服务器维护需要log日志,Docker:部署Graylog日志管理服务器

最新推荐文章于 2024-02-28 11:30:13 发布
最新推荐文章于 2024-02-28 11:30:13 发布
阅读量673 收藏
点赞数
文章标签: 服务器维护需要log日志

先看看推荐!国外程序员整理的系统管理员资源大全中,国外程序员整理的日志聚合工具的列表:

日志管理工具:收集,解析,可视化

Elasticsearch – 一个基于Lucene的文档存储,主要用于日志索引、存储和分析。

Fluentd – 日志收集和发出

Flume -分布式日志收集和聚合系统

Graylog2 -具有报警选项的可插入日志和事件分析服务器

Heka -流处理系统,可用于日志聚合

Kibana – 可视化日志和时间戳数据

Logstash -管理事件和日志的工具

Octopussy -日志管理解决方案(可视化/报警/报告)

一、Graylog介绍

Graylog是强大的日志管理、分析工具。它基于 Elasticsearch, Java和MongoDB。

Graylog可以收集监控多种不同应用的日志。但是为了示范说明,我只收集syslog。并且,我将会把用到的组件全部安装到一个单独的服务器上。对于大型、生产系统你可以把组件分开安装在不同的服务器上,这样可以提高效率。

Graylog有4个基本组件:

Graylog Server:这个服务负责接收和处理日志/消息,并且和其他组件沟通。

Elasticsearch:存储所有的日志,它的性能依赖内存和硬盘IO。

MongoDB:存储元数据,负载不高。

Web接口:用户接口。

下面是Graylog组件之间的关系图:

53f0f1966f23ffdfaf1ab50fef4853d1.png

二、Docker部署Graylog

首先提供一个docker-compose.yml文件

version: '2'

services:

mongo:

image: "mongo:3"

volumes:

- /graylog/data/mongo:/data/db

elasticsearch:

image: "elasticsearch:2"

command: "elasticsearch -Des.cluster.name='graylog'"

volumes:

- /graylog/data/elasticsearch:/usr/share/elasticsearch/data

graylog:

image: graylog2/server:2.1.0-3

volumes:

- /graylog/data/journal:/usr/share/graylog/data/journal

#- /graylog/config:/usr/share/graylog/data/config

environment:

GRAYLOG_PASSWORD_SECRET: somepasswordpepper

GRAYLOG_ROOT_PASSWORD_SHA2: 8c6976e5b5410415bde908bd4dee15dfb167a9c873fc4bb8a81f6f2ab448a918

GRAYLOG_WEB_ENDPOINT_URI: http://10.106.201.11:9000/api/

depends_on:

- mongo

- elasticsearch

ports:

- "9000:9000"

- "12201/udp:12201/udp"

- "12202/udp:12202/udp"

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

21

22

23

24

25

26

27

version:'2'

services:

mongo:

image:"mongo:3"

volumes:

-/graylog/data/mongo:/data/db

elasticsearch:

image:"elasticsearch:2"

command:"elasticsearch -Des.cluster.name='graylog'"

volumes:

-/graylog/data/elasticsearch:/usr/share/elasticsearch/data

graylog:

image:graylog2/server:2.1.0-3

volumes:

-/graylog/data/journal:/usr/share/graylog/data/journal

#- /graylog/config:/usr/share/graylog/data/config

environment:

GRAYLOG_PASSWORD_SECRET:somepasswordpepper

GRAYLOG_ROOT_PASSWORD_SHA2:8c6976e5b5410415bde908bd4dee15dfb167a9c873fc4bb8a81f6f2ab448a918

GRAYLOG_WEB_ENDPOINT_URI:http://10.106.201.11:9000/api/

depends_on:

-mongo

-elasticsearch

ports:

-"9000:9000"

-"12201/udp:12201/udp"

-"12202/udp:12202/udp"

