もっと詳しく

Graylogは、プラットフォーム集中型のログ管理システムです。 これは、マルチプラットフォームをサポートするDevOpsの世界で最も人気のあるログ管理システムの1つであり、DockerやKubernetesなどのコンテナー環境にインストールできます。

ログ管理システムとして、Graylogはさまざまなタイプのアプリケーションおよびシステムに対して複数の入力をサポートします。 カスタムアプリケーションにGELF(Graylog Extended Log Format)を使用して、UnixライクなオペレーティングシステムにはSyslog入力、WindowsシステムにはWindowsEventLogを使用できます。

このチュートリアルでは、UbuntuマシンからGraylogサーバーへの送信ログを設定する方法を学習します。 このデモでは、最新のUbuntu22.04マシンをクライアントおよびGraylogサーバーv4.3として使用します。 Debian 11でGraylogサーバーをセットアップする方法を知りたい場合は、こちらをご覧ください。

前提条件

  • インストールされているGraylogサーバー-このデモでは、DebianサーバーにインストールされているGraylogv4.3を使用します。
  • Ubuntuクライアントマシン-このドームはUbuntu22.04サーバーを使用します。
  • Sudo管理者権限を持つroot以外のユーザー。

グレイログ入力の設定

Ubuntuクライアントマシンの構成を開始する前に、Graylogサーバーで入力を設定する必要があります。

Graylogは、ログシステムのさまざまなタイプの入力をサポートします。これには、Syslog、Journald、Windowsイベントログ、Raw / Plaintext、ファイルなどが含まれます。

Linuxシステムの場合、Syslog入力を使用してGraylogサーバーにログを簡単に送信できます。 次のタイプでGraylogサーバーに入力を作成する必要があります Syslog これは特定のポートとIPアドレスで自動的に実行されます。

Webブラウザーを開き、Graylogサーバーのインストールにアクセスします(つまり、 http://graylog.hwdomain.io/)。 デフォルトのユーザーadminと強力なパスワードを使用してGraylogサーバーにログインします。

次に、をクリックします システム メニューをクリックしてクリックします 入力、新しいページが表示されます。

ドロップダウン入力ページで、ここで入力タイプを選択します “Syslog UDP「」をクリックして「新しい入力を起動します” ボタン。

次に、GraylogサーバーでSyslog入力を設定する必要があります。

  • ここのノードは自動的に選択されるので、デフォルトのままにしておきます。
  • 新しい入力のタイトルを入力します(例: “Syslog Linux UDP“。
  • ここでbind-addressは、入力のIPアドレスを指定できます。 これはサーバーのローカルIPアドレスにすることも、単に使用することもできます 0.0.0.0 サーバー上のすべてのIPアドレスで入力を実行します。
  • ここのポートは、入力に別のポートを使用できます。 そのポートで他のサービスが実行されていないことを確認し、ポートが1〜1024の範囲にないことを確認してください。 このデモでは、UDPポートを使用しています 5148

グレイログ入力の設定

次に、をクリックします 保存 ボタンをクリックして、入力の作成を確認します。

入力ページに、Graylogサーバーで実行されている利用可能なすべての入力が表示されます。 以下のスクリーンショットでは、入力を確認できます 「SyslogLinuxUDP」 UDPポートで実行されています 5148 バインドアドレスを使用 0.0.0.0、これはサーバー上のすべてのIPアドレスで実行されることを意味します。

実行中のgraylog入力

ログを送信するようにUbuntuクライアントを構成する

次に、Graylogサーバーにログを送信するようにUbuntuクライアントマシンを構成します。 そして、これはRsyslogサービスを使用して実行できます。

まず、以下のsshコマンドを使用してUbuntuマシンに接続します。 

ssh [email protected]

UbuntuマシンのRsyslogパッケージをチェックし、インストールされていることを確認します。 

sudo dpkg -l | grep rsyslog
sudo apt info rsyslog

以下のスクリーンショットでは、rsyslogパッケージがデフォルトでインストールされていることがわかります。 「ii「現場で」とは、インストールされていることを意味します。

rsyslogパッケージを確認してください

次に、以下のコマンドを使用してRsyslogサービスを確認します。 

sudo systemctl is-enabled rsyslog
sudo systemctl status rsyslog

rsyslogサービスが有効になっていることがわかります。これは、システムの起動時に自動的に実行されることを意味します。 そして、rsyslogサービスの現在のステータスは実行中です。

rsyslogサービスを確認してください

rsyslogを使用してUbuntuクライアントマシンからGraylogサーバーにログを送信するには、新しい追加のrsyslog構成を作成する必要があります。 rsyslogのデフォルト設定は「/etc/rsyslog.conf“ファイル、および追加のrsyslog構成はに保存できます “/etc/rsyslog.d” ディレクトリ。

新しい追加のrsyslog構成を作成します”/etc/rsyslog.d/60-graylog.conf“nanoエディターを使用します。 

sudo nano /etc/rsyslog.d/60-graylog.conf

次の構成をファイルに追加します。 

*.*@192.168.5.10:5148;RSYSLOG_SyslogProtocol23Format

完了したら、ファイルを保存して閉じます。

IPアドレスは 192.168.5.10 これは、UDPポート5148で入力を実行しているGraylogサーバーのIPアドレスです。

次に、rsyslogサービスを再起動して、以下のコマンドを使用して新しい変更と新しい構成を適用します。 

sudo systemctl restart rsyslog

これで、Graylogサーバーにログを送信するための基本的なrsyslog構成が完了しました。

Graylogサーバーからのログの確認

次に、WebブラウザとGraylogダッシュボードに戻ります。 上部の[検索]メニューをクリックすると、以下のようにUbuntuクライアントマシンからすべてのログが取得されます。

Graylog検索ダッシュボードから、サーバーまたはアプリケーションからのログメッセージのフィルタリング、リアルタイムでのログメッセージの確認、特定の時間枠からのログメッセージの確認などを行うことができます。

ログの確認graylog

結論

おめでとうございます! これで、Graylogサーバーにログを送信するためのRsyslogサービスを使用してUbuntuクライアントマシンが正常に構成されました。 また、Graylogサーバーで新しい入力タイプSyslog UDPを作成することにより、Graylog入力の基本構成を学習しました。 ログを送信する別の方法は、ElasticのSyslog TCP、ファイル、JSON、およびビートを使用することです。

The post UbuntuログをGraylogサーバーに送信する方法 appeared first on Gamingsym Japan.