Hướng dẫn các bước đẩy Log từ Client lên Graylog chi tiết

 



Graylog là một nền tảng mạnh mẽ để thu thập, phân tích và quản lý log. Việc đẩy log từ các nguồn khác nhau lên Graylog giúp bạn tập trung hóa việc quản lý log, dễ dàng giám sát hệ thống và phát hiện các sự cố kịp thời. Bài viết này sẽ hướng dẫn bạn cách đẩy log từ Client lên Graylog.

1. Tìm hiểu về Input trong Graylog

Input trong Graylog là các điểm nhập dữ liệu, nơi Graylog nhận và xử lý log messages từ các nguồn khác nhau. Hiểu rõ về các loại Input là điều cần thiết để có thể cấu hình Graylog nhận log từ các hệ thống và thiết bị khác nhau. Dưới đây là chi tiết về các loại Input phổ biến và cách cấu hình chúng.

Dưới đây là một số loại Input phổ biến:

  • Syslog: Sử dụng để nhận log từ các thiết bị và ứng dụng hỗ trợ giao thức Syslog.
  • GELF (Graylog Extended Log Format): Một định dạng log mở rộng của Graylog, hỗ trợ cấu trúc dữ liệu JSON.
  • Beats: Sử dụng để nhận log từ Filebeat, Metricbeat và các Beats khác của Elastic.
  • Raw/Plaintext: Nhận log dưới dạng văn bản thô hoặc định dạng tùy chỉnh.
  • JSON Path: Sử dụng để nhận log có định dạng JSON, giúp trích xuất và phân tích dữ liệu JSON.
  • HTTP: Nhận log qua HTTP/HTTPS, cho phép gửi log từ các ứng dụng web và dịch vụ hỗ trợ HTTP.
  • TCP/UDP: Nhận log qua giao thức TCP hoặc UDP, thường dùng cho các ứng dụng và thiết bị không hỗ trợ Syslog nhưng có khả năng gửi log qua mạng.
  • AMQP: Sử dụng để nhận log từ các hàng đợi tin nhắn (message queues) hỗ trợ giao thức AMQP.
  • Kafka: Nhận log từ Apache Kafka, một nền tảng stream-processing phổ biến.

2. Mô hình đẩy log từ Client lên Graylog

Chúng tôi có một mô hình cơ bản giúp bạn hiểu rõ hơn về cách đẩy log từ Client lên Graylog.

IP Planning

Tên máy

IP

Graylog

172.16.66.55

Linux

172.16.66.54

vCenter

172.16.66.46

3. Đẩy log từ vCenter sang Graylog

3.1 Cấu hình trên vCenter

Ta cần vào trang VAMI của vCenter để tiến hành mở dịch vụ rsyslog và tiến hành đẩy log sang. Để truy cập vào trang VAMI ta thực hiện theo đường dẫn sau.

https://<IP-vCenter>:5480

Tiếp theo ta chọn vào Syslog và tiến hành cấu hình đẩy log. Chúng ta cần khai báo IP của Graylog và giao thức đẩy log là UDP.

3.2 Cấu hình trên Graylog

Việc đầu tiên để Graylog có thể nhận được log thì ta phải cấu hình firewall mở port 514/UDP. Ở đây mình dùng Ubuntu 22.04 nên sẽ sử dụng lệnh sau.

ufw allow 514/udp

Bây giờ ta sẽ lên giao diện Web của Graylog và tiến hành đẩy log. Graylog mình dùng là bản 5.2 nhé.

Ta chọn vào System / Inputs để tiến hành add Input mới. Hãy chọn giao thức là Syslog UDP nhé.

Nội dung cần cấu hình.

Titlle : vCenter ( Tên để bạn gợi nhớ ra Input này)

Bind address : 0.0.0.0 (Lắng nghe trên tất cả các interface của graylog)

Port : 514

Sau khi Launch Input ta sẽ nhận được kết quả như này.

Như vậy là đã cấu hình xong bạn có thể xem log bằng cách nhấn vào Show received messages.

4. Đẩy log từ máy Client Linux bất kỳ lên Graylog

4.1 Cấu hình trên Linux

Việc cấu hình trên Linux thì lại rất đơn giản chúng ta chỉ cần sử dụng đúng 1 câu lệnh.

echo '*.*  @172.16.66.55:1514' >> /etc/rsyslog.conf

Bây giờ ta chỉ cần tiến hành restart lại dịch vụ rsyslog là xong.

systemctl restart rsyslog

4.2 Cấu hình trên Graylog

Cấu hình trên Graylog ta cũng làm tương tự như các bước ở  phần 3 nhưng ta sẽ đổi thành port 1514 và mở firewall đối với port 1514/udp.

Mở firewall.

ufw allow 1514/udp

Cấu hình graylog.