注意,这里的12201和12202是用来提供给客户端打日志的端口,所以后面设置了多少个INPUT,这里就需要开启多少个端口。

启动graylog

$ docker-compose -p panop up -d

Creating panop_mongo_1

Creating panop_elasticsearch_1

Creating panop_graylog_1

1

2

3

4

$docker-compose-ppanopup-d

Creatingpanop_mongo_1

Creatingpanop_elasticsearch_1

Creatingpanop_graylog_1

$ docker ps

CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES

cacb9c4a58fb graylog2/server:2.1.0-3 "/docker-entrypoint.s" 5 minutes ago Up 5 minutes 0.0.0.0:12201->12201/udp, 0.0.0.0:12202->12202/udp, 0.0.0.0:9000->9000/tcp, 12900/tcp panop_graylog_1

4003904aaa40 elasticsearch:2 "/docker-entrypoint.s" 5 minutes ago Up 5 minutes 9200/tcp, 9300/tcp panop_elasticsearch_1

4a6276d52bd4 mongo:3 "/entrypoint.sh mongo" 5 minutes ago Up 5 minutes 27017/tcp panop_mongo_1

1

2

3

4

5

$dockerps

CONTAINERIDIMAGECOMMANDCREATEDSTATUSPORTSNAMES

cacb9c4a58fbgraylog2/server:2.1.0-3"/docker-entrypoint.s"5minutesagoUp5minutes0.0.0.0:12201->12201/udp,0.0.0.0:12202->12202/udp,0.0.0.0:9000->9000/tcp,12900/tcppanop_graylog_1

4003904aaa40elasticsearch:2"/docker-entrypoint.s"5minutesagoUp5minutes9200/tcp,9300/tcppanop_elasticsearch_1

4a6276d52bd4mongo:3"/entrypoint.sh mongo"5minutesagoUp5minutes27017/tcppanop_mongo_1

当graylog启动完成后,我们需要把配置文件复制出来,放到宿主机中,然后再通过挂在的方式挂在到容器中,这样就可以修改配置文件了。

$ docker exec -ti root_graylog_1 bash

root@e76f6e178420:/usr/share/graylog# pwd

/usr/share/graylog

root@e76f6e178420:/usr/share/graylog# ls data/config/

graylog.conf log4j2.xml node-id

1

2

3

4

5

$dockerexec-tiroot_graylog_1bash

root@e76f6e178420:/usr/share/graylog# pwd

/usr/share/graylog

root@e76f6e178420:/usr/share/graylog# ls data/config/

graylog.conflog4j2.xmlnode-id

就是把这三个文件复制出来,然后放到本地/data/config目录下。

$ ls /data/config

graylog.conf  log4j2.xml  node-id

1

2

$ls/data/config

graylog.conf log4j2.xml node-id

然后把docker-compose文件中的graylog挂载的注释去掉,然后重新docker-compose up -d操作。

#- /graylog/config:/usr/share/graylog/data/config

1

#- /graylog/config:/usr/share/graylog/data/config

三、时区和高亮显示

修改graylog.conf配置文件的默认时区(UTC)为(Asia/Shanghai)

root_timezone = Asia/Shanghai

1

root_timezone=Asia/Shanghai

搜索高亮显示

allow_highlighting = true

1

allow_highlighting=true

四、登录Graylog Web

访问:http://10.106.201.11:9000,默认用户名密码admin/admin。

登录之后界面如下:

09f913c90098b2ea4740be96ebdc5376.png

添加要接收的其他服务器syslog日志:System->Inputs->Syslog UDP->Launch new input。

ae0a818f75ee037151e0b10e4682de43.png

在弹出的窗口上输入如下信息:

Title: udp

Port: 12202

Bind address: 0.0.0.0(要收集的其他服务器ip地址)

如果你需要收集多个服务器的日志,重复上面步骤。

五、接收日志配置

现在,我们的Graylog服务器已经做好了接收其他服务器发来日志的准备。下面我们还需要配置其他服务器,让这些服务器给Graylog服务器发送日志。

配置其他服务器给Graylog服务器发送syslog,创建rsyslog配置文件90-graylog.conf:

$ sudo vim /etc/rsyslog.d/90-graylog.conf

1

$sudovim/etc/rsyslog.d/90-graylog.conf

添加如下代码,把graylog_server_IP替换为Graylog服务器ip地址:

$template GRAYLOGRFC5424,"%protocol-version% %timestamp:::date-rfc3339% %HOSTNAME% %app-name% %procid% %msg%\n"

*.* @graylog_server_IP:12202;GRAYLOGRFC5424

1

2

$templateGRAYLOGRFC5424,"%protocol-version% %timestamp:::date-rfc3339% %HOSTNAME% %app-name% %procid% %msg%\n"

*.*@graylog_server_IP:12202;GRAYLOGRFC5424

重启rsyslog服务使生效:

$ sudo systemctl restart rsyslog

1

$sudosystemctlrestartrsyslog

配置完成之后,回到Graylog Web,点击Sources,查看是否有新添加rsyslog。

然后登陆一下此服务器产生一些登陆日志,然后回到Graylog,在search页面就可以看到如下日志信息了。

e5a182aa8244221b7b03d321290363de.png

可以看到graylog的日志信息跟/var/log/secure日志信息是一样的。

[root@testpanoplog-hzba-1 ~]# tail -n 5 /var/log/secure

Jan 3 14:12:30 testpanoplog-hzba-1 sshd[13090]: Accepted password for root from 10.0.8.134 port 30542 ssh2

Jan 3 14:12:30 testpanoplog-hzba-1 sshd[13090]: pam_unix(sshd:session): session opened for user root by (uid=0)

Jan 3 14:12:30 testpanoplog-hzba-1 sshd[13090]: pam_lastlog(sshd:session): unable to open /var/log/lastlog: No such file or directory

Jan 3 14:12:30 testpanoplog-hzba-1 sshd[13094]: lastlog_openseek: Couldn't stat /var/log/lastlog: No such file or directory

Jan 3 14:12:30 testpanoplog-hzba-1 sshd[13094]: lastlog_openseek: Couldn't stat /var/log/lastlog: No such file or directory

1

2

3

4

5

6

[root@testpanoplog-hzba-1~]# tail -n 5 /var/log/secure

Jan314:12:30testpanoplog-hzba-1sshd[13090]:Acceptedpasswordforrootfrom10.0.8.134port30542ssh2

Jan314:12:30testpanoplog-hzba-1sshd[13090]:pam_unix(sshd:session):sessionopenedforuserrootby(uid=0)

Jan314:12:30testpanoplog-hzba-1sshd[13090]:pam_lastlog(sshd:session):unabletoopen/var/log/lastlog:Nosuchfileordirectory

Jan314:12:30testpanoplog-hzba-1sshd[13094]:lastlog_openseek:Couldn'tstat/var/log/lastlog:Nosuchfileordirectory

Jan314:12:30testpanoplog-hzba-1sshd[13094]:lastlog_openseek:Couldn'tstat/var/log/lastlog:Nosuchfileordirectory

