Log Centralizer: Winner del cuarteto «Graylog – Nxlog – Elasticsearch – MongoDB»

hola,

Hoy atacaremos una buena pieza a través de una muy buena distribución de Linux llamada «Centlos 7». Para los lectores y los lectores que no lo saben, digamos que es el hermano pequeño de la distribución de Red Hat Enterprise Linux (RHEL). Lo único que lo diferencia es el componente «pagador», ya que RHEL está dedicado a las empresas, incluyendo un soporte remunerado. En cuanto a la distribución «CENTOS 7 LINUX», se beneficia de todos los desarrollos y actualizaciones realizadas por el equipo de RHER (Red Hat Enterprise Linux), sin el soporte, ¡y totalmente gratis!

El objetivo de este artículo Será instalar un Centro de Registros de eventos de Windows (Registros) en una máquina virtual. Como ciertamente lo sabe, el Windows Eventlog es indigestible y está mal adaptado para un usuario lambda. Poco a poco, a través de este artículo, a través de este artículo, cómo implementar un servidor Graylog (Centroizador de los registros de eventos de Windows) en «CENTOS 7 Linux» asociado con Elasticsearch y Mongodb Shock Duo. El trío de GrayLog / ElasticSearch / Mongodb «TRIO nos permitirá procesar toda la actividad de una computadora en tiempo real, incluso a través de gráficos de tiempo en tiempo real eficientes, un tablero de instrumentos,» tableros de mandos «, técnicas de filtrado. Nutrir los troncos recuperados del Windows EventLog. Este último es muy a menudo descuidado ver oculto por su lado ansiogénico.

¡Te invito ahora a volver a un nuevo universo en la imagen de «Matrix»! ¡Los registros tienen la capacidad de transitar por diferentes canales y canales digitales, tendrá que penetrar en la «matriz» de los registros para lograr nuestros extremos! ¡Cualquier intrusión, anomalía o mal funcionamiento de la «matriz» será detectada, analizada y tratada con el centralizador de grises! (Humor)

GrayLog es una herramienta muy poderosa para la centralización, el análisis y la extracción de registros, para mantener solo la mayoría de sus características y su lado tan evolucionado. GrayLog Idealmente reemplaza al servidor Syslog-NG que recopila los registros de todos sus «servidores / máquinas». Querer los registros (EventLogs) es muy bueno, ¡pero poder centralizarlos, tratarlos y analizarlo es aún mejor! Por eso propongo descubrir en este artículo el cuarteto ganador «Graylog / Nxlog / Elasticsearch / Mongodb». Aunque en este artículo abordaré sucintamente el servicio de «RSYLOG» dedicado de la distribución «CentOS 7», NXLOG recopilará los registros de Windows, Unix, Linux, BSD, sistema de sistema Android y también registros de equipos de red (física de firewall, controlador Wi-Fi, Inversores, enrutador, conmutador, etc.). Como parte de la instalación, discutiré a través de este artículo, el servicio RSYSLOG será para la recopilación de los registros del servidor «CENTOS 7 Linux». Elegí aquí para centrarme en la instalación y el uso de este «Cuarteto ganador» en un entorno de consumo (un escritorio de torneado de Windows OS y una plataforma de virtualización de VMware WorkStation Pro para las necesidades de esta instalación, convirtiendo un servidor «CENTOS 7 LINUX»

En este artículo, decidí usar «VMware Workstation 12 Pro» para virtualizar el trío «GrayLog2 / ELASTICSearch / Mongodb». ¿No conoces vmware? Ningún problema! Aquí está el enlace de uno de mis artículos donde lo invito a instalar y familiarizarse con la versión de prueba «VMware WorkStation 12 Pro» aquí

También tendremos la oportunidad de descubrir parcialmente el mercado de GrayLog que ofrece una librería de utilidad altamente práctica, dependiendo de los sistemas y entornos de red del usuario (administrador).

Objetivos de este artículo

El usuario lambda podrá:

  1. Para virtualizar la instalación de la distribución «CENTOS 7 Linux»
  2. para instalar el Centroizador de registros de eventos de Windows (Registros) «GrayLog»
  3. para instalar un «escalable» Documentos de tipo NOSQL orientados al sistema de gestión de la base de datos llamados «MongoDB»
  4. para instalar el poderoso motor de búsqueda y la indexación «Elasticsearch»
  5. para instalar la interfaz NXLOG (cliente) para recopilar, convertir y Devuelva el WindowsVents EventLogs The Graylog Cententerizer
  6. para configurar el archivo R of Nxlog Configuración desde un filtro generado a través del visor de eventos de Windows
  7. para conectarse a través de la interfaz web de GrayLog (Navegador de Internet) desde su red privada (Internet Internet)
  8. para realizar una búsqueda específica para realizar una búsqueda específica Registros (registros de eventos) desde el tablero de manantiales de grislog-web
  9. para instalar una utilidad en el centro de Graylog desde el «Marketplace GrayLog Online
  10. para guardar los registros adecuados para los perfiles de búsqueda (Registros de eventos de Windows)
  11. Para crear widgetset un panel de control personalizado «para supervisar la actividad de su computadora física (Windows) y su cien servidor 7

algunos requisitos previos sobre esta instalación (tenga en cuenta que Utilicé un disco duro físico de 1TB dedicado a esta instalación):

  1. RAM de la VM: 4 GB (mínimo)
  2. Espacio asignado al disco duro virtual: 40 GB (Mínimo, si desea que puedas poner más como yo, aquí 600g o En un disco duro físico dedicado)
  3. una interfaz de red VMware «puenteado» en la que asigné una dirección IP estática a través de mi caja de Internet (IP / MAC)
  4. instalando la masilla. Software EXE AQUÍ QUE se utilizará para conectarse a SSH (PORT 22) en el centralizador de Graylog a través de la dirección IP estática (aquí: 192.168.1.55)
  5. Interfaz cliente (Conversión de registro) NXLOG para descargar ICPecial instalarlo en la máquina física (Windows)

