với kiểu Syslog và điều đó sẽ tự động chạy trên một cổng và địa chỉ IP cụ thể.
Mở trình duyệt web của bạn và truy cập cài đặt máy chủ Graylog của bạn (tức là http://graylog.hwdomain.io/). Đăng nhập vào máy chủ Graylog của bạn bằng quản trị viên người dùng mặc định và mật khẩu mạnh của bạn.
Bây giờ hãy nhấp vào menu Hệ thống và nhấp vào Đầu vào , và bạn sẽ nhận được trang mới.
Trên trang đầu vào thả xuống, chọn kiểu nhập tại đây ” Syslog UDP ” và nhấp vào nút ” Khởi chạy đầu vào mới “.
Bây giờ bạn sẽ cần thiết lập đầu vào Syslog trên máy chủ Graylog:
- Node ở đây sẽ được chọn tự động, vì vậy hãy để nó như mặc định.
- Nhập Tiêu đề cho đầu vào mới của bạn, ví dụ: ” Syslog Linux UDP “.
- Địa chỉ ràng buộc ở đây bạn có thể chỉ định địa chỉ IP cho đầu vào của mình. Đây có thể là địa chỉ IP cục bộ của máy chủ của bạn hoặc bạn chỉ có thể sử dụng 0.0.0.0 để chạy đầu vào trên tất cả các địa chỉ IP trên máy chủ.
- Cổng ở đây bạn có thể sử dụng một cổng khác cho đầu vào của mình. Chỉ cần đảm bảo không có dịch vụ nào khác đang chạy trên cổng đó và đảm bảo rằng cổng không nằm trong phạm vi từ 1-1024. Trong bản demo này, chúng tôi đang sử dụng cổng UDP 5148 .
Bây giờ hãy nhấp vào nút Lưu để xác nhận việc tạo đầu vào.
Bây giờ trên trang đầu vào, bạn sẽ thấy tất cả các đầu vào có sẵn đang chạy trên máy chủ Graylog của bạn. Trong ảnh chụp màn hình bên dưới, bạn có thể thấy đầu vào “Syslog Linux UDP” đang chạy trên cổng UDP 5148 với địa chỉ ràng buộc 0.0.0.0 , có nghĩa là chạy trên tất cả các địa chỉ IP trên máy chủ.
Định cấu hình ứng dụng khách Ubuntu để gửi nhật ký
Bây giờ là lúc để cấu hình máy khách Ubuntu để gửi nhật ký đến máy chủ Graylog. Và điều này có thể được thực hiện bằng cách sử dụng dịch vụ Rsyslog.
Đầu tiên, kết nối với máy Ubuntu của bạn bằng lệnh ssh bên dưới.
ssh [email protected]Kiểm tra gói Rsyslog trên máy Ubuntu và đảm bảo rằng nó đã được cài đặt.
sudo dpkg -l | grep rsyslog
sudo apt info rsyslogTrong ảnh chụp màn hình bên dưới, bạn có thể thấy gói rsyslog được cài đặt theo mặc định. ” Ii ” trên trường có nghĩa là đã được cài đặt.
Bây giờ xác minh dịch vụ Rsyslog bằng lệnh dưới đây.
sudo systemctl is-enabled rsyslog
sudo systemctl status rsyslogBạn sẽ thấy dịch vụ rsyslog được kích hoạt, có nghĩa là nó sẽ tự động chạy khi khởi động hệ thống. Và trạng thái hiện tại của dịch vụ rsyslog đang chạy.
Để gửi nhật ký từ máy khách Ubuntu đến máy chủ Graylog bằng rsyslog, bạn sẽ cần tạo một cấu hình rsyslog bổ sung mới. Cấu hình mặc định của rsyslog là tệp ” /etc/rsyslog.conf ” và cấu hình rsyslog bổ sung có thể được lưu trữ tại thư mục “/etc/rsyslog.d” .
Tạo cấu hình rsyslog bổ sung mới ” /etc/rsyslog.d/60-graylog.conf ” bằng trình soạn thảo nano.
sudo nano /etc/rsyslog.d/60-graylog.confThêm cấu hình sau vào tệp.
*. * @ 192.168.5.10:5148;RSYSLOG_SyslogProtocol23Format
Lưu và đóng tệp khi bạn hoàn tất.
Địa chỉ IP là 192.168.5.10 đây là địa chỉ IP của máy chủ Graylog, máy chủ này đang chạy các đầu vào trên cổng UDP 5148.
Bây giờ khởi động lại dịch vụ rsyslog để áp dụng các thay đổi mới và cấu hình mới bằng lệnh dưới đây.
sudo systemctl restart rsyslogVà bạn đã hoàn thành cấu hình rsyslog cơ bản để gửi nhật ký đến máy chủ Graylog.
Kiểm tra nhật ký từ máy chủ Graylog
Bây giờ quay lại trình duyệt web của bạn và bảng điều khiển Graylog. Nhấp vào menu Tìm kiếm ở trên cùng và bạn sẽ nhận được tất cả nhật ký từ máy khách Ubuntu như bên dưới.
Từ bảng điều khiển tìm kiếm Graylog, bạn có thể lọc thông báo nhật ký từ máy chủ hoặc ứng dụng của mình, kiểm tra thông báo nhật ký trong thời gian thực, kiểm tra thông báo nhật ký từ các khung thời gian cụ thể, v.v.
Sự kết luận
Xin chúc mừng! Bây giờ bạn đã cấu hình thành công máy khách Ubuntu bằng dịch vụ Rsyslog để gửi nhật ký đến máy chủ Graylog. Bạn cũng đã học được cấu hình cơ bản của Đầu vào Graylog bằng cách tạo một kiểu Đầu vào mới Syslog UDP trên máy chủ Graylog. Một cách khác để gửi nhật ký là sử dụng Syslog TCP, tệp, JSON và nhịp từ Elastic.