如果您觉得本站对你有帮助,那么可以支付宝扫码捐助以帮助本站更好地发展,在此谢过。

玛丽酥酥
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
使用chroot创建高度受限ssh用户
胡子的博客
03-01 851
需求:需要一个高度受限ssh用户,只允许其通过ssh登陆、访问指定目录、使用指定命令,以增强系统安全性。 应用场景:日志用户、运营用户; 环境:CentOS 6.5 操作步骤: 1、新增用户、配置目录、复制关键文件 useradd logger passwd logger mkdir -p /chroot/{etc,dev,proc,lib,bin,lib64,home,usr...
graylog-docker:官方Graylog Docker映像
04-29
本质上,Graylog需要与MongoDB对话以存储配置数据,还需要与Elasticsearch对话以存储实际的日志数据。 如何使用这张图片 请参阅以获取有关Graylog Docker映像的全面概述和详细描述。 配置 可以通过环境变量设置每个...
Graylog配置GraylogSidecar-传输日志文件
LB_bei的博客
12-20 1090
Graylog Sidecar 是 Graylog 日志管理系统的一个组件,用于配置和管理通过 Filebeat、Winlogbeat、NXLog 或其他日志收集器发送的日志流。它的作用是管理和配置这些日志收集器,确保它们正确地发送日志数据到 Graylog 服务器。我用的是filebeat来传输日志文件,sidecar自带filebeat。
如何利用graylog进行容器化日志管理
最新发布
LinkSLA的博客
02-28 1121
保存后一切正常的话,input就会进入RUNNING状态,这时就可以往这个input里面发送数据了,点击“Stop input”,input就会停止,数据的接收也会停止,“Stop input”会变成“Start input”,需要接受数据的时点击启动就可以了。配置Docker容器发送数据到Graylog时可以在运行docker run命令启动容器的时候加上如下参数:​​​​​​​。1.在当前用户目录下创建graylog目录作为部署的工作目录:​​​​​​​。具体示例:​​​​​​​。
GrayLog日志平台的基本使用-Windows日志接入
qq_31292011的博客
12-21 640
需要结合filebeat类型的采集器配置,并应用到该Sidecar采集器上,比如这里采集zabbix日志。打开cmd 启动filebeat,启动命令:filebeat -e c filebeat.yml。由于这里我没有重新创建新的索引,还是使用的之前的,这里看自己的需要。将下载的包拷贝到win上双击安装,然后就是一直下一步。2、创建sidecar的API token。2)、采集器配置,跟之前的配置一样的步骤。3、创建Beats类型的Input。我这里用的7.17.13的版本。6、采集器配置文件创建。
/var/log/messages: 没有那个文件或目录
Jackie Huang
04-10 7208
ps: 如果有任何问题可以评论留言,我看到后会及时解答,评论或关注,您的鼓励是我分享的最大动力 转载请注明出处:https://blog.csdn.net/qq_40938301/article/details/89175623 问题:使用Ubuntu系统,当需要查看系统日志文件(/var/log/messages)时 提示说没有这个文件或目录 ...
使用 Graylog 管理服务日志
热门推荐
kwkwc的博客
08-23 2万+
日志管理是一件麻烦的事情,特别是服务多的情况下出了问题需要排错、分析非常困难,一般会使用 ELK,但这篇文章将会介绍另外一个同样优秀的日志聚合平台 Graylog
log-pilot:收集docker容器的日志
02-02
使用log-pilot您可以从Docker主机收集日志并将其发送到集中式日志系统,例如elasticsearch,graylog2,awsog等log-pilot不仅可以收集docker stdout,还可以收集docker容器内的日志文件。 试试吧 先决条件: 码头...
docker-graylog2:用于 DockerGraylog2
07-08
我们想用唯一的ElasticSearch 实例测试每个产品: 所有日志都发送到 Graylog2 服务器Graylog2 服务器日志发送到 ElasticSearch Kibana 和 Graylog2 web 从 ElasticSearch 中获取相同的数据 安装安装Docker 。...
使用-docker-部署-DNS-服务器
09-12
使用_docker_部署_DNS_服务器
PaaS-Docker:在服务器部署应用程序的PaaS
01-31
PaaS-Docker PaaS-Docker是一项用于在服务器部署应用程序的服务。 只需将一个Webhook添加到具有dockerfile的github存储库中,即可在几秒钟内看到对存储库进行的所有推送。 PaaS-Docker是使用Flask框架以python编写...
