本文已参与「新人创作礼」活动,一起开启掘金创作之路。 一、目标
安装Graylog并收集网络设备的syslog
二、环境
centos7.6
三、主要过程
1、前戏
setenforce 0 sed -i "s/SELINUX=enforcing/SELINUX=disabled/g" /etc/selinux/config iptables -F service iptables save systemctl disabled firewalld systemctl stop firewalld cp /etc/yum.repos.d/CentOS-Base.repo{,.bak} cp /etc/yum.repos.d/epel.repo{,.bak} wget -O /etc/yum.repos.d/CentOS-Base.repo mirrors.aliyun.com/repo/Centos… wget -O /etc/yum.repos.d/epel.repo mirrors.aliyun.com/repo/epel-7… 2、安装先决软件
#安装java软件包 yum install java-1.8.0-openjdk-headless.x86_64 -y #安装epel软件仓库 yum install epel-release -y #安装pwgen生成密 yum install pwgen -y 3、安装mongoDB
vi /etc/yum.repos.d/mongodb-org.repo
[mongodb-org] name=MongoDB Repository baseurl=mirrors.aliyun.com/mongodb/yum… gpgcheck=1 enabled=1 gpgkey=www.mongodb.org/static/pgp/… yum install mongodb-org -y systemctl daemon-reload systemctl enable mongod.service systemctl start mongod.service systemctl --type=service --state=active | grep mongod 4、安装Elasticsearch
mkdir -p /opt/elasticsearch/data mkdir -p /opt/elasticsearch/logs useradd elasticsearch chown -R elasticsearch:elasticsearch /opt/elasticsearch #如果下不到这个版本的,感觉也可以去其他地方下其他版本的 wget mirrors.cloud.tencent.com/elasticstac… rpm -ihv elasticsearch-7.14.0-x86_64.rpm
systemctl daemon-reload systemctl enable elasticsearch.service systemctl restart elasticsearch.service 5、修改Elasticsearch配置文件
cp /etc/elasticsearch/elasticsearch.yml{,.bak} vi /etc/elasticsearch/elasticsearch.yml #在配置文件中搜索cluster,然后在其附近添加下面两行 cluster.name: graylog action.auto_create_index: false path.data: /opt/elasticsearch/data path.logs: /opt/elasticsearch/logs
6、启动Elasticsearch
systemctl restart elasticsearch.service systemctl enable elasticsearch.service 检查是否启动成功
netstat -anp |grep 9200 7、安装Graylog 4
rpm -Uvh packages.graylog2.org/repo/packag… yum install graylog-server -y 8、修改Graylog相关配置文件
cp /etc/graylog/server/server.conf{,.bak} #不知道这命令是干啥的 pwgen -N 1 -s 96 #执行本命令后,输入admin并回车,记住产生的一串密码 echo -n "Enter Password: " && head -1 </dev/stdin | tr -d '\n' | sha256sum | cut -d" " -f1 将上面产生的密码贴到配置文件中
vim /etc/graylog/server/server.conf #把刚才产生的密码贴到password_secret = 和 root_password_sha2 = 后面
#然后将这三处修改成如下 root_timezone = Asia/Shanghai allow_highlighting = true http_bind_address = 0.0.0.0:9000
9、重启服并开放端口
systemctl daemon-reload systemctl enable graylog-server.service systemctl start graylog-server.service
firewall-cmd --zone=public --add-port=9000/tcp --permanent firewall-cmd --reload 10、(重点)将UDP的1514重定向到514.
网络设备使用syslog协议的udp514端口进行发送日志,但是在 graylog中和大部分linux操作系统中,1024以下的端口都是属于特权端口,不允许直接使用,所以要配置iptables规则下iptables规则重定向流量
iptables -t nat -A PREROUTING -p tcp --dport 514 -j REDIRECT --to 1514 iptables -t nat -A PREROUTING -p udp --dport 514 -j REDIRECT --to 1514 service iptables save 四、使用Graylog
1、使用默认账号admin和自定义密码admin(第三8产生的密码然后写到配置文件的那串)9000端口,如http://10.37.21.100:9000
2、设置Graylog接收日志
点菜单 system---inputs
选syslog UDP
再点Launch new input来创建一个新的input
Title随便写
Bind address 感觉应该是让写发送syslog设备的ip,如果写4个0应该是指接收所有设备的syslog日志
Port 指的的是监听本服务器的1514端口,注意不能写514,这个graylog认为低于1024的端口是不能用的,前面我们做过端口重定向了,所以这里写1514就等于514。
3、网络设备发送日志到graylog。
比如华三的设置可能是这样的,可能不只这一条,用的时候再搜
info-center loghost 192.168.220.248 facility local5 4、去Graylog上查看日志
下面是日志详情
参考:
使用EVE-NG模拟山石网科防火墙syslog日志接入GrayLog4.1 - 云+社区 - 腾讯云
CentOS 7下安装部署Graylog3.0收集分析网络设备日志_服务器应用_Linux公社-Linux系统门户网站
------kahn---ok------2021年10月12日--------
