搜尋結果

官方的套件庫是有人提供，但是需要手動去設定 設定方式如下： 首先到 rsyslog 設定檔新增新的接收的 port 號 vim /etc/rsyslog.conf 在最後一行新增加下面的語法 *.* @127.0.0.1:5514;RSYSLOG_SyslogProtocol23Format 新增完之後存檔離開重啟服務 systemctl restart rsyslog 進到 graylog 設定服務 system 下的 inputs  新增加  syslog UDP 服務接收 ...

官方更新發佈新版本，目前版次是 3.1 版，官方對於新版更新內容請參考官方公告 ANNOUNCING GRAYLOG 3.1 首先更新官方來源的套件，並且進行安裝，指令如下 sudo rpm -Uvh https://packages.graylog2.org/repo/packages/graylog-3.1-repository_latest.rpm sudo yum clean all sudo yum install graylog-server 安裝完之後記得要重新 graylog 服務 s...

這是在 Graylog 3.1 之後版本所新增加功能，為了方便不用一直接重覆下條件去查，可以事先把條件都設定好並且直接查看當前的資訊 運行環境 Graylog 3.1.4 功能說明 在選單上有一個 Views 功能，選擇 Create new 新增 填所想要查詢的條件 在想要顯示資訊，選擇好之後滑鼠移過去會有一個下拉選單 選單會出這樣子的資訊，點選 Aggregate 點選完之後，畫面上會出現這樣子的畫面 右上角有一個按鍵 V...

官方更新發佈新版本，目前版次是 3.2 版，官方對於新版更新內容請參考官方公告 ANNOUNCING GRAYLOG 3.2 首先更新官方來源的套件，並且進行安裝，指令如下 sudo rpm -Uvh https://packages.graylog2.org/repo/packages/graylog-3.2-repository_latest.rpm sudo yum clean all sudo yum install graylog-server 安裝完之後先不要重啟服務，重啟之前先...

使用 Regular expression 方式來取得 message 訊息內容記錄，Regular expression 是使用 java 正規表示法編寫的 運行環境 Graylog 3.2.1 版本 取 IPv4值 大概解說，網段ip是由三個數字組成一組，那每一組中間都是會有一個 . 我們要把這個點排除，所以用 \. 來排除並且顯示出來 ((25[0-5]|2[0-4][0-9]|1[0-9][0-9]|[0]?[0-9]?[0-9])\.(25[0-5]|2[0-4][0-9]|1[0-9]...

109.09.14 內容修改為 CentOS8 版本，並且修正安裝流程 運行環境 本工作室環境都是在 「Proxmox VE 」 虛擬系統上架設，都是以 「 LXC 」模式為主，除非有特殊狀況會告知使用 「 VM 」 模式 系統環境： CentOS 7 or CentOS 8 Web 服務： Nginx 1.18 第一步：更新系統 CentOS 7 系統更新： yum update -y 安裝pwgen、perl-Digest-SHA輔助工具，設定Graylog時用來生...

BUBU 因想了解一下各設備所傳回來的資訊有什麼，並且設置警告信件 109.09.15 因新版的新增方式不一樣，因此修正為新版取的方式 運行環境 Graylog 3.1.4 Graylog 3.3.5 設定方法 在 message 旁邊有一個下選單可以建立要用什麼方式取得內容資訊，那我目前都是用 Grok pattern 及 Regular expression 方式來建立的 3.1.4 之前版本新增的方式 3.3.5 之後版本新增的方式 ...

Graylog 官方已經正式公告 4 版已正式公開，如果想要更新到 4 版，要先把 Elasticsearch 先從 6.8 更新到 7.0 版 運行環境 本工作室環境都是在 「Proxmox VE 」 虛擬系統上架設，都是以 「 LXC 」模式為主，除非有特殊狀況會告知使用 「 VM 」 模式 系統環境： CentOS 8 Web 服務： Nginx 1.19 更新過程 先將 Elasticsearch 服務停止 systemctl stop elasticsearch.se...

BUBU 公司的 LOG 伺服器在因最近收集資料過多，造成某些功能無法正常顯示，導致出現下面圖片上的訊息 解決程過 經過官方論討區發現也有人出現過這樣子的問題，是說明 Elasticsearch 此服務無法處理這多流量造成無法正常顯示，那解決方式如下 修改 vim /etc/elasticsearch/jvm.options 設定檔，此地方是修改記憶體上的限制，如果您分配服務的記憶體有16G的話會建議這裡修改成8g ，也就是說會建議這裡的設定是您分配給服務記憶體的一半。 修改前 -Xms1g -Xmx1g 修...

  因為公司有的服務還是採用 Apache 服務，本篇是但是差在於 error 可能要在研究一下要怎麼設定了，我在網路找到一個簡單的設定。 進到 Apache 設定 vim /etc/httpd/conf/httpd.conf 找尋 LogFormat 這個在下面增加一行下面的設定 LogFormat "{ \"version\": \"1.1\", \"host\": \"%V\", \"short_message\": \"%r\", \"timestamp\": %{%s}t, \"level\":...

Graylog 的 SMTP 在網頁上是無法設定的，所以只能在 graylog 設定檔裡面做設定 設定方式 在 vim /etc/graylog/server/server.conf 設定檔裡面新增 # Email transport #transport_email_enabled = false #transport_email_hostname = mail.example.com #transport_email_port = 587 #transport_email_use_auth = true ...

Graylog 官方已經正式公告 4.3 版已正式公開 運行環境 本工作室環境都是在 「Proxmox VE 」 虛擬系統上架設，都是以 「 LXC 」模式為主，除非有特殊狀況會告知使用 「 VM 」 模式 系統環境： Debain 10 更新