Titlle : netbox-log ( Tên để bạn gợi nhớ ra Input này)

Bind address : 0.0.0.0 (Lắng nghe trên tất cả các interface của graylog)

Port : 1514

Ta kiểm tra xem đã nhận được.

Như vậy là SunCloud đã hướng dẫn các bạn gửi log từ vCenter hay một máy Linux bất kỳ với giao thức UDP. Nếu trong quá trình thực hiện, bạn gặp phải vướng mắc cần được hỗ trợ, hãy liên hệ với chúng tôi để được tư vấn nhanh nhất nhé. Chúc các bạn thành công! 

Nguồn: https://suncloud.vn/client-graylog

Nhận xét

Đăng nhận xét

Bài đăng phổ biến từ blog này

Passbolt là gì? Hướng dẫn cài đặt Passbolt trên Ubuntu 22.04

Hình ảnh
  Passbolt là trình quản lý mật khẩu mã nguồn mở và miễn phí mà bạn có thể tự cài đặt trên máy chủ của mình. Trong bài viết này, Suncloud sẽ giải thích chi tiết Passbolt là gì cũng như hướng dẫn bạn cài đặt và thiết lập Passbolt trên Ubuntu 22.04. 1. Passbolt là gì? Passbolt là trình quản lý mật khẩu nguồn mở được thiết kế chủ yếu để sử dụng theo nhóm trong các tổ chức doanh nghiệp. Với tính năng mã hóa mạnh mẽ, tính linh hoạt trong tích hợp và sự hỗ trợ từ cộng đồng mã nguồn mở, Passbolt là một công cụ hữu ích để bảo vệ thông tin nhạy cảm của bạn. Nó cung cấp một nền tảng an toàn để quản lý và chia sẻ mật khẩu cũng như các thông tin nhạy cảm khác. 2. Tính năng của Passbolt là gì? Các tính năng chính của Passbolt: Bảo mật và riêng tư Passbolt nhấn mạnh đến tính bảo mật với các tính năng như khóa bí mật do người dùng sở hữu và mã hóa đầu cuối. Phần mềm trải qua các đánh giá bảo mật thường xuyên bởi những người thử nghiệm thâm nhập hàng đầu và các phát hiện đ...
Đọc thêm

Hướng dẫn cấu hình Stream và Index Set trong Graylog

Hình ảnh
  Bài viết này nhằm giúp bạn hiểu rõ hơn về hai khái niệm quan trọng trong Graylog: Stream và Index Set. Chúng ta sẽ đi sâu vào cách tạo, quản lý và ứng dụng của chúng trong việc quản lý log. Hiểu rõ về Stream và Index Set sẽ giúp bạn tối ưu hóa việc sử dụng Graylog và nâng cao hiệu quả quản lý dữ liệu log. 1. Tổng quan Stream và Index Set trong Graylog Stream và Index Set trong Graylog Stream và Index Set trong Graylog đóng vai trò quan trọng trong việc quản lý log hiệu quả. Stream giúp phân loại và phân phối log theo các quy tắc cụ thể, giúp dễ dàng giám sát và phát hiện sự cố. Index Set quản lý việc lưu trữ log, tối ưu hóa hiệu suất truy vấn và đảm bảo log không vượt quá dung lượng cho phép. Sự tích hợp giữa Stream và Index Set giúp tối ưu hóa việc quản lý và truy xuất dữ liệu log, từ đó nâng cao hiệu quả và tuân thủ quy định bảo mật. 2. Stream trong Graylog Streams trong Graylog Streams trong Graylog là cách bạn tổ chức và phân loại log dựa trên các tiêu chí...
Đọc thêm

Hướng dẫn triển khai Docker Graylog theo các bước chi tiết

Hình ảnh
Tài liệu để build Graylog được tôi sử dụng và tham khảo  ở đây . Điều tôi làm chỉ là tận dụng cấu hình của họ và sửa lại để cho phù hợp với mục đích của mình. Lưu ý cấu hình mình đang sử dụng là 8 Cpus và 12 Gb Ram. Trong bài viết này, chúng tôi sẽ hướng dẫn bạn cách triển khai Graylog thông qua Docker để bắt đầu thu thập logs ngay lập tức. 1. Mô hình sử dụng Ở mô hình này tôi sử dụng 3 container Graylog, opensearch, mongodb chúng liên lạc với nhau qua network : Graylog_net Riêng container Graylog sử dụng expose port 9000:9000 để dùng truy cập trang web qua IP của host và các port khác dùng để nhận log các dịch vụ khác "5044:5044" # Cổng cho nhận log từ Filebeat "5140:5140" # Cổng cho nhận log từ syslog "12201:12201" # Cổng cho nhận log từ GELF UDP "13301:13301" # Cổng tùy chỉnh (thay thế cho dịch vụ khác) "13302:13302" # Cổng tùy chỉnh khác 2. Cài đặt Docker Graylog Đầu tiên sẽ tả...
Đọc thêm