4 069
contributi
Monitorare i log di sistema con Graylog2: differenze tra le versioni
Monitorare i log di sistema con Graylog2 (visualizza wikitesto)
Versione delle 20:41, 13 ott 2017
, 13 ott 2017→Sitografia
| Riga 103: | Riga 103: | ||
"active_shards_percent_as_number" : 50.0 | "active_shards_percent_as_number" : 50.0 | ||
} | } | ||
</pre> | |||
==Installare Graylog== | |||
Graylog non è disponibile nei repository ufficiali di Debian. Dobbiamo quindi aggiungere un nuovo repository: | |||
<pre> | |||
# wget https://packages.graylog2.org/repo/packages/graylog-2.2-repository_latest.deb | |||
# dpkg -i graylog-2.2-repository_latest.deb | |||
# apt-get update -y | |||
# apt-get install graylog-server -y | |||
</pre> | |||
Una volta installato, avremo bisogno di impostare un secret per proteggere la password di accesso e di impostare un hash (sha256) per la password dell'utente root. | |||
<br/> | |||
Generiamo il secret: | |||
<pre> | |||
# pwgen -N 1 -s 96 | |||
</pre> | |||
Ci restituirà qualcosa del genere: | |||
<pre> | |||
TRXbNPoW4gGC8BN8Gzl4wH3jtfLoi06WCJqia18UtYyPaNLx4r8U7jUPRlIJHoGGxrCjZVqAvW2DcueI6N1zHoy2bKEWLyyC | |||
</pre> | |||
Quindi generiamo l'hash per la password di root: | |||
<pre> | |||
# echo -n password_di_root | sha256sum | |||
</pre> | |||
Avremo un risultato del genere: | |||
<pre> | |||
e3c5925aa22abdfa18cf197a7b218fcad31acb6409d2e2dbebae807d3a9750ee | |||
</pre> | |||
Prendiamo nota di entrambe le chiavi, perchè ci serviranno per impostare il file di configurazione di Graylog. | |||
<br/> | |||
Adesso dobbiamo modificare il file di configurazione di Graylog: | |||
<pre> | |||
# nano /etc/graylog/server/server.conf | |||
</pre> | |||
apportando questi cambiamenti: | |||
<pre> | |||
is_master = true | |||
node_id_file = /etc/graylog/server/node-id | |||
########past-your-password-secret-here######### | |||
password_secret = TRXbNPoW4gGC8BN8Gzl4wH3jtfLoi06WCJqia18UtYyPaNLx4r8U7jUPRlIJHoGGxrCjZVqAvW2DcueI6N1zHoy2bKEWLyyC | |||
root_username = admin | |||
#######past-your-root-hash-password-here########## | |||
root_password_sha2 = e3c5925aa22abdfa18cf197a7b218fcad31acb6409d2e2dbebae807d3a9750ee | |||
root_timezone = UTC | |||
plugin_dir = /usr/share/graylog-server/plugin | |||
rest_listen_uri = http://0.0.0.0:9000/api/ | |||
rest_enable_cors = true | |||
web_listen_uri = http://0.0.0.0:9000/ | |||
rotation_strategy = count | |||
elasticsearch_max_docs_per_index = 20000000 | |||
elasticsearch_max_number_of_indices = 7 | |||
retention_strategy = delete | |||
elasticsearch_shards = 4 | |||
elasticsearch_replicas = 1 | |||
elasticsearch_index_prefix = graylog | |||
allow_leading_wildcard_searches = true | |||
allow_highlighting = false | |||
elasticsearch_cluster_name = graylog | |||
elasticsearch_discovery_zen_ping_unicast_hosts = 192.168.0.187:9300 | |||
elasticsearch_http_enabled = false | |||
elasticsearch_network_host = 0.0.00 | |||
elasticsearch_discovery_initial_state_timeout = 3s | |||
elasticsearch_analyzer = standard | |||
output_batch_size = 500 | |||
output_flush_interval = 1 | |||
output_fault_count_threshold = 5 | |||
output_fault_penalty_seconds = 30 | |||
processbuffer_processors = 5 | |||
outputbuffer_processors = 3 | |||
processor_wait_strategy = blocking | |||
ring_size = 65536 | |||
inputbuffer_ring_size = 65536 | |||
inputbuffer_processors = 2 | |||
inputbuffer_wait_strategy = blocking | |||
message_journal_enabled = true | |||
message_journal_dir = /var/lib/graylog-server/journal | |||
async_eventbus_processors = 2 | |||
lb_recognition_period_seconds = 3 | |||
alert_check_interval = 60 | |||
mongodb_uri = mongodb://localhost/graylog | |||
mongodb_max_connections = 1000 | |||
mongodb_threads_allowed_to_block_multiplier = 5 | |||
content_packs_dir = /usr/share/graylog-server/contentpacks | |||
content_packs_auto_load = grok-patterns.json | |||
proxied_requests_thread_pool_size = 32 | |||
</pre> | |||
Salviamo e avviamo il demone: | |||
<pre> | |||
# systemctl start graylog-server | |||
# systemctl enable graylog-server | |||
</pre> | </pre> | ||