在使用Graylog的时候,需要注意Graylog、Elasticsearch和MongoDB版本的选择,只要三者相配合才能正常使用,具体匹配版本需要去官网进行查询,本次使用Graylog2.5.x,与此版本相匹配的Elasticsearch版本需要使用6.x,MongoDB本次选用3.6版本,Java选用1.8,服务器采用Centos 7.5。本次Graylog搭建采用最小化规模安装,故所有组件均安装在同一台服务器。
一、环境准备
1、安装Java
(1)、查看系统是否安装了Java
java:rpm -qa | grep java
(2)、卸载非1.8版本Java
sudo yum -y remove xxx
其中xxx为查看到的java包
(3)、安装1.8版本Java
sudo yum install java-1.8.0-openjdk-headless.x86_64
2、安装pwgen
sudo yum install epel-release
sudo yum install pwgen
3、关闭系统防火墙(生产环境酌情开放端口,此处为实验环境所以防火墙全部关闭)
sudo systemctl stop firewalld.service
sudo systemctl disable firewalld.service
二、安装MongoDB
1、新建存储库文件
sudo vim /etc/yum.repos.d/mongodb-org-3.6.repo
2、在存储库文件中加入以下内容
[mongodb-org-3.6]
name=MongoDB Repository
baseurl=https://repo.mongodb.org/yum/redhat/$releasever/mongodb-org/3.6/x86_64/
gpgcheck=1
enabled=1
gpgkey=https://www.mongodb.org/static/pgp/server-3.6.asc
3、保存后yum安装MongoDB
sudo yum install -y mongodb-org
4、将MongoDB服务设置为开机启动并启动服务
sudo chkconfig --add mongod
sudo systemctl daemon-reload
sudo systemctl enable mongod.service
sudo systemctl start mongod.service
三、安装Elasticsearch
1、安装GPG key
sudo rpm --import https://artifacts.elastic.co/GPG-KEY-elasticsearch
2、新建存储库文件
sudo vim /etc/yum.repos.d/elasticsearch.repo
3、将以下内容加入到文件
[elasticsearch-6.x]
name=Elasticsearch repository for 6.x packages
baseurl=https://artifacts.elastic.co/packages/6.x/yum
gpgcheck=1
gpgkey=https://artifacts.elastic.co/GPG-KEY-elasticsearch
enabled=1
autorefresh=1
type=rpm-md
4、保存后使用yum安装
sudo yum install elasticsearch
5、修改Elasticsearch的配置文件
sudo vim /etc/elasticsearch/elasticsearch.yml
修改elasticsearch中的cluster.name为 graylog,cluster.name的值是要和Graylog中配置一致
6、将Elasticsearch服务设置为开机启动,并启动服务
sudo chkconfig --add elasticsearch
sudo systemctl daemon-reload
sudo systemctl enable elasticsearch.service
sudo systemctl restart elasticsearch.service
四、安装Graylog
1、通过yum安装Graylog、
sudo rpm -Uvh https://packages.graylog2.org/repo/packages/graylog-2.5-repository_latest.rpm
sudo yum install graylog-server
2、使用pwgen生成秘钥
pwgen -N 1 -s 96
3、生成sha256sum加密后的密码
echo -n "Enter Password: " && head -1 </dev/stdin | tr -d '\n' | sha256sum | cut -d" " -f1
4、修改Graylog配置文件
sudo vim /etc/graylog/server/server.conf
对文件中的以下信息进行更改,若是代码前面有#则删除
rest_listen_uri = http://127.0.0.1:9000/api/ 将其中IP更换为本机IP地址
web_listen_uri = http://127.0.0.1:9000/ 将其中IP地址更换为本机IP地址
password_secret = 使用pwgen生成的密码
root_password_sha2 = 加密后的密码
root_timezone = Asia/Shanghai 将时区修改为本地时区
5、将Graylog服务设置为开机启动并启动服务
sudo chkconfig --add graylog-server
sudo systemctl daemon-reload
sudo systemctl enable graylog-server.service
sudo systemctl start graylog-server.service
五、测试收集日志
1、在Graylog中创建Inputs
(1)、登录graylog,点击System中的Inputs
(2)、创建新的Inputs,Inputs有许多类型日志,若有机会以后会进一步说明,此处收集Rsyslog+UDP的数据
(3)、填写需要的信息,使用上述方法安装时,其中的port需要使用端口号为1024以上的端口,否则会因为权限问题报错
2、客户端输出日志
本次使用ubuntu系统作为日志源,使用Rsyslog推送日志信息到graylog
编辑Rsyslog的配置文件
sudo vim /etc/rsyslog.d/50-default.conf
在文件中# First some standard log files. Log by facility.这一行上方加入
*.* @IPadd:端口号;RSYSLOG_SyslogProtocol23Format
其中@表示使用UDP端口,若是使用TCP端口则使用@@
IPadd为graylog的地址,端口号为graylog中inputs设置的端口
3、使用logger生成日志
logger -i -t "my_test" -p local3.notice "确定是否收到日志信息"
4、在Graylog中查看是否收到日志
至此,本次Graylog最小化环境搭建完毕,并能够正常收集日志
在此需要感谢一下文章的者,https://blog.csdn.net/weixin_42207486/article/details/81044059
来源:CSDN
作者:骑哈士奇遛弯
链接:https://blog.csdn.net/xu6964347/article/details/85266720