Sửa lỗi “secure Elasticsearch’ và giới hạn tài nguyên trên Graylog

 



Khi quản lý log với Graylog, bạn có thể gặp phải lỗi "secure Elasticsearch" và vấn đề giới hạn tài nguyên, ảnh hưởng đến hiệu suất và độ tin cậy của hệ thống. Việc khắc phục những vấn đề này là rất quan trọng để đảm bảo Graylog và Elasticsearch hoạt động ổn định và hiệu quả. Trong bài viết này, chúng tôi sẽ hướng dẫn bạn cách sửa lỗi "secure Elasticsearch" và thiết lập giới hạn tài nguyên trên Graylog. Hãy cùng SunCloud bọn mình tìm hiểu trong bài viết này nhé.

1. Sửa lỗi cảnh báo “secure Elasticsearch”

Khi tôi cài đặt Graylog 5.2 và elasticsearch 7.17 thi có gặp một lỗi elasticsearch gửi cảnh báo liên tục về Graylog rằng xác thực của Elasticsearch chưa có. Việc này ảnh hưởng đáng kể đến hiệu suất của máy (tốn khá nhiều ram).

Message tôi nhận được liên tục ở file "/var/log/Graylog-server/server.log"

[RestClient] request [POST http://127.0.0.1:9200/_bulk?timeout=1m] returned 1 warnings: [299 Elasticsearch-7.17.21-d38e4b028f4a9784bb74de339ac1b877e2dbea6f "Elasticsearch built-in security features are not enabled. Without authentication, your cluster could be accessible to anyone. See https://www.elastic.co/guide/en/elasticsearch/reference/7.17/security-minimal-setup.html to enable security."]

Để giảm bớt cảnh báo của lỗi này ta chỉ cần chỉnh sửa file “/etc/elasticsearch/elasticsearch.yml” và thêm vào cuối dòng “http.max_warning_header_count: 0” là có thể khắc phục được lỗi đó. Tiếp theo tôi sẽ hướng dẫn bạn cách cấu hình user và password cho Elasticsearch.

1.1 Tạo User và password cho Elasticsearch

sửa file cấu hình elasticsearch

vi /etc/elasticsearch/elasticsearch.yml

Thêm nội dung sau vào cuối file

xpack.security.enabled: true

http.max_warning_header_count: 0

Restart lại dịch vụ

systemctl restart elasticsearch.service

Di chuyển đến thư mục

cd /usr/share/elasticsearch/

Đặt password với lệnh

./bin/elasticsearch-setup-passwords interactive

1.2 Sửa lại cấu hình Graylog

Tiếp theo trên file cấu hình của Graylog ta cũng cần sửa lại.

vi /etc/Graylog/server/server.conf

Thêm vào dòng này để khai báo thông tin đăng nhập elasticsearch.

elasticsearch_hosts = http://elastic:passwd-new@127.0.0.1:9200

Bây giờ ta tiến hành restart lại dịch vụ là xong.

systemctl restart Graylog-server.service

2. Giới hạn tài nguyên trên Graylog và Elasticsearch

Trên Graylog và Elasticsearch có hỗ trợ chúng ta giới hạn tài nguyên phần cứng của máy ảo mà chúng có thể sử dụng như được phép sử dụng bao nhiêu RAM, CPU hay Disk như nào.

2.1 Giới hạn tài nguyên trên Elasticsearch

Xms : Lượng ram mà Elasticsearch sử dụng ngay khi khởi động.

Xmx : kích thước ram tối đa Elasticsearch được sử dụng Để cấu hình được 2 tham số này thì ta sẽ sửa trên file "/etc/elasticsearch/jvm.options".

Bây giờ ta tiến hành restart lại dịch vụ là xong.

systemctl restart Graylog-server.service

2.2 Giới hạn tài nguyên trên Graylog

Graylog cũng có tham số Xms và Xmx nhưng nó được đặt trong file "/etc/default/Graylog-server".

Ngoài ra còn có các tham số khác liên quan đến sử dụng tài nguyên ở trong file "/etc/Graylog/server/server.conf".

  • processbuffer_processors : Chỉ định số lượng bộ xử lý được sử dụng cho buffer xử lý.
  • outputbuffer_processors :Chỉ định số lượng bộ xử lý được sử dụng cho buffer đầu ra (elasticsearch).
  • processor_wait_strategy: Xác định trạng thái của bộ xử lý khi ở chế độ chờ. yielding, sleeping, blocking, busy_spinning.
  • ring_size: Xác định kích thước của ring buffer, ring_size = 65536 nghĩa là ring buffer có thể chứa tối đa 65,536 tin nhắn cùng một lúc.
  • message_journal_enabled : Message journal là một tính năng của Graylog giúp lưu trữ các tin nhắn tạm thời trên đĩa cứng trước khi chúng được xử lý và gửi đi. Việc này tránh mất dữ liệu khi khởi động lại Graylog. Kích thước tối đa mặc định là 5g.

Lời kết

Việc sửa lỗi “secure Elasticsearch” và giới hạn tài nguyên trên Graylog không chỉ giúp cải thiện hiệu suất hệ thống mà còn đảm bảo sự ổn định và bảo mật cho dữ liệu log của bạn. Bằng cách thực hiện các bước hướng dẫn trên, bạn có thể tối ưu hóa cấu hình Graylog và Elasticsearch, từ đó nâng cao khả năng quản lý và phân tích log. Hãy duy trì việc kiểm tra và tối ưu hệ thống thường xuyên để đảm bảo rằng Graylog hoạt động một cách hiệu quả nhất, đáp ứng tốt các yêu cầu giám sát và bảo mật của bạn. Chúc bạn thành công!

Nguồn: https://suncloud.vn/secure-elasticsearch

 

 

 

Nhận xét

Đăng nhận xét

Bài đăng phổ biến từ blog này

Passbolt là gì? Hướng dẫn cài đặt Passbolt trên Ubuntu 22.04

Hình ảnh
  Passbolt là trình quản lý mật khẩu mã nguồn mở và miễn phí mà bạn có thể tự cài đặt trên máy chủ của mình. Trong bài viết này, Suncloud sẽ giải thích chi tiết Passbolt là gì cũng như hướng dẫn bạn cài đặt và thiết lập Passbolt trên Ubuntu 22.04. 1. Passbolt là gì? Passbolt là trình quản lý mật khẩu nguồn mở được thiết kế chủ yếu để sử dụng theo nhóm trong các tổ chức doanh nghiệp. Với tính năng mã hóa mạnh mẽ, tính linh hoạt trong tích hợp và sự hỗ trợ từ cộng đồng mã nguồn mở, Passbolt là một công cụ hữu ích để bảo vệ thông tin nhạy cảm của bạn. Nó cung cấp một nền tảng an toàn để quản lý và chia sẻ mật khẩu cũng như các thông tin nhạy cảm khác. 2. Tính năng của Passbolt là gì? Các tính năng chính của Passbolt: Bảo mật và riêng tư Passbolt nhấn mạnh đến tính bảo mật với các tính năng như khóa bí mật do người dùng sở hữu và mã hóa đầu cuối. Phần mềm trải qua các đánh giá bảo mật thường xuyên bởi những người thử nghiệm thâm nhập hàng đầu và các phát hiện đ...
Đọc thêm

Hướng dẫn cấu hình Stream và Index Set trong Graylog

Hình ảnh
  Bài viết này nhằm giúp bạn hiểu rõ hơn về hai khái niệm quan trọng trong Graylog: Stream và Index Set. Chúng ta sẽ đi sâu vào cách tạo, quản lý và ứng dụng của chúng trong việc quản lý log. Hiểu rõ về Stream và Index Set sẽ giúp bạn tối ưu hóa việc sử dụng Graylog và nâng cao hiệu quả quản lý dữ liệu log. 1. Tổng quan Stream và Index Set trong Graylog Stream và Index Set trong Graylog Stream và Index Set trong Graylog đóng vai trò quan trọng trong việc quản lý log hiệu quả. Stream giúp phân loại và phân phối log theo các quy tắc cụ thể, giúp dễ dàng giám sát và phát hiện sự cố. Index Set quản lý việc lưu trữ log, tối ưu hóa hiệu suất truy vấn và đảm bảo log không vượt quá dung lượng cho phép. Sự tích hợp giữa Stream và Index Set giúp tối ưu hóa việc quản lý và truy xuất dữ liệu log, từ đó nâng cao hiệu quả và tuân thủ quy định bảo mật. 2. Stream trong Graylog Streams trong Graylog Streams trong Graylog là cách bạn tổ chức và phân loại log dựa trên các tiêu chí...
Đọc thêm

Hướng dẫn triển khai Docker Graylog theo các bước chi tiết

Hình ảnh
Tài liệu để build Graylog được tôi sử dụng và tham khảo  ở đây . Điều tôi làm chỉ là tận dụng cấu hình của họ và sửa lại để cho phù hợp với mục đích của mình. Lưu ý cấu hình mình đang sử dụng là 8 Cpus và 12 Gb Ram. Trong bài viết này, chúng tôi sẽ hướng dẫn bạn cách triển khai Graylog thông qua Docker để bắt đầu thu thập logs ngay lập tức. 1. Mô hình sử dụng Ở mô hình này tôi sử dụng 3 container Graylog, opensearch, mongodb chúng liên lạc với nhau qua network : Graylog_net Riêng container Graylog sử dụng expose port 9000:9000 để dùng truy cập trang web qua IP của host và các port khác dùng để nhận log các dịch vụ khác "5044:5044" # Cổng cho nhận log từ Filebeat "5140:5140" # Cổng cho nhận log từ syslog "12201:12201" # Cổng cho nhận log từ GELF UDP "13301:13301" # Cổng tùy chỉnh (thay thế cho dịch vụ khác) "13302:13302" # Cổng tùy chỉnh khác 2. Cài đặt Docker Graylog Đầu tiên sẽ tả...
Đọc thêm