|

22T35 Centralny serwer logów w sieci lokalnej [instalacja Graylog]

Graylog Log Server Docker

Więcej miejsc do posłuchania:

Spotify

Transkrypcja

Cześć. Czy miałeś kiedyś taką sytuację, że chciałeś odczytać logi z urządzenia ale urządzenie było nieosiągalne lub minął okres ich przechowywania? Jeśli tak, to dobrze trafiłeś. W tym odcinku pokażę jak uruchomić centralny serwer logów Graylog w celu przechowywania logów z różnych urządzeń w jednym miejscu. Zapraszam.

Próbujemy tutaj wygenerować jakieś wpisy w logach. Ewentualnie zmienić jakąś konfigurację. Domyślne hasło to admin ale tutaj wklejamy hasło, które sobie wygenerowaliśmy. Tutaj zewnętrzny adres dla tej usługi, jako adres IP wpiszę adres tego serwera z usługami kontenerowymi. Tutaj interfejs będzie na porcie 9000. Zobaczmy czy kontener się uruchomił. Skopiuję ten adres, żeby sobie wygodnie spróbować uzyskać dostęp do środowiska. W przeglądarce wklejam ten adres. Środowisko jest wdrożone. Zobaczmy czy się uruchomi. Jeszcze sama usługa Greylog się nie uruchomiła. Jest już uruchomiona. Mamy dostęp do usługi. Zobaczmy czy nasze poświadczenia działają skonfigurowane w Docker Compose. Wygląda na to, że wszystko działa.

Nie dokonfigurowałem jeszcze tzw. trybu stałego więc po wyłączeniu kontenera wszystkie informacje zostaną usunięte. W celu zachowania trybu stałego w utworzonym środowisku należy dodać volumen. Uruchamiamy środowisko. Graylog jeszcze się uruchamia. W między czasie widać, że volumeny zostały utworzone. Graylog jest uruchomiony. Volumeny są utworzone ale nie podmontowane. Loguje się hasłem wskazanym w konfiguracji. Utworzy tablicę. Zobaczmy. Jest tutaj utworzony testowy Dashboard. Teraz wyłącze ten stack. Włączę ponownie i zobaczę czy zmiany zostały zachowane. Graylog się uruchomił.

Zobaczmy czy Dashboard został zachowany. Nie ma. W takim razie należy jeszcze dodać do konfiguracji odpowiednie wpisy, które na stałe zachowają tworzony volumen. Najpierw zatrzymam ten Stack. Przechodzę do edycji. Należy dodać teraz odpowiednie wpisy, które spowodują, że dane będą zachowywane na dłużej. Stąd tzw. volumen. Najpierw dodam volumen dla mongo db. Mongo data będzie podpięta pod data db. Analogicznie dla elaticsearch es_data będzie podpięte pod usr/share/elasticsearch/data Jeszcze volumen dla Graylog. Graylog data będzie podmopowane do user share graylog data. Jeszcze na końcu podmopowanie volumens. Zaktualizuję ten Stack. Zobaczy jak wygląda sytuacja z volumenami. Już volumeny nie mają flagi unused.

Zobaczmy czy Stack się już cały uruchomił. Jest już uruchomiony. Można się teraz z powrotem zalogować do Greyloga. Zobaczmy, utworzę nowy Dashboard. Niech będzie sobie jakaś tabelka. Zapiszę ponownie jako test. W dashboardach jest test. Wyłączę cały Stack.

Zobaczmy jak wyglądają volumeny. Ten zmienił status na unused a jeszcze był używany. Wiem, że on jest z Stack-u Graylog. Te pierwotnie też były używane z Grayloga. Można je usunąć bo to były tymczasowe pamięci. Zobaczmy czy po uruchomieniu Stack odczyta zawartość tych volumenów. Stack jest uruchomiony, Greylog też się uruchamia. Zobaczmy jak wyglądają volumeny. Pojawił się jakiś tymczasowy. Ale te trzy zostały podłączone. Zobaczmy czy wszystko będzie działać jak już się w pełni uruchomi kontener Greylog. Widać, że wszystkie kontenery uruchomione. Zobaczmy jeszcze raz jak wyglądają volumeny. Jest tylko jeden jakiś obcy.

Odświeżę teraz stronę. Dashboard o nazwie test został zachowany. Czyli Greylog może być teraz wykorzystywany z trybem stałym. Zainstalowana wersja jest nieaktualna. Możemy spróbować ją zaktualizować. 4.3.3. Graylog 4.2. Wyedytujemy Stack. Przeszukam najpierw Docker hub. Znalazło w Stack-u ale eksperymentalnie wyłączę i wkleję tą nazwę konfiguracji zamiast tego 4.2. na 4.3.3

Zobaczmy czy się uruchomi. Wszystko wygląda jakby poprawnie startowało. Tutaj jest ścieżka do tego obrazu. Wygląda na to, że jest dostępna. Zobaczmy czy Stack już się uruchomił poprawnie. Jest uruchomiony. Odświeżmy. pro.pl Zobaczmy – zatrzymam Stack. Usługa została uruchomiona. Wygląda na to, że wszystko działa. Widać, że jest to wersja 4.3.5. czyli komunikat był stary. Jak mogłeś zauważyć oprogramowanie Graylog jest proste i zarazem bardzo konfigurowalne.

W następnym odcinku pokaże, jak praktycznie wykorzystać Graylog w celu przechowywania logów z MiktoTika na przykładzie analizy ruchu. Do następnego razu.


Podobne wpisy

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *