Hướng dẫn chi tiết từng bước để đẩy log từ client lên Graylog. Từ cách cài đặt, cấu hình và tối ưu hóa việc gửi log để quản lý và phân tích log hiệu quả.
Graylog là một nền tảng mạnh mẽ để thu thập, phân tích và quản lý log. Việc đẩy log từ các nguồn khác nhau lên Graylog giúp bạn tập trung hóa việc quản lý log, dễ dàng giám sát hệ thống và phát hiện các sự cố kịp thời. Bài viết này sẽ hướng dẫn bạn cách đẩy log từ Client lên Graylog.
>>> Xem thêm: Hướng dẫn cài đặt Graylog trên Ubuntu 22.04 chi tiết nhất
1. Tìm hiểu về Input trong Graylog
Input trong Graylog là các điểm nhập dữ liệu, nơi Graylog nhận và xử lý log messages từ các nguồn khác nhau. Hiểu rõ về các loại Input là điều cần thiết để có thể cấu hình Graylog nhận log từ các hệ thống và thiết bị khác nhau. Dưới đây là chi tiết về các loại Input phổ biến và cách cấu hình chúng.
Dưới đây là một số loại Input phổ biến:
- Syslog: Sử dụng để nhận log từ các thiết bị và ứng dụng hỗ trợ giao thức Syslog.
- GELF (Graylog Extended Log Format): Một định dạng log mở rộng của Graylog, hỗ trợ cấu trúc dữ liệu JSON.
- Beats: Sử dụng để nhận log từ Filebeat, Metricbeat và các Beats khác của Elastic.
- Raw/Plaintext: Nhận log dưới dạng văn bản thô hoặc định dạng tùy chỉnh.
- JSON Path: Sử dụng để nhận log có định dạng JSON, giúp trích xuất và phân tích dữ liệu JSON.
- HTTP: Nhận log qua HTTP/HTTPS, cho phép gửi log từ các ứng dụng web và dịch vụ hỗ trợ HTTP.
- TCP/UDP: Nhận log qua giao thức TCP hoặc UDP, thường dùng cho các ứng dụng và thiết bị không hỗ trợ Syslog nhưng có khả năng gửi log qua mạng.
- AMQP: Sử dụng để nhận log từ các hàng đợi tin nhắn (message queues) hỗ trợ giao thức AMQP.
- Kafka: Nhận log từ Apache Kafka, một nền tảng stream-processing phổ biến.
2. Mô hình đẩy log từ Client lên Graylog
Chúng tôi có một mô hình cơ bản giúp bạn hiểu rõ hơn về cách đẩy log từ Client lên Graylog.
IP Planning
|
Tên máy |
IP |
|
Graylog |
172.16.66.55 |
|
Linux |
172.16.66.54 |
|
vCenter |
172.16.66.46 |
3. Đẩy log từ vCenter sang Graylog
3.1 Cấu hình trên vCenter
Ta cần vào trang VAMI của vCenter để tiến hành mở dịch vụ rsyslog và tiến hành đẩy log sang. Để truy cập vào trang VAMI ta thực hiện theo đường dẫn sau.
|
https://<IP-vCenter>:5480 |
Tiếp theo ta chọn vào Syslog và tiến hành cấu hình đẩy log. Chúng ta cần khai báo IP của Graylog và giao thức đẩy log là UDP.
3.2 Cấu hình trên Graylog
Việc đầu tiên để Graylog có thể nhận được log thì ta phải cấu hình firewall mở port 514/UDP. Ở đây mình dùng Ubuntu 22.04 nên sẽ sử dụng lệnh sau.
|
ufw allow 514/udp |
Bây giờ ta sẽ lên giao diện Web của Graylog và tiến hành đẩy log. Graylog mình dùng là bản 5.2 nhé.
Ta chọn vào System / Inputs để tiến hành add Input mới. Hãy chọn giao thức là Syslog UDP nhé.
Nội dung cần cấu hình.
|
Titlle : vCenter ( Tên để bạn gợi nhớ ra Input này) Bind address : 0.0.0.0 (Lắng nghe trên tất cả các interface của graylog) Port : 514 |
Sau khi Launch Input ta sẽ nhận được kết quả như này.
Như vậy là đã cấu hình xong bạn có thể xem log bằng cách nhấn vào Show received messages.
4. Đẩy log từ máy Client Linux bất kỳ lên Graylog
4.1 Cấu hình trên Linux
Việc cấu hình trên Linux thì lại rất đơn giản chúng ta chỉ cần sử dụng đúng 1 câu lệnh.
|
echo '*.* @172.16.66.55:1514' >> /etc/rsyslog.conf |
Bây giờ ta chỉ cần tiến hành restart lại dịch vụ rsyslog là xong.
|
systemctl restart rsyslog |
4.2 Cấu hình trên Graylog
Cấu hình trên Graylog ta cũng làm tương tự như các bước ở phần 3 nhưng ta sẽ đổi thành port 1514 và mở firewall đối với port 1514/udp.
Mở firewall.
|
ufw allow 1514/udp |
Cấu hình graylog.
|
Titlle : netbox-log ( Tên để bạn gợi nhớ ra Input này) Bind address : 0.0.0.0 (Lắng nghe trên tất cả các interface của graylog) Port : 1514 |
Ta kiểm tra xem đã nhận được.
Như vậy là SunCloud đã hướng dẫn các bạn gửi log từ vCenter hay một máy Linux bất kỳ với giao thức UDP. Nếu trong quá trình thực hiện, bạn gặp phải vướng mắc cần được hỗ trợ, hãy liên hệ với chúng tôi để được tư vấn nhanh nhất nhé. Chúc các bạn thành công!
