博客地址已转移至:http://cocojoey.lofter.com/post/1eff2f40_10a6d448
这里今后不再更新。。。。。。。。。。。。。
日志管理工具:收集,解析,可视化
- Elasticsearch - 一个基于Lucene的文档存储,主要用于日志索引、存储和分析。
- Logstash -管理事件和日志的工具
- Kibana - 可视化日志和时间戳数据
- Graylog2 -具有报警选项的可插入日志和事件分析服务器
- Nxlog-跨平台,模块化,具备日志缓冲与流量控制、定时作业、内置配置语言的日志采集神器
Graylog与ELK方案的对比
ELK:Elasticsearch+Logstash+Kibana
Graylog:Elasticsearch+Nxlog+Graylog-server(集成graylog-web)
Graylog架构图:
最小化架构图:
Graylog集群架构图:
ELK架构图:
简要说两句:商业日志工具Splunk,号称日志界的Google。还有Nxlog,它们有多牛逼我就不再赘述了。而Graylog简直就是开源版的Splunk。
此次,我们进行最小化安装,集群方案的部署后面会陆陆续续更新:
安装组件:
Mongodb
Elasticsearch
Graylog-server(集成了Graylog-web)
Graylog Collector Sidecar(旧版本是Graylog Collector,已经废弃了 )
安装环境:
Centos7.3+Graylog2.3+elasticsearch2.4.5+Nxlog2.9+Collector-Sidecar-0.1.3
主机IP:192.168.55.33 此次配置服务端和客户端都在一台主机上
第一部分: Server端的部署
MongoDB:
1:安装mongodb的yum源
vim /etc/yum.repos.d/mongodb-org-3.2.repo
[mongodb-org-3.2]
name=MongoDB Repository
baseurl=https://repo.mongodb.org/yum/redhat/$releasever/mongodb-org/3.2/x86_64/
gpgcheck=1
enabled=1
gpgkey=https://www.mongodb.org/static/pgp/server-3.2.asc
2:安装mongodb
yum install mongodb-org
3:添加系统服务及启动
chkconfig --add mongod
systemctl daemon-reload
/sbin/chkconfig mongod on
systemctl start mongod.service
注意:这里没有进行mongodb的相关配置包括graylog连接的配置,graylog启动时会自行创建相关数据
Elasticsearch:
1:首先导入Elastic GPG密钥
rpm --import https://packages.elastic.co/GPG-KEY-elasticsearch
2:添加yum源
vim /etc/yum.repos.d/elasticsearch.repo
[elasticsearch-2.x]
name=Elasticsearch repository for 2.x packages
baseurl=https://packages.elastic.co/elasticsearch/2.x/centos
gpgcheck=1
gpgkey=https://packages.elastic.co/GPG-KEY-elasticsearch
enabled=1
3:安装elasticsearch
yum install elasticsearch
4:配置elasticsearch,修改以下几个地方,elasticsearch详细配置自行谷歌
vim /etc/elasticsearch/elasticsearch.yml
cluster.name: graylog2 elasticsearch集群名称,若有多个集群,可根据此属性区分。
node.name: node-142 集群节点名称,elasticsearch启动时会自动创建,也可手动配置
network.host: 192.168.55.33 设置绑定的ip地址,可以是ipv4或ipv6的,默认为0.0.0.0
http.port: 9200 设置对外服务的Http端口,默认是9200
transport.tcp.port: 9300 设置节点间交互的tcp端口,默认是9300
discovery.zen.ping.unicast.hosts: ["192.168.55.33"] 设置集群中master集群初始化列表,这个数组里的机器将被自动发现加入集群,多个用逗号隔开
5:添加至系统服务及启动
chkconfig --add elasticsearch
systemctl daemon-reload
systemctl enable elasticsearch.service
systemctl restart elasticsearch.service
Graylog:
1:安装Graylog的yum源及epel源
rpm -Uvh https://packages.graylog2.org/repo/packages/graylog-2.3-repository_latest.rpm
yum install epel-release
2:安装Graylog-server及相关组件
yum install graylog-server pwgen
3:配置graylog2,修改以下几个地方,其他地方保持默认,也可根据实际情况进行设置,详解自行谷歌
password_secret WxWxFDNy36Wgl3VMQoFVyCdJl5TpiilNPujRBW3xoyYx5cB8aP8N
对密码进行加盐处理(就是密码加盐也就是密码后面加上很长的一串字符串再进行加密),例如
md5(md5(password)+salt)和SHA512(SHA512(password)+salt) 方式
这里使用pwgen生成密码:pwgen -N 1 -s 96
root_password_sha2 72d7c50d4e1e267df628ec2ee9eabee
graylog-web登录的用户密码,使用 sha256sum进行加密。
密码加密命令:echo -n yourpassword | sha256sum
root_email email报警地址,此次博客未涉及到邮件报警相关内容,不用管,此后更新
root_timezone = +08:00 设置时区
