CentOS 7部署Graylog
Graylog Sidecar 是一个针对不同日志收集器的轻量级配置管理系统,也称为 Backends。 Graylog 节点充当包含日志收集器配置的集中式集线器。 在支持的消息生成设备/主机上,Sidecar 可以作为服务(Windows 主机)或守护进程(Linux 主机)运行。
日志收集器配置通过 Graylog Web 界面集中管理。 Sidecar 守护进程将定期使用 REST API 获取目标的所有相关配置。 在首次运行或检测到配置更改时,Sidecar 将生成(渲染)相关的后端配置文件。 然后它将启动或重新启动那些重新配置的日志收集器。
Graylog Collector Sidecar 是一个轻量级的日志采集器,通过访问graylog进行集中式管理,支持linux和windows系统。
Sidecar 守护进程会定期访问graylog的REST API接口获取Sidecar配置文件中定义的标签(tag),Sidecar在首次运行时会从graylog服务器拉取配置文件中指定标签(tag)的配置信息同步到本地。
目前Sidecar支持NXLog,Filebeat和Winlogbeat。他们都通过graylog中的web界面进行统一配置,支持Beats、CEF、Gelf、Json API、NetFlow等输出类型。
Graylog最厉害的在于可以在配置文件中指定Sidecar把日志发送到哪个graylog群集,并对graylog群集中的多个input进行负载均衡,这样在遇到日志量非常庞大的时候,graylog也能应付自
安装MongoDB和Elasticsearch
- 添加MongoDB的yum存储库:
[root@graylog ~]#sudo vi /etc/yum.repos.d/mongodb-org-4.4.repo [mongodb-org-4.4] name=MongoDB Repository baseurl=https://repo.mongodb.org/yum/redhat/$releasever/mongodb-org/4.4/x86_64/ gpgcheck=1 enabled=1 gpgkey=https://www.mongodb.org/static/pgp/server-4.4.asc - 安装MongoDB:
[root@graylog ~]#sudo yum install mongodb-org -
启动MongoDB服务:
[root@graylog ~]#sudo systemctl enable mongod [root@graylog ~]#sudo systemctl start mongod -
安装Elasticsearch
[root@graylog ~]#sudo rpm --import https://artifacts.elastic.co/GPG-KEY-elasticsearch [root@graylog ~]#sudo vi /etc/yum.repos.d/elasticsearch.repo [elasticsearch-7.x] name=Elasticsearch repository for 7.x packages baseurl=https://artifacts.elastic.co/packages/7.x/yum gpgcheck=1 gpgkey=https://artifacts.elastic.co/GPG-KEY-elasticsearch enabled=1 autorefresh=1 type=rpm-md -
启动安装Elasticsearch
[root@graylog ~]#sudo yum install elasticsearch [root@graylog ~]#sudo systemctl enable elasticsearch [root@graylog ~]#sudo systemctl start elasticsearch
安装Graylog
- 安装
[root@graylog ~]#sudo rpm -Uvh https://packages.graylog2.org/repo/packages/graylog-3.3-repository_latest.rpm [root@graylog ~]#sudo yum install graylog-server - 配置
[root@graylog ~]#sudo vi /etc/graylog/server/server.conf password_secret = your_password_secret root_password_sha2 = your_root_password_sha2 http_bind_address = your_server_ip:9000#将 your_password_secret 和 your_root_password_sha2 替换为您自己的密码和哈希值,your_server_ip 替换为您的服务器IP地址 -
启动Graylog
[root@graylog ~]#sudo systemctl enable graylog-server [root@graylog ~]#sudo systemctl start graylog-server -
访问服务
[root@graylog ~]# netstat -nlptu|grep 9000 tcp6 0 0 :::9000 :::* LISTEN
安装Collector Sidecar(被采集日志的服务器上安装)
- 首先,您需要从官网下载并安装Collector Sidecar。
[root@graylog ~]#curl -L -O https://github.com/Graylog2/collector-sidecar/releases/download/1.0.2/collector-sidecar-1.0.2-1.x86_64.rpm - 安装Collector Sidecar。
sudo rpm -i collector-sidecar-1.0.2-1.x86_64.rpm - 然后,您需要配置Collector Sidecar
#打开配置文件/etc/graylog/collector-sidecar/collector_sidecar.yml,并进行以下更改: server_url: "http://:9000/api/" server_api_token: " " node_id: " "#请确保将 替换为Graylog服务器的IP地址,将 替换为您的API令牌,将 替换为唯一节点ID。 - 最后,启动Collector Sidecar服务
[root@graylog ~]#sudo systemctl start collector-sidecar -
举例(collector-sidecar配置文件(收集nginx日志))
[root@graylog ~]#vi /etc/graylog/collector-sidecar/collector_sidecar.yml server_url: http://192.168.252.10:9000/api/ node_id: nginx1 update_interval: 10 tls_skip_verify: false send_status: true list_log_files: collector_id: file:/etc/graylog/collector-sidecar/collector-id cache_path: /var/cache/graylog/collector-sidecar log_path: /var/log/graylog/collector-sidecar log_rotation_time: 86400 log_max_age: 604800 tags:- nginx_beats_input backends:- name: nxlogenabled: falsebinary_path: /usr/bin/nxlogconfiguration_path: /etc/graylog/collector-sidecar/generated/nxlog.conf- name: filebeatenabled: truebinary_path: /usr/bin/filebeatconfiguration_path: /etc/graylog/collector-sidecar/generated/filebeat.yml [root@graylog ~]#sudo systemctl restart collector-sidecar
- 首先,您需要从官网下载并安装Collector Sidecar。
本文来自互联网用户投稿,文章观点仅代表作者本人,不代表本站立场,不承担相关法律责任。如若转载,请注明出处。 如若内容造成侵权/违法违规/事实不符,请点击【内容举报】进行投诉反馈!