I. Введение в соответствующие компоненты платформы Garylog
- Graylog-сервер: Graylog получает журналы от различных внутренних приложений и предоставляет интерфейс веб-доступа
- Graylog Collector Sidecar: отвечает за сбор журналов приложений и отправку их на Graylog-сервер
- Elasticsearch: используется для индексации и сохранения полученных журналов, производительность зависит от памяти и ввода-вывода жесткого диска
- MongoDB: отвечает за сохранение информации о конфигурации Graylog, нагрузка не высокая
- GeoIP_CityDatabase: анализ журналов Ngnix через Graylog, получение IP-адреса посетителя, а затем использование базы данных GeoIP2 для анализа географического местоположения IP.
Сравнение Гарилога и ЭЛК
Сравнение общей архитектуры
- Graylog: Graylog Collector Sidecar-> Сервер Graylog (пакет ElstaicSearch) -> Веб-страница Graylog
- ELK:Logstash -> ElasticSearch -> Kibana
Преимущества Graylog:
- Простота развертывания и обслуживания, простота в использовании и интегрированное решение
- По сравнению с синтаксисом json от ES синтаксис поиска относительно прост, и результаты поиска можно выделить
- Встроенное простое оповещение можно вспомнить через веб-API или по электронной почте
- Может напрямую экспортировать поисковый JSON-файл для облегчения разработки поисковых скриптов, которые вызывают остальные API
Три, диаграмма архитектуры Garylog
Установка одного узла
Подходит для небольшого сбора журналов, установки тестовой среды, без избыточности, но для быстрой установки и развертывания, в данной статье используется этот метод установки
Кластерная установка
Это подходит для производственных сред. Балансировка нагрузки добавляется до того, как несколько узлов Graylog развернуты в кластере. ElasticSearch и MongoDB развернуты. Балансировщик нагрузки может проверить, является ли узел нормальным. Если узел отключен, вы можете удалить узел
В-четвертых, установка и настройка Graylog
1.jdk установка
Версия установки jdk1.8.0_161, процесс установки (опущен)
Установка 2.ElasticSearch
Установочная версия —asticsearch-5.6.11, установлен плагин x-pack, а также инструмент управленияasticsearch-head
Плагин для сегментации китайского словаasticsearch-analysis-ik-5.6.11 ,asticsearch-analysis-pinyin-5.6.11
Обратите внимание, что версия ElasticSearch, соответствующая Graylog2.4, не может быть выше 5.x, иначе она не может быть установлена
Обратите внимание, что версия ElasticSearch, соответствующая Graylog 2.3 и более ранним версиям, не может быть выше 4.x, в противном случае она не может быть установлена
(1) Установить эластичный поиск-5.6.11
Распаковать эластичный поиск-5.6.11.tar.gz, tar -zxf эластичный поиск-5.6.11.tar.gz -C / usr / local
Измените конфигурациюasticsearch.yml следующим образом
path.data:
- /data/elasticsearch_1
- /data/elasticsearch_2
- /data/elasticsearch_3
path.logs: /data/elasticsearch_logs
bootstrap.memory_lock: true
network.host: 0.0.0.0
http.port: 9200
xpack.security.audit.enabled: true
xpack.security.authc.accept_default_password: false
indices.store.throttle.max_bytes_per_sec: 150mb
http.cors.allow-headers: Authorization,X-Requested-With,Content-Length,Content-Type
http.cors.enabled: true
http.cors.allow-origin: "*"Elasticsearch не может быть запущен пользователем root, вам нужно создать новый эластичный пользователь, переключиться на эластичный и запустить
./elasticsearch -d
Посетите http://10.10.10.1:9200/ через браузер и верните информацию, относящуюся кasticsearch, что означает, что запуск прошел успешно
(2) Установите x-pack
bin /asticsearch-plugin установите x-pack, следуйте инструкциям и нажмите Next для установки
(3) установить китайское слово segmenter ik и пиньинь
Перейдите в /usr/local/elasticsearch-5.6.11/plugins и распакуйте файлasticsearch-analysis-ik-5.6.11.zip в каталог ik
Перейдите в /usr/local/elasticsearch-5.6.11/plugins, разархивируйте файлasticsearch-analysis-pinyin-5.6.11.zip в каталог pinyin и перезапустите эластичный поиск
Введите в браузере следующий адрес: если появляется слово сегментация, настройка выполнена успешно.
http://192.168.0.100:9200/_analyze?analyzer=ik&pretty=true&text=helloworld,%E6%AC%A2%E8%BF%8E%E6%82%A8(4) Установка инструмента управления упругой головкой
Извлеките файлasticsearch-head-master.zip в / usr / local /
chown -R elastic:elastic /usr/local/elasticsearch-head-master
cd /usr/local/elasticsearch-head-master
npm install && nohup npm run start &Посетите http://10.10.10.1:9100, если появится следующая страница, установка прошла успешно
Установка 3.MongoDB
Используйте кластер Alibaba Cloud MongoDB RDS, версия 3.4, официальная рекомендация — использовать последнюю версию, процесс установки (опущен)
4. Установка Грайлог-сервера
Установочная версия Graylog-2.4.6
rpm -Uvh https://packages.graylog2.org/repo/packages/graylog-2.4-repository_latest.rpmУстановить yum -y установить graylog-server через yum
Измените файл конфигурации vim /etc/graylog/server/server.conf со следующими изменениями:
Используйте pwgen для генерации password_secret плюс пароль pwgen -N 1 -s 96
U9oMoxRYJ0DB4K30SsQPhAeL7237aTTy0kSpLiEbrNNSqGp6sQaJO4zq9fI2I6FEVkpIomGNQMrssj8IQqmgIhTDNrUbQbnk
Добавьте указанный выше ключ в password_secret =
Используйте echo -n 123456 | sha256sum, чтобы сгенерировать пароль для входа, и учетная запись — admin
8d969eef6ecad3c29a3a629280e686cf0c3f5d5a86aff3ca12020c923adc6c92
Добавьте указанный выше ключ в root_password_sha2 =
Измените часовой пояс root_timezone = UTC на root_timezone = Азия / Шанхай
Измените адрес для прослушивания web и api
rest_listen_uri = http://127.0.0.1:9000/api/ изменен на http://0.0.0.0:9000/graylog/api/
rest_transport_uri = http://192.168.1.1:9000/api/ изменен на https://graylog.example.com/graylog/api/
web_listen_uri = http://127.0.0.1:9000/ изменен на http://0.0.0.0:9000/graylog/
rest_enable_cors = false
Изменить адрес подключения ElasticSearch
elasticsearch_hosts = http://elastic:123456@10.10.10.1:9200
Изменить адрес подключения MongoDB
mongodb_uri = mongodb://graylog:123456@10.10.10.1:3717/graylog
Chkconfig — добавить Graylog-сервер
Добавьте graylog-сервер в системную службу systemctl, включите graylog-server.service
Подсветка результатов поиска allow_highlighting = true
5.Грейлог-коллектор-коляска установка
Перейдите в git-проект сборщика колясок https://github.com/Graylog2/collector-sidecar/releases, чтобы загрузить последнюю стабильную версию.
Установите rpm -i collector-sidecar-0.0.9-1.x86_64.rpm
Измените файл конфигурации collector_sidecar.yml, измените server_url: http://10.10.10.1:9000/graylog/api/, добавьте теги
Проверьте правильность файла конфигурации
graylog-collector-sidecar -configtest -c /etc/graylog/collector-sidecar/collector_sidecar.ymlGraylog-коллектор-коляска -сервисная установка
Запустите сервис systemctl запустите коллектор-коляску
6. Настройте Nginx
server_name graylog.example.com;
location /graylog/ {
proxy_set_header Host $http_host;
proxy_set_header X-Forwarded-Host $host;
proxy_set_header X-Forwarded-Server $host;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Graylog-Server-URL http://$server_name/api;
proxy_pass http://127.0.0.1:9000/graylog/;
}
location /graylog/api/ {
proxy_set_header Host $http_host;
proxy_set_header X-Forwarded-Host $host;
proxy_set_header X-Forwarded-Server $host;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_pass http://127.0.0.1:9000/graylog/api/;
}После завершения настройки перезапустите nginx и graylog-server.
Источник: https://russianblogs.com/article/404130660/
Was this helpful?
0 / 0