開放原始碼日誌集中平台 - Graylog Sidecar 安裝/介紹(二)

## Graylog Sidecar介紹 Graylog Sidecar針對不同日誌收集器設定管理系統，用於協助配置和管理各種不同類型的日誌收集器，它的功能在於協助配置和管理這些日誌收集器，確保它們正確地將日誌數據發送到 Graylog 伺服器以下是 Graylog Sidecar 特點： * **集中式配置管理：** Graylog Sidecar 集中管理不同類型的日誌收集器的配置 * **自動設定：** Sidecar 具有自動配置的能力，可以自動設定許多受支持的日誌收集器 ## Graylog Web中新增Inputs 1. 首先，進入 Graylog 登入畫面 ![image](https://hackmd.io/_uploads/S1XCyepsT.png) 在左上角出現錯誤訊息，指出目前沒有任何節點。在這種情況下，我們需要新增節點以供 Graylog 使用 ![image](https://hackmd.io/_uploads/S1vbgx6oa.png) 2. 點選 "**System" > "Inputs**" 以新增節點 3. 接下來，您可以選擇想要接收的服務，根據您的需求，選擇相應的設定 ![image](https://hackmd.io/_uploads/ryI3-lpja.png) 4.輸入需要設定的配置，例如名稱、Port、IP 位置等參數 ![image](https://hackmd.io/_uploads/Hk7-MAVnT.png) 5. 完成配置後，點擊 "Launch input" 進行存檔 6. 底部將顯示新增的服務的 Inputs 規則狀態 ![image](https://hackmd.io/_uploads/B12FX043a.png) 確認是否有安裝 rsyslog 套件後，請在 Graylog Server 中打開 /etc/rsyslog.conf 設定檔，在最下方加入以下設定，範例 Graylog 的 IP 是 192.168.139.132，Port 則是 514 ``` #開啟 rsyslog.conf vim /etc/rsyslog.conf #加入Graylog 的 IP *.* @192.168.139.132:514 ``` ![image](https://hackmd.io/_uploads/H1vkeM92p.png) 完成修改後，請重新啟動 rsyslog 服務 ``` service restart rsyslog ``` 確保服務順利運作後，可以進入 Inputs 設定畫面，點擊 **[Show received messages]** 按鈕，檢查是否有日誌記錄開始進入，還可以觀察右下方的數據， **Network IO**，以確認是否有數據傳輸，**Active connections**，該數據表示目前的連接台數 ![image](https://hackmd.io/_uploads/Sy-7ZGqn6.png) ## Ubuntu 加入 Sidecar ### **安装 Graylog Sidecar** 使用以下命令下载并安装 Graylog Sidecar： ``` wget https://packages.graylog2.org/repo/packages/graylog-sidecar-repository_1-5_all.deb sudo dpkg -i graylog-sidecar-repository_1-5_all.deb sudo apt-get update && sudo apt-get install graylog-sidecar ``` 1. **編輯 Graylog Sidecar** 编辑器打開sidecar.yml文件 ``` sudo vi /etc/graylog/sidecar/sidecar.yml ``` 需求設定如下： server_url：用於導入的 Graylog 伺服器 URL server_api_token：用於匯入的API憑證 node_id：指定唯一ID，可用文字路徑或其他唯一識別 ![image](https://hackmd.io/_uploads/BJ1pg7k3p.png) 2.編輯後，儲存 sidecar.yml 檔案 3.重新啟動 Graylog Sidecar服務 ``` #重啟 Graylog Sidecar 服務 systemctl restart graylog-sidecar #設定 Graylog Sidecar 在系統啟動時自動啟動 systemctl enable graylog-sidecar #檢視 Graylog Sidecar 服務的當前狀態 systemctl status graylog-sidecar ``` ## Windows 加入 Sidecar **下載 Graylog Sidecar 安裝程式** 前往 Graylog Sidecar 的 GitHub 發行頁面下載 graylog-sidecar-installer-X.X.X.exe：點選此處[下載](https://github.com/Graylog2/collector-sidecar/releases/)，確保選擇與您的 Graylog 伺服器版本相匹配的 Sidecar 版本 ### **Windows 安裝 Garylog Sidecar** ### 獲取 Graylog API 1. 在 Graylog 中，點選右上角的頭像，然後選擇 Show Profile ![image](https://hackmd.io/_uploads/HyzS080ip.png) 2. 點選 Edit Tokens ![image](https://hackmd.io/_uploads/Bkd9kPAia.png) 3. 創建 API 名稱，確保記錄下來 ![image](https://hackmd.io/_uploads/rk0ZC8Rja.png) ### **windows Graylog Sidecar 安裝程式** 安裝程式運行後，填寫以下資訊： 1. Graylog API：輸入您的 Graylog 伺服器 IP 位址 2. 設備名稱：為您的設備命名 3. Graylog API ：輸入先創建的 API ![image](https://hackmd.io/_uploads/Hyy5aI0s6.png) 安裝完成後，您可以在 Graylog 中檢查是否有 Windows 日誌數據。查看 "Inputs" 部分以確認是否成功收集 Windows 日誌 ![image](https://hackmd.io/_uploads/rJ8JwvCs6.png) ## 結語 Graylog Sidecar 用於管理和配置不同類型的日誌收集器，設定管理系統允許節點添加到 Graylog 中，並根據需求配置其日誌收集，這樣，您可以更有效地監控和分析整個基礎架構的日誌數據在配置 Graylog Sidecar 時，您需要確認每個節點配置文件是否都有設定，包括 Graylog 伺服器的位置、API 和唯一的節點 ID，節點配置完成，就可以在 Graylog Web 介面中管理節點和日誌收集配置 ## 參考資料 * [ Graylog Sidecar 官網 ](https://go2docs.graylog.org/5-0/getting_in_log_data/graylog_sidecar.html) * [Garylog GitgHub](https://github.com/Graylog2/collector-sidecar/releases/)