Resumen

i. VIRTUALIZACIÓN DE LA INSTALACIÓN «CENTOS 7 LINUX» II. INSTALACIÓN DEL SISTEMA DE GESTIÓN BÁSICO «MONGODB» III. Instalación del motor de búsqueda e indexación «ElasticSearch ‘IV. Instalación de la cabeza y Marvel Plugins V. Instalación del servidor GrayLog2 (Registro de eventos de Windows Central Centralizador) VI. Instalación de la interfaz web de GrayLog VII. Conexión a través de la interfaz web de GrayLog VIII. Configuración de un auricular (entrada) en GrayLog IX. X análisis de tráfico. Resultado devuelto por el panel de manantial de grislog-web XI. Archivo de configuración de Nxlog XII. Archivo de configuración ‘/ etc / rsyslog /’ de CentOS 7 Linux XIII. Dónde estamos ? Xiv. Investigación adaptada de la interfaz web de GrayLog XV. Creación de un «panel de control» de Graylog titulado Aquí «Gráficos de eventos de Windows» XVI. Descubrimiento del mercado de grises

i. VIRTUALIZACIÓN DE LA INSTALACIÓN «CENTOS 7 LINUX»

Ahora que ha instalado «Vmware WorkStation» y se ha familiarizado con la familia, comience descargando el DVD ISO de CENTOS 7 aquí

antes Inicie la instalación del servidor «CentOS 7», vaya a la configuración de VMware y luego en la interfaz de red «puente» y verifique que esté conectada (conexión al inicio del VM)

antes de comenzar La instalación del servidor «CentOS 7», en la configuración de VMware (Configuración), seleccione el Explorador de archivos de Windows (navegador) El archivo de DVD de ISO «CENTOS 7» descargado anteriormente.

Inicie su máquina virtual (CentOS 7) a través de «Encendido al firmware» para llegar a la utilidad de configuración de arranque (BIOS VMware), y luego seleccionar un VM Iniciar en el CDROM VMware (ISO CENTOS 7)

Su máquina virtual acaba de comenzar en el ISO CentOS 7 DVD 7. Verifique que las propiedades TCP / IP del carrito La red está bien configurada

en mi instalación. Cambié la dirección IP, la puerta de enlace y el DNS de la tarjeta de red (consulte la administración de su caja de Internet para elegir una dirección IP estática disponible)

Seleccione las herramientas de depuración durante la instalación mínima de «CentOS 7»

Configure la contraseña para el administrador «Root», luego cree un nuevo usuario y una palabra pase

!!! ATENCIÓN!!! NEDERÉMARREPPAS El servidor «CENTOS 7» (VM), regrese a la configuración de VMWATE (Configuración) y deseleccione (Desmarque) «Conectar en Power On», esto para evitar un reinicio en el DVD ISO «COSOS 7»!

!!! ATENCIÓN!!! Nunca siempre, no siempre, el servidor «CENTOS 7» (VM), haga un «cierre de apagado»

volver a la configuración «Boot» (BIOS VMware) para cambiar la secuencia de inicio en el disco duro virtual donde estaba Hizo la instalación de «CentOS 7»

al final de la modificación de la secuencia de inicio de inicio (BIOS VMware), su máquina virtual «Centlos 7» normalmente comienza

¡Felicidades! ¡Se las arregló para instalar y lanzar una máquina virtual que gira debajo de «CentOS 7 Linux»!

*** NOTA IMPORTANTE: Ahora lanza una «instantánea» (Guarde su instalación) titulada «FINAL) INSTALACIÓN CENTOS 7 * **

Por razones de facilidad y otros, no trabajaremos directamente en la máquina virtual. Le propongo que lo conecto desde su computadora (escritorio de Windows) usando la pequeña utilidad «putty.exe» de alta conocida (descargada anteriormente)

Inicio con la actualización del sistema «CentOS 7»

yum actualización

Instalación del servicio NTPD, ¡Sirve qué?

Puede ser útil, o en Algunos casos esenciales, que el reloj de un sistema informático se sincroniza con un tiempo de referencia, que es el caso de esta instalación. El protocolentp (Protocolo de tiempo de red) realizará esta operación. Aquí están las líneas de comando para escribir, en PUTTY (Conexión SSH al servidor CENTOS7 en VMware WorkStation Pro) para instalar y configurar un sistema Linux:

yum install ntp -y

SystemCTLENABNTPD

SISTEMCTL INICIO NTPD

Para los lectores que no se utilizan para este tipo de instalación, aquí hay un ejemplo de la instalación del servicio NTP en los Centros 7. El ‘Instalación de Yum NTP -Y El comando permite descargar e instalar los paquetes requeridos para la instalación del servicio NTP:

para aquellos que conocen un pequeño editor ‘VI’ Puede editar el archivo de configuración para ver los servidores de tiempo para usar con el Comando:

vi /etc/nttp.conf

«del proyecto pool.nttp.org que se puede acceder en esta dirección http://www.pool.nttp.org/zone/europe:

servidor 0.centos.pool.nttp.org

servidor 1.centos.pool.nttp.org

servidor 2.centos.pool.nttp.org

servidor 3.centos.pool.nttp.org

Usaremos este: 0.centos.pool.nttp.org. Para hacer esto, detenga el servicio para actualizarlo:

SystemCTL STOP NTPD

NTPDATE -U 0.Concentos.pool.nttp.org

SYSTEMC

Deja un comentario

Tu dirección de correo electrónico no será publicada.