Graylog คืออะไร

Graylog คือระบบจัดการและวิเคราะห์ข้อมูลบันทึก (log management and analysis system) ที่ใช้ในการรวบรวมข้อมูลบันทึกจากแหล่งต่าง ๆ เช่น ข้อมูลบันทึกของเซิร์ฟเวอร์ อุปกรณ์เครือข่าย และแอปพลิเคชัน นอกจากนี้ยังสามารถเพิ่มฟังก์ชันการค้นหาและประมวลผลข้อมูลบันทึกอย่างมีประสิทธิภาพ

ใช้งาน Graylog ดังนี้:

1. ติดตั้ง: ติดตั้ง Graylog บนเซิร์ฟเวอร์ โดยใช้ระบบปฏิบัติการที่รองรับ (เช่น Linux)
2. ตั้งค่า: ปรับแต่งการตั้งค่าของ Graylog เพื่อรองรับการรวบรวมข้อมูลบันทึกจากแหล่งที่ต้องการ
3. ส่งข้อมูลบันทึก: ตั้งค่าข้อมูลบันทึกจากแหล่งต่าง ๆ เพื่อส่งมายัง Graylog
4. วิเคราะห์: ใช้คำสั่งค้นหา สร้างกราฟ และแดชบอร์ดเพื่อวิเคราะห์ข้อมูลบันทึกที่รวบรวมมา

Graylog เหมาะกับงานประเภท:

1. การตรวจสอบและวิเคราะห์ปัญหา (troubleshooting) ในระบบ
2. การตรวจสอบความปลอดภัยและการต้านการโจมตี (security monitoring and threat detection)
3. การปฏิบัติตามกฎระเบียบ (compliance and regulation)
4. การวิเคราะห์เพื่อปรับปรุงประสิทธิภาพระบบ (performance analysis and optimization)

Graylog มีให้ใช้งานฟรีในรูปแบบของ Graylog Open Source ซึ่งเปิดให้ใช้งานโดยไม่มีค่าใช้จ่าย

วิธีติดตั้งบน centos 8

เพื่อติดตั้ง Graylog บน CentOS 8 ให้ทำตามขั้นตอนด้านล่าง:

ขั้นตอนที่ 1: ติดตั้ง Java และ Elasticsearch

Graylog ต้องใช้ Java 11 และ Elasticsearch ทำงานร่วมกัน ดังนั้นให้ติดตั้ง Java 11 และ Elasticsearch ก่อน:

1. ติดตั้ง Java 11:

sudo dnf install java-11-openjdk-devel 

1. ตั้งค่า repository ของ Elasticsearch:

sudo rpm --import https://artifacts.elastic.co/GPG-KEY-elasticsearch 

1. เพิ่ม Elasticsearch repository โดยสร้างไฟล์ /etc/yum.repos.d/elasticsearch.repo:

sudo nano /etc/yum.repos.d/elasticsearch.repo 

ใส่ข้อมูลต่อไปนี้ลงในไฟล์:

[elasticsearch-7.x] name=Elasticsearch repository for 7.x packages baseurl=https://artifacts.elastic.co/packages/7.x/yum gpgcheck=1 gpgkey=https://artifacts.elastic.co/GPG-KEY-elasticsearch enabled=1 autorefresh=1 type=rpm-md 

1. ติดตั้ง Elasticsearch:

sudo dnf install elasticsearch 

1. เปิดใช้งานและเริ่ม Elasticsearch:

sudo systemctl enable --now elasticsearch 

ขั้นตอนที่ 2: ติดตั้ง MongoDB

Graylog ใช้ MongoDB ในการเก็บข้อมูลของตัวเอง ดังนั้นให้ติดตั้ง MongoDB:

1. เพิ่ม MongoDB repository:

sudo nano /etc/yum.repos.d/mongodb-org.repo 

ใส่ข้อมูลต่อไปนี้ลงในไฟล์:

[mongodb-org-4.4] name=MongoDB Repository baseurl=https://repo.mongodb.org/yum/redhat/$releasever/mongodb-org/4.4/x86_64/ gpgcheck=1 enabled=1 gpgkey=https://www.mongodb.org/static/pgp/server-4.4.asc 

1. ติดตั้ง MongoDB:

sudo dnf install mongodb-org 

1. เปิดใช้งานและเริ่ม MongoDB:

sudo systemctl enable --now mongod 

ขั้นตอนที่ 3: ติดตั้ง Graylog

1. เพิ่ม Graylog repository:

sudo rpm -Uvh https://packages.graylog2.org/repo/packages/graylog-4.0-repository_latest.rpm 

1. ติดตั้ง Graylog:

sudo dnf install graylog-server 

สร้าง password_secret และ `root_password_sha256_secret`:

Graylog ต้องการความปลอดภัยสูงสำหรับการยืนยันความถูกต้องของข้อมูล ให้สร้างรหัสลับเหล่านี้ก่อน:

1. สร้าง password_secret โดยใช้คำสั่งต่อไปนี้:

pwgen -N 1 -s 96 

จดรหัสลับนี้ไว้ เราจะใช้มันในขั้นตอนถัดไป

1. สร้าง root_password_sha256_secret โดยใช้คำสั่งต่อไปนี้ (แทน <your_password> ด้วยรหัสผ่านที่คุณต้องการใช้สำหรับผู้ดูแลระบบของ Graylog):

echo -n "<your_password>" | sha256sum 

จดรหัสลับนี้ไว้ เราจะใช้มันในขั้นตอนถัดไป

ขั้นตอนที่ 4: ปรับแต่งการตั้งค่า Graylog

1. แก้ไขไฟล์ /etc/graylog/server/server.conf:

sudo nano /etc/graylog/server/server.conf 

1. แก้ไขส่วนต่อไปนี้ด้วยค่าที่เราสร้างขึ้นในขั้นตอนก่อนหน้า:

password_secret = <your_generated_password_secret> root_password_sha2 = <your_generated_root_password_sha256_secret> 

1. ตั้งค่าส่วนที่เหลือตามความต้องการของคุณ เช่น http_bind_address และการตั้งค่าของ Elasticsearch

ขั้นตอนที่ 5: เริ่มต้นใช้งาน Graylog

1. เปิดใช้งานและเริ่ม Graylog:

sudo systemctl enable --now graylog-server 

1. ตรวจสอบสถานะของ Graylog:

sudo systemctl status graylog-server 

หากทุกอย่างเรียบร้อย คุณสามารถเข้าถึง Graylog ผ่านเว็บบราว์เซอร์โดยใช้ที่อยู่ IP หรือชื่อโดเมนของเซิร์ฟเวอร์ของคุณ พร้อมกับพอร์ตที่ตั้งค่าไว้ (ค่าเริ่มต้นคือ 9000)

ตัวอย่างเช่น ถ้า IP ของเซิร์ฟเวอร์ของคุณคือ 192.168.1.100 คุณสามารถเข้าถึง Graylog ผ่านเว็บเบราเซอร์ที่:

http://192.168.1.100:9000/ 

หรือถ้าคุณใช้ชื่อโดเมน เช่น graylog.example.com:

http://graylog.example.com:9000/ 

เมื่อเข้าถึงเว็บเบราเซอร์ของ Graylog คุณจะพบหน้าล็อกอิน ให้ใช้รหัสผ่านที่คุณสร้างขึ้นในขั้นตอนที่ 3 ของการปรับแต่งการตั้งค่า Graylog เพื่อเข้าสู่ระบบ หลังจากเข้าสู่ระบบ คุณสามารถกำหนดค่า Graylog ให้รับข้อมูลบันทึกจากแหล่งต่าง ๆ เช่น การตั้งค่ารับข้อมูลบันทึก syslog จากอุปกรณ์เครือข่าย การตั้งค่ารับข้อมูลบันทึกจากเซิร์ฟเวอร์และแอปพลิเคชัน และอื่น ๆ อีกมากมาย นอกจากนี้คุณยังสามารถสร้างกราฟ แดชบอร์ด และการตั้งค่าการแจ้งเตือนเพื่อช่วยในการวิเคราะห์ข้อมูลบันทึก ป้องกันและตรวจจับภัยคุกคาม และปรับปรุงประสิทธิภาพระบบของคุณ ถือเป็นขั้นตอนพื้นฐานในการติดตั้งและเริ่มต้นใช้งาน Graylog บน CentOS 8 คุณสามารถปรับแต่งและขยายการใช้งาน Graylog ตามความต้องการขององค์กรหรือโครงการของคุณ

ข้อมูลเพิ่มเติมเกี่ยวกับการใช้งาน Graylog

หลังจากที่คุณติดตั้งและเริ่มต้นใช้งาน Graylog บน CentOS 8 แล้ว คุณอาจต้องการทราบข้อมูลเพิ่มเติมเกี่ยวกับการใช้งาน Graylog ด้านล่างนี้:

1. การสร้างและกำหนดค่า Inputs (แหล่งข้อมูล): ข้อมูลบันทึกที่จะถูกส่งเข้ามายัง Graylog จะต้องผ่าน Inputs คุณสามารถสร้างและกำหนดค่า Inputs ตามชนิดของข้อมูลบันทึก เช่น Syslog, GELF, หรือ Beats ไปยังหน้า "System > Inputs" และกดปุ่ม "Launch new input" จากนั้นเลือกชนิดของ Input ที่ต้องการและป้อนข้อมูลการกำหนดค่า
2. การสร้าง Stream (กระแสข้อมูล): Stream เป็นการจัดกลุ่มข้อมูลบันทึกตามเงื่อนไขหรือกฎที่กำหนด เพื่อให้ง่ายต่อการค้นหาและวิเคราะห์ คุณสามารถสร้าง Stream โดยไปยังหน้า "Streams" และกดปุ่ม "Create Stream" จากนั้นป้อนชื่อ คำอธิบาย และกำหนดเงื่อนไขหรือกฎ
3. การสร้าง Dashboard (แผงควบคุม): Dashboard เป็นวิธีการแสดงข้อมูลบันทึกที่สำคัญในรูปแบบที่เข้าใจง่าย เช่น กราฟ แผนภูมิ หรือตาราง คุณสามารถสร้าง Dashboard โดยไปยังหน้า "Dashboards" และกดปุ่ม "Create Dashboard" จากนั้นป้อนชื่อและคำอธิบาย หลังจากสร้าง Dashboard คุณสามารถเพิ่มพวก "Widgets" เข้าไปแสดงข้อมูลตามความต้องการ

การตั้งค่า Alert (การแจ้งเตือน): Graylog จะสามารถแจ้งเตือนเมื่อเกิดเหตุการณ์ตามเงื่อนไขที่กำหนด ซึ่งช่วยให้คุณติดตามปัญหา ป้องกันภัยคุกคคาม และรักษาความปลอดภัยในระบบของคุณได้ดียิ่งขึ้น