前面基础工作准备完了,现在正式开始进行Graylog本身的安装配置。
1.进行初始化
sudo graylog-ctl reconfigure
需要说明的是系统的admin用户的密码和相关配置是不能直接修改的,需要使用命令或者修改配置文件来修改。
sudo graylog-ctl set-admin-password <password>
sudo graylog-ctl set-timezone <zone acronym>
sudo graylog-ctl reconfigure
或者修改配置文件/opt/graylog/graylog.conf
初始化完毕或者重启动需要一小段时间,打开页面如果显示正在restarting不要着急,稍等两分钟就好了。
2. syslog配置
Graylog本身支持多种采集方式,现在我们先使用syslog的方式进行配置。
– 客户端配置
根据客户端操作系统不同,默认使用rsyslog或者syslog-ng,配置都必将常见。
rsyslog:UDP
*.* @GraylogIP:5140;RSYSLOG_SyslogProtocol23Format
rsyslog:TCP
*.* @GraylogIP:5140;RSYSLOG_SyslogProtocol23Format
syslog-ng比较麻烦,需要先分别指定SOURCES 、FILTERS 和DESTINATIONS,再组起来。
log { source S1; source S2; ... filter F1; filter F2; ... destinationD1; destination D2; ... }
这里有一篇文章,讲的比较清楚,我就不赘述了。
syslog-ng内容讲解
也可以看下官方文档Sending syslog from Linux systems into Graylog
在配置syslog时有两点要注意,一是不要指定514端口,因为虚拟机本身已经使用了514端口,再指定这个端口可能会冲突;二是采用是尽量采用TCP协议吧。
– Inputs设置
这里设置也比较简单,输入IP地址访问页面,用户名admin密码默认admin,进去后选择菜单System——>Inputs——>下拉选择Syslog TCP——>Launch new input然后最简单的只需选择Node(当然现在只有一个供你选择了)、填写Title和Port就可以了。Port要填写前面客户端配置的端口。
到这里我就算搭建了最简单的一个Graylog日志服务器了,现在你就可以开始慢慢的看你的日志了。至于具体的运用,咱们再慢慢探索。