Graylog คือระบบจัดการและวิเคราะห์ข้อมูลบันทึก (log management and analysis system) ที่ใช้ในการรวบรวมข้อมูลบันทึกจากแหล่งต่าง ๆ เช่น ข้อมูลบันทึกของเซิร์ฟเวอร์ อุปกรณ์เครือข่าย และแอปพลิเคชัน นอกจากนี้ยังสามารถเพิ่มฟังก์ชันการค้นหาและประมวลผลข้อมูลบันทึกอย่างมีประสิทธิภาพ
ใช้งาน Graylog ดังนี้:
Graylog เหมาะกับงานประเภท:
Graylog มีให้ใช้งานฟรีในรูปแบบของ Graylog Open Source ซึ่งเปิดให้ใช้งานโดยไม่มีค่าใช้จ่าย
เพื่อติดตั้ง Graylog บน CentOS 8 ให้ทำตามขั้นตอนด้านล่าง:
Graylog ต้องใช้ Java 11 และ Elasticsearch ทำงานร่วมกัน ดังนั้นให้ติดตั้ง Java 11 และ Elasticsearch ก่อน:
sudo dnf install java-11-openjdk-devel
sudo rpm --import https://artifacts.elastic.co/GPG-KEY-elasticsearch
sudo nano /etc/yum.repos.d/elasticsearch.repo
ใส่ข้อมูลต่อไปนี้ลงในไฟล์:
[elasticsearch-7.x] name=Elasticsearch repository for 7.x packages baseurl=https://artifacts.elastic.co/packages/7.x/yum gpgcheck=1 gpgkey=https://artifacts.elastic.co/GPG-KEY-elasticsearch enabled=1 autorefresh=1 type=rpm-md
sudo dnf install elasticsearch
sudo systemctl enable --now elasticsearch
Graylog ใช้ MongoDB ในการเก็บข้อมูลของตัวเอง ดังนั้นให้ติดตั้ง MongoDB:
sudo nano /etc/yum.repos.d/mongodb-org.repo
ใส่ข้อมูลต่อไปนี้ลงในไฟล์:
[mongodb-org-4.4] name=MongoDB Repository baseurl=https://repo.mongodb.org/yum/redhat/$releasever/mongodb-org/4.4/x86_64/ gpgcheck=1 enabled=1 gpgkey=https://www.mongodb.org/static/pgp/server-4.4.asc
sudo dnf install mongodb-org
sudo systemctl enable --now mongod
sudo rpm -Uvh https://packages.graylog2.org/repo/packages/graylog-4.0-repository_latest.rpm
sudo dnf install graylog-server
สร้าง password_secret และ `root_password_sha256_secret`:
Graylog ต้องการความปลอดภัยสูงสำหรับการยืนยันความถูกต้องของข้อมูล ให้สร้างรหัสลับเหล่านี้ก่อน:
pwgen -N 1 -s 96
จดรหัสลับนี้ไว้ เราจะใช้มันในขั้นตอนถัดไป
echo -n "<your_password>" | sha256sum
จดรหัสลับนี้ไว้ เราจะใช้มันในขั้นตอนถัดไป
sudo nano /etc/graylog/server/server.conf
password_secret = <your_generated_password_secret> root_password_sha2 = <your_generated_root_password_sha256_secret>
sudo systemctl enable --now graylog-server
sudo systemctl status graylog-server
หากทุกอย่างเรียบร้อย คุณสามารถเข้าถึง Graylog ผ่านเว็บบราว์เซอร์โดยใช้ที่อยู่ IP หรือชื่อโดเมนของเซิร์ฟเวอร์ของคุณ พร้อมกับพอร์ตที่ตั้งค่าไว้ (ค่าเริ่มต้นคือ 9000)
ตัวอย่างเช่น ถ้า IP ของเซิร์ฟเวอร์ของคุณคือ 192.168.1.100 คุณสามารถเข้าถึง Graylog ผ่านเว็บเบราเซอร์ที่:
http://192.168.1.100:9000/
หรือถ้าคุณใช้ชื่อโดเมน เช่น graylog.example.com:
http://graylog.example.com:9000/
เมื่อเข้าถึงเว็บเบราเซอร์ของ Graylog คุณจะพบหน้าล็อกอิน ให้ใช้รหัสผ่านที่คุณสร้างขึ้นในขั้นตอนที่ 3 ของการปรับแต่งการตั้งค่า Graylog เพื่อเข้าสู่ระบบ หลังจากเข้าสู่ระบบ คุณสามารถกำหนดค่า Graylog ให้รับข้อมูลบันทึกจากแหล่งต่าง ๆ เช่น การตั้งค่ารับข้อมูลบันทึก syslog จากอุปกรณ์เครือข่าย การตั้งค่ารับข้อมูลบันทึกจากเซิร์ฟเวอร์และแอปพลิเคชัน และอื่น ๆ อีกมากมาย นอกจากนี้คุณยังสามารถสร้างกราฟ แดชบอร์ด และการตั้งค่าการแจ้งเตือนเพื่อช่วยในการวิเคราะห์ข้อมูลบันทึก ป้องกันและตรวจจับภัยคุกคาม และปรับปรุงประสิทธิภาพระบบของคุณ ถือเป็นขั้นตอนพื้นฐานในการติดตั้งและเริ่มต้นใช้งาน Graylog บน CentOS 8 คุณสามารถปรับแต่งและขยายการใช้งาน Graylog ตามความต้องการขององค์กรหรือโครงการของคุณ
หลังจากที่คุณติดตั้งและเริ่มต้นใช้งาน Graylog บน CentOS 8 แล้ว คุณอาจต้องการทราบข้อมูลเพิ่มเติมเกี่ยวกับการใช้งาน Graylog ด้านล่างนี้:
การตั้งค่า Alert (การแจ้งเตือน): Graylog จะสามารถแจ้งเตือนเมื่อเกิดเหตุการณ์ตามเงื่อนไขที่กำหนด ซึ่งช่วยให้คุณติดตามปัญหา ป้องกันภัยคุกคคาม และรักษาความปลอดภัยในระบบของคุณได้ดียิ่งขึ้น