서비스와 솔루션의 다양화가 되면서 각 구성요소들의 문제점과 원인을 찾는데 어려움이 발생한다. 이를 위하여 우리는 전체 시스템의 로그를 중앙화하여 오류를 탐지하고 문제 원인을 긴급하게 찾아낼 수 있는 방법을 찾아야 한다.
Graylog는 오픈소스와 엔터프라이즈 버전이 제공되며, 초기 구성은 오픈소스를 통하여 로그 통합을 진행하기로 한다.
개방형 표준으로 구개방형 표준으로 구축 된 Graylog의 연결성 및 상호 운용성은 로그 데이터를 원활하게 수집, 향상, 저장 및 분석합니다.
[준비물]
- CentOS 8.0.1905
- External Network (Download)
Graylog 서버 : CentOS / Elasticsearch / MongoDB / Graylog Server
수집 대상 시스템 : VMware ESXi 6.7 52대 syslog 수집
yum -y install epel-release
##### pwgen은 패스워드 제너레이터 (graylog secret password )
yum -y install wget pwgen
yum -y install java-1.8.0-openjdk-headless
java -version
## Elasticsearch 설치 ##
rpm --import https://artifacts.elastic.co/GPG-KEY-elasticsearch
vi /etc/yum.repos.d/elasticsearch.repo
### elasticsearch.repo ###
[elasticsearch-6.x]
name=Elasticsearch repository for 6.x packages
baseurl=https://artifacts.elastic.co/packages/6.x/yum
gpgcheck=1
gpgkey=https://artifacts.elastic.co/GPG-KEY-elasticsearch
enabled=1
autorefresh=1
type=rpm-md
###########################
yum -y install elasticsearch
systemctl daemon-reload
systemctl enable elasticsearch
vi /etc/elasticsearch/elasticsearch.yml
### elasticsearch.ym ###
cluster.name: graylog
#########################
systemctl restart elasticsearch
curl -X GET http://localhost:9200
curl -XGET 'http://localhost:9200/_cluster/health?pretty=true'
## check = green ##
### MongoDB 설치 ####
vi /etc/yum.repos.d/mongodb-org-4.0.repo
########################################
[mongodb-org-4.0]
name=MongoDB Repository
baseurl=https://repo.mongodb.org/yum/redhat/$releasever/mongodb-org/4.0/x86_64/
gpgcheck=1
enabled=1
gpgkey=https://www.mongodb.org/static/pgp/server-4.0.asc
########################################
yum install -y mongodb-org
systemctl start mongod
systemctl enable mongodGraylog 기본 설치
rpm -Uvh https://packages.graylog2.org/repo/packages/graylog-3.2-repository_latest.rpm
yum -y install graylog-serverGraylog - secret password 설정
pwgen -N 1 -s 96
>> 생성된 key 복사
vi /etc/graylog/server/server.conf
password_secret =
복사한 키 붙여넣기Graylog server admin 암호 생성
echo -n 1234Qwer | sha256sum
>> 생성된 key 복사
vi /etc/graylog/server/server.conf
root_password_sha2 = 복사한 키 붙여넣기
>> elasticsearch_shards =1
>> root_timezone = Asia/Seoul
>> http_bind_address = Server IP
systemctl daemon-reload
systemctl restart graylog-server
systemctl enable graylog-serverGraylog > system > Inputs에 514 UDP syslog 송신을 1514리다이렉트 구성을 하여 아래와 같이 시스템 로그를 Graylog에서 통합하여 모니터링이 가능합니다.
Graylog와 ELK Stack하고 비교하는 내용이 많이 있습니다. ELK Stack을 사용할 경우 Logstach를 통해 syslog 수집 후 kibana에서 모니터링이 가능하지만 이는 더 많은 액션을 필요로 합니다. Graylog는 태생 자체가 로그 통합을 목적으로 나온 오픈소스 솔루션으로 시스템 로그 통합 모니터링 솔루션으로 많이 사용되고 있습니다.
VMware인프라를 운영할 경우, Graylog를 이용하면 vMotion 진행사항 및 VM 생성 및 제거 상태를 syslog(VMknernel)을 통해 중앙 관리를 할 수 있습니다.
댓글