rest_listen_uri = http://192.16855.33:9000/api/
用于接受Graylog Collector Sidecar发送的心跳信息,collectors也可以访问次uri
web_listen_uri = http://192.168.0.200:9000/ graylog-web访问地址
elasticsearch_cluster_name = graylog2 必须与elasticsearch设置相同
elasticsearch_discovery_zen_ping_unicast_hosts = 192.168.55.33:9300
添加elasticsearch集群的主机,多个主机用逗号隔开
mongodb_uri = mongodb://localhost/graylog MongoDB服务器身份验证,使用默认即可
4:添加系统服务及启动
chkconfig --add graylog-server
systemctl daemon-reload
systemctl enable graylog-server.service
systemctl start graylog-server.service
至此,Graylog-server安装完毕,可通过浏览器输入192.168.55.33:9000进行访问,登录,以上配置文件设计的
密码加密选项必须设置,并且必须使用指定密码工具生成密码才能正常登录,否则将失败
第二部分: Collector端的部署
1:简述
Graylog Collector Sidecar是一种用于采集日志的轻量级配置管理系统,也称为后端。
作为守护进程运行。
这些配置通过Graylog Web界面以图形方式进行集中管理。对于特定需求,可以将原始
后端配置(称为Snippets)直接存储到Graylog中。
使用REST API,Sidecar守护进程将定期获取目标的所有相关配置。实际获取哪些配置
取决于主机的Sidecar配置文件中定义的“标签”。例如,Web服务器主机可以
包括linux和nginx标签。
在第一次运行或检测到配置更改时,Sidecar将生成(呈现)相关的后端配置文件。
然后它将启动或重新启动那些重新配置的日志收集器。
目前,Sidecar支持Nxlog,Filebeat和Winlogbeat。支持的功能几乎相同,可以在
web界面进行切换,对于所有收集器,可以使用带有SSL加密的GELF输出。
在服务器端,您可以与多个收集器共享输入,例如,所有Filebeat和Winlogbeat
实例都可以将日志发送到单个Graylog-Beats输入。
此次博客我们以Nxlog作为后端来进行配置。
1:安装Nxlog和collector-sidecar
yum源现在没有ollector-sidecar的,去官方下载rpm包进行安装。
yum install collector-sidecar-0.1.3-1.x86_64.rpm nxlog-ce-2.9.1716-1_rhel7.x86_64.rpm
2:添加系统服务及用户授权
gpasswd -a nxlog root
chown -R nxlog.nxlog /var/spool/collector-sidecar/nxlog
graylog-collector-sidecar -service install
systemctl start collector-sidecar
3:配置Nxlog
vim /etc/nxlog.conf
Module xm_gelf
Moduleim_file
File"/var/log/messages"
Moduleom_udp
Host 192.168.55.33
Port 12201
Pathin => out
4:配置colloector
vim /etc/graylog/collector-sidecar/collector_sidecar.yml
server_url: http://192.168.55.33:9000/api/
update_interval: 10
tls_skip_verify: false
send_status: true
list_log_files:
node_id: graylog-collector-sidecar
collector_id: file:/etc/graylog/collector-sidecar/collector-id
cache_path: /var/cache/graylog/collector-sidecar
log_path: /var/log/graylog/collector-sidecar
log_rotation_time: 86400
log_max_age: 604800
tags:
- nginx
backends:
- name: nxlog
enabled: true
binary_path: /usr/bin/nxlog
configuration_path: /etc/graylog/collector-sidecar/generated/nxlog.conf
5:重启服务
systemctl restart collector-sidecar systemctl restart-nxlog
至此,Collector相关的东西配置完成,接下来就是Graylog-Web端相关的配置
Graylog-Web
1: 浏览器输入192.168.55.33进入管理界面,配置input和output相关信息
点击collectors --> manage configurations --> creat configurations
采集器名字
tags标签名字(与采集器客户端配置文件相同)
设置output和input相关信息,与nxlog的配置文件相同
配置完成后,重启客户端的collector-sidecar:systemctl restart collector-sidecar
graylog web查看Collectors 是否运行正常:
graylog web 设置 日志接收
System --> inputs --> 选择哪种方式读取日志 --> 设置相关属性(设置服务器端的ip地址) --> 保存
查看是否正常运行
search:可以进行正则匹配高亮显示结果
至此,全部安装完毕,使用正常,若有不明白或无法正常工作的地方,请留言或者加群讨论:656633543
谢谢各位光临的朋友
该博客会持续优化更新
| 
QQ群⑧:
窥视卡
雷达卡
发表于 2019-1-29 06:44:15
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
显身卡