RHEL8+Graylog5.1日志监控系统快速部署接入
登录
标签搜索
侧边栏壁纸
博主昵称
王忘杰

  • 累计撰写 268 篇文章
  • 累计收到 179 条评论
技术相关

RHEL8+Graylog5.1日志监控系统快速部署接入

王忘杰
王忘杰
2023-07-12 / 0 评论 / 526 阅读 / 正在检测是否收录...
温馨提示:
本文最后更新于2023年07月13日,已超过500天没有更新,若内容或图片失效,请留言反馈。

ljzddeui.png

本教程适用于RHEL8/Oracle linux8/ALMA Linux8操作系统,当前组件版本信息为:

java-17-openjdk-17.0.7.0.7-3.0.1.el8.x86_64
opensearch-2.8.0-1.x86_64
mongodb-org-database-6.0.8-1.el8.x86_64
graylog-server-5.1.3-1.x86_64

建议
装一台Alma8服务器,安装graylog,关闭selinux,保持系统更新。
全部采用yum源安装,方便快速更新
我防火墙仅开放了9000/TCP 1514/UDPSSH端口

官方安装教程
https://go2docs.graylog.org/5-1/downloading_and_installing_graylog/red_hat_installation.htm

安装OpenJdk17

yum install java-17-openjdk

安装MongoDB
创建yum源文件/etc/yum.repos.d/mongodb-org.repo

[mongodb-org-6.0]
name=MongoDB Repository
baseurl=https://repo.mongodb.org/yum/redhat/$releasever/mongodb-org/6.0/x86_64/
gpgcheck=1
enabled=1
gpgkey=https://www.mongodb.org/static/pgp/server-6.0.asc

安装并启动

sudo yum install -y mongodb-org
sudo systemctl daemon-reload
sudo systemctl enable mongod
sudo systemctl start mongod
sudo systemctl status mongod

安装OpenSearch

sudo curl -SL https://artifacts.opensearch.org/releases/bundle/opensearch/2.x/opensearch-2.x.repo -o /etc/yum.repos.d/opensearch-2.x.repo
sudo yum install -y opensearch

配置OpenSearch端口监听/etc/opensearch/opensearch.yml

cluster.name: graylog
node.name: ${HOSTNAME}
path.data: /var/lib/opensearch
path.logs: /var/log/opensearch
discovery.type: single-node
network.host: 0.0.0.0
action.auto_create_index: false
plugins.security.disabled: true

修改内存占用/etc/opensearch/jvm.options

-Xms6g
-Xmx8g

修改内核参数

sudo sysctl -w vm.max_map_count=262144
sudo echo 'vm.max_map_count=262144' >> /etc/sysctl.conf

启动程序

sudo systemctl daemon-reload
sudo systemctl enable opensearch
sudo systemctl start opensearch
sudo systemctl status opensearch

安装Graylog

sudo rpm -Uvh https://packages.graylog2.org/repo/packages/graylog-5.1-repository_latest.rpm
sudo yum install graylog-server

修改配置/etc/graylog/server/server.conf
增加password_secretroot_password_sha2选项,不增加这两项不允许访问,配置http_bind_address,默认只监听127.0.0.1,修改为0.0.0.0

取得root_password_sha2

echo -n "Enter Password: " && head -1 </dev/stdin | tr -d '\n' | sha256sum | cut -d" " -f1

取得password_secret

< /dev/urandom tr -dc A-Z-a-z-0-9 | head -c${1:-96};echo;

启动程序

sudo systemctl daemon-reload
sudo systemctl enable graylog-server.service
sudo systemctl start graylog-server.service
sudo systemctl --type=service --state=active | grep graylog

登录系统
默认为http://IP:9000/
用户名和密码均在server.conf中定义

启动Syslog UDP监听器
注意:graylog无法监听1024以内端口,因此Syslog将使用1514UDP端口
graylog - system -inputs

ljze49zl.png

ljze3yx9.png

H3C交换机快速接入

info-center loghost 172.16.0.1 port 1514

浪潮BMC快速接入

ljze8dos.png

群晖快速接入
ljze9a9n.png

预览
ljzddeui.png

问题处理
时间不对,修改时区 server.conf

root_timezone = Asia/Shanghai

总结
为什么不用ELK?
你研究ELK?
等你研究出来马斯克都上火星了!
人生苦短,我用Graylog!

3
暂无标签
版权属于: 王忘杰
本文链接: https://90apt.com/4091
作品采用: 署名-非商业性使用-相同方式共享 4.0 国际 (CC BY-NC-SA 4.0) 》许可协议授权

评论

博主关闭了所有页面的评论