Graylog คืออะไร
Graylog คือระบบจัดการและวิเคราะห์ข้อมูลบันทึก (log management and analysis system) ที่ใช้ในการรวบรวมข้อมูลบันทึกจากแหล่งต่าง ๆ เช่น ข้อมูลบันทึกของเซิร์ฟเวอร์ อุปกรณ์เครือข่าย และแอปพลิเคชัน นอกจากนี้ยังสามารถเพิ่มฟังก์ชันการค้นหาและประมวลผลข้อมูลบันทึกอย่างมีประสิทธิภาพ
2023-03-28 11:21:42 - @ratanon
ใช้งาน Graylog ดังนี้:
- ติดตั้ง: ติดตั้ง Graylog บนเซิร์ฟเวอร์ โดยใช้ระบบปฏิบัติการที่รองรับ (เช่น Linux)
- ตั้งค่า: ปรับแต่งการตั้งค่าของ Graylog เพื่อรองรับการรวบรวมข้อมูลบันทึกจากแหล่งที่ต้องการ
- ส่งข้อมูลบันทึก: ตั้งค่าข้อมูลบันทึกจากแหล่งต่าง ๆ เพื่อส่งมายัง Graylog
- วิเคราะห์: ใช้คำสั่งค้นหา สร้างกราฟ และแดชบอร์ดเพื่อวิเคราะห์ข้อมูลบันทึกที่รวบรวมมา
Graylog เหมาะกับงานประเภท:
- การตรวจสอบและวิเคราะห์ปัญหา (troubleshooting) ในระบบ
- การตรวจสอบความปลอดภัยและการต้านการโจมตี (security monitoring and threat detection)
- การปฏิบัติตามกฎระเบียบ (compliance and regulation)
- การวิเคราะห์เพื่อปรับปรุงประสิทธิภาพระบบ (performance analysis and optimization)
Graylog มีให้ใช้งานฟรีในรูปแบบของ Graylog Open Source ซึ่งเปิดให้ใช้งานโดยไม่มีค่าใช้จ่าย
วิธีติดตั้งบน centos 8
เพื่อติดตั้ง Graylog บน CentOS 8 ให้ทำตามขั้นตอนด้านล่าง:
ขั้นตอนที่ 1: ติดตั้ง Java และ Elasticsearch
Graylog ต้องใช้ Java 11 และ Elasticsearch ทำงานร่วมกัน ดังนั้นให้ติดตั้ง Java 11 และ Elasticsearch ก่อน:
- ติดตั้ง Java 11:
sudo dnf install java-11-openjdk-devel
- ตั้งค่า repository ของ Elasticsearch:
sudo rpm --import https://artifacts.elastic.co/GPG-KEY-elasticsearch
- เพิ่ม Elasticsearch repository โดยสร้างไฟล์ /etc/yum.repos.d/elasticsearch.repo:
sudo nano /etc/yum.repos.d/elasticsearch.repo
ใส่ข้อมูลต่อไปนี้ลงในไฟล์:
[elasticsearch-7.x] name=Elasticsearch repository for 7.x packages baseurl=https://artifacts.elastic.co/packages/7.x/yum gpgcheck=1 gpgkey=https://artifacts.elastic.co/GPG-KEY-elasticsearch enabled=1 autorefresh=1 type=rpm-md
- ติดตั้ง Elasticsearch:
sudo dnf install elasticsearch
- เปิดใช้งานและเริ่ม Elasticsearch:
sudo systemctl enable --now elasticsearch
ขั้นตอนที่ 2: ติดตั้ง MongoDB
Graylog ใช้ MongoDB ในการเก็บข้อมูลของตัวเอง ดังนั้นให้ติดตั้ง MongoDB:
- เพิ่ม MongoDB repository:
sudo nano /etc/yum.repos.d/mongodb-org.repo
ใส่ข้อมูลต่อไปนี้ลงในไฟล์:
[mongodb-org-4.4] name=MongoDB Repository baseurl=https://repo.mongodb.org/yum/redhat/$releasever/mongodb-org/4.4/x86_64/ gpgcheck=1 enabled=1 gpgkey=https://www.mongodb.org/static/pgp/server-4.4.asc
- ติดตั้ง MongoDB:
sudo dnf install mongodb-org
- เปิดใช้งานและเริ่ม MongoDB:
sudo systemctl enable --now mongod
ขั้นตอนที่ 3: ติดตั้ง Graylog
- เพิ่ม Graylog repository:
sudo rpm -Uvh https://packages.graylog2.org/repo/packages/graylog-4.0-repository_latest.rpm
- ติดตั้ง Graylog:
sudo dnf install graylog-server
สร้าง password_secret และ `root_password_sha256_secret`:
Graylog ต้องการความปลอดภัยสูงสำหรับการยืนยันความถูกต้องของข้อมูล ให้สร้างรหัสลับเหล่านี้ก่อน:
- สร้าง password_secret โดยใช้คำสั่งต่อไปนี้:
pwgen -N 1 -s 96
จดรหัสลับนี้ไว้ เราจะใช้มันในขั้นตอนถัดไป
- สร้าง root_password_sha256_secret โดยใช้คำสั่งต่อไปนี้ (แทน <your_password> ด้วยรหัสผ่านที่คุณต้องการใช้สำหรับผู้ดูแลระบบของ Graylog):
echo -n "<your_password>" | sha256sum
จดรหัสลับนี้ไว้ เราจะใช้มันในขั้นตอนถัดไป
ขั้นตอนที่ 4: ปรับแต่งการตั้งค่า Graylog
- แก้ไขไฟล์ /etc/graylog/server/server.conf:
sudo nano /etc/graylog/server/server.conf
- แก้ไขส่วนต่อไปนี้ด้วยค่าที่เราสร้างขึ้นในขั้นตอนก่อนหน้า:
password_secret = <your_generated_password_secret> root_password_sha2 = <your_generated_root_password_sha256_secret>
- ตั้งค่าส่วนที่เหลือตามความต้องการของคุณ เช่น http_bind_address และการตั้งค่าของ Elasticsearch
ขั้นตอนที่ 5: เริ่มต้นใช้งาน Graylog
- เปิดใช้งานและเริ่ม Graylog:
sudo systemctl enable --now graylog-server
- ตรวจสอบสถานะของ Graylog:
sudo systemctl status graylog-server
หากทุกอย่างเรียบร้อย คุณสามารถเข้าถึง Graylog ผ่านเว็บบราว์เซอร์โดยใช้ที่อยู่ IP หรือชื่อโดเมนของเซิร์ฟเวอร์ของคุณ พร้อมกับพอร์ตที่ตั้งค่าไว้ (ค่าเริ่มต้นคือ 9000)
ตัวอย่างเช่น ถ้า IP ของเซิร์ฟเวอร์ของคุณคือ 192.168.1.100 คุณสามารถเข้าถึง Graylog ผ่านเว็บเบราเซอร์ที่:
http://192.168.1.100:9000/
หรือถ้าคุณใช้ชื่อโดเมน เช่น graylog.example.com:
http://graylog.example.com:9000/
เมื่อเข้าถึงเว็บเบราเซอร์ของ Graylog คุณจะพบหน้าล็อกอิน ให้ใช้รหัสผ่านที่คุณสร้างขึ้นในขั้นตอนที่ 3 ของการปรับแต่งการตั้งค่า Graylog เพื่อเข้าสู่ระบบ หลังจากเข้าสู่ระบบ คุณสามารถกำหนดค่า Graylog ให้รับข้อมูลบันทึกจากแหล่งต่าง ๆ เช่น การตั้งค่ารับข้อมูลบันทึก syslog จากอุปกรณ์เครือข่าย การตั้งค่ารับข้อมูลบันทึกจากเซิร์ฟเวอร์และแอปพลิเคชัน และอื่น ๆ อีกมากมาย นอกจากนี้คุณยังสามารถสร้างกราฟ แดชบอร์ด และการตั้งค่าการแจ้งเตือนเพื่อช่วยในการวิเคราะห์ข้อมูลบันทึก ป้องกันและตรวจจับภัยคุกคาม และปรับปรุงประสิทธิภาพระบบของคุณ ถือเป็นขั้นตอนพื้นฐานในการติดตั้งและเริ่มต้นใช้งาน Graylog บน CentOS 8 คุณสามารถปรับแต่งและขยายการใช้งาน Graylog ตามความต้องการขององค์กรหรือโครงการของคุณ
ข้อมูลเพิ่มเติมเกี่ยวกับการใช้งาน Graylog
หลังจากที่คุณติดตั้งและเริ่มต้นใช้งาน Graylog บน CentOS 8 แล้ว คุณอาจต้องการทราบข้อมูลเพิ่มเติมเกี่ยวกับการใช้งาน Graylog ด้านล่างนี้:
- การสร้างและกำหนดค่า Inputs (แหล่งข้อมูล): ข้อมูลบันทึกที่จะถูกส่งเข้ามายัง Graylog จะต้องผ่าน Inputs คุณสามารถสร้างและกำหนดค่า Inputs ตามชนิดของข้อมูลบันทึก เช่น Syslog, GELF, หรือ Beats ไปยังหน้า "System > Inputs" และกดปุ่ม "Launch new input" จากนั้นเลือกชนิดของ Input ที่ต้องการและป้อนข้อมูลการกำหนดค่า
- การสร้าง Stream (กระแสข้อมูล): Stream เป็นการจัดกลุ่มข้อมูลบันทึกตามเงื่อนไขหรือกฎที่กำหนด เพื่อให้ง่ายต่อการค้นหาและวิเคราะห์ คุณสามารถสร้าง Stream โดยไปยังหน้า "Streams" และกดปุ่ม "Create Stream" จากนั้นป้อนชื่อ คำอธิบาย และกำหนดเงื่อนไขหรือกฎ
- การสร้าง Dashboard (แผงควบคุม): Dashboard เป็นวิธีการแสดงข้อมูลบันทึกที่สำคัญในรูปแบบที่เข้าใจง่าย เช่น กราฟ แผนภูมิ หรือตาราง คุณสามารถสร้าง Dashboard โดยไปยังหน้า "Dashboards" และกดปุ่ม "Create Dashboard" จากนั้นป้อนชื่อและคำอธิบาย หลังจากสร้าง Dashboard คุณสามารถเพิ่มพวก "Widgets" เข้าไปแสดงข้อมูลตามความต้องการ
การตั้งค่า Alert (การแจ้งเตือน): Graylog จะสามารถแจ้งเตือนเมื่อเกิดเหตุการณ์ตามเงื่อนไขที่กำหนด ซึ่งช่วยให้คุณติดตามปัญหา ป้องกันภัยคุกคคาม และรักษาความปลอดภัยในระบบของคุณได้ดียิ่งขึ้น