Graylog日志监控系统安装配置
JackLiu16的博客
06-08 3282
在公司里面一直负责整个公司的监控系统,主要包括底层服务器的硬件监控、系统层面的监控、网络设备的监控、中间件和应用层面的监控等。虽然Zabbix也提供对日志监控的方案,但由于日志量、可视化、报表统计等方面的原因,需要一款专业的日志监控系统来做这件事。我对比过ELK、商业日志工具Splunk和Graylog,后面选择了GraylogGraylog简单说就是一个开源的日志聚合、分析、审计、展现和预警工...
GrayLog日志平台的基本使用-docker容器日志接入
qq_31292011的博客
12-22 973
服务器上存在4 个内核,我们要使用 5.12.1这个版本,可以通过 grub2-set-default 0 命令或编辑 /etc/default/grub 文件来设置。在本机测试时,docker无法访问,应该是内核版本太低的问题,我这里进行了内核升级操作。方法1、通过 grub2-set-default 0 命令设置。本机测试:curl -vk http://127.0.0.1。方法2、编辑 /etc/default/grub 文件。3.2.2、设置新的内核为grub2的默认版本。1、查看当前内核版本。
Graylog V4.0.13 OVA / Appliance installation config
shanxun1012的专栏
06-15 489
要使用它,需要找到您的集群 ID(位于系统/概述)并完成 graylog.org 上的表格。消息输入是负责接受日志消息的 Graylog 部分。Graylog Enterprise 建立在 Graylog 开源平台之上,提供额外的功能,使用户能够在企业范围内部署 Graylog,并将 Graylog 应用于整个组织的流程和工作流。消息输入是负责接受日志消息的 Graylog 部分。消息输入是负责接受日志消息的 Graylog 部分。消息输入是负责接受日志消息的 Graylog 部分。
var/log/secure下提示的一些错误的解决
weixin_34166847的博客
09-30 917
var/log/secure下提示的一些错误的解决 文章作者:Enjoy 转载请注明原文链接。今天发现这台rashost的VPS上的空间不够了,发现var/下居然有1.4G,看了下var/log/secure有1G。。。。。。原来是开了proftpd,然后不断有人在试用户名和密码,记录了一大堆这些日志。哎!关闭后,这些日志就消失了。接下来,在secure中还看到了如下这些错误...
一次服务器被入侵后的分析
Chili min的专栏
09-13 1442
最近有个朋友让我去帮他看一下他的Linux服务器,说是Apache启动不了,有很多诡异的情况。后来证明绝不是Apache启动不了这么简单。 登上服务器之后随便看了下,最先引起我注意的是”ls”命令的输出: lars@server1:~$ ls   ls: invalid option -- h   Try `ls --help' for more information.  为什么”ls”默
GrayLog 安装与配置
痴の原罪
10-31 1695
GrayLog评估 优点: 配置化,开源, 一体化解决方案,相对ELK简单。 支持syslogfilebeat,log4j,logstash日志源接入 各种协议支持, udp,tcp,http,amqp 面板大盘–>支持自定义曲线图,饼状图等丰富图形列表 预警功能, 支持集群,扩展等。 权限支持 安装基本说明 服务器环境需要安装mongodb 3.2+,graylog 2.5+,es 5....
graylog日志部署与使用
luslin1711的博客
11-28 1617
graylog是一个简单易用、功能较全面的日志管理工具,graylog也采用Elasticsearch作为存储和索引以保障性能,MongoDB用来存储少量的自身配置信息,master-node模式具有很好的扩展性,UI上自带的基础查询与分析功能比较实用且高效,支持LDAP、权限控制并有丰富的日志类型和标准(如syslog,GELF)并支持基于日志的报警。
centos7远程登录ssh遇到问题解决
的博客
04-05 4343
今天忽然ssh远程登录不了了,解决如下: 1.修改默认端口 vim /etc/ssh/sshd_config Port 99 (修改默认端口22为99,记得在安全组里面开启99端口) PermitRootLogin no(禁止root用户远程登录) 2.ssh日志分析 vim /var/log/secure Apr 5 09:48:18 VM_69_21_centos sshd[1562]:...
graylog docker
08-15
Graylog 是一个开源的日志管理平台,可以帮助用户收集、存储、分析和可视化日志数据。而 Docker 是一个开源的容器化平台,可以将应用程序和其依赖项打包成一个独立的容器,在不同的环境中进行部署和运行。 如果你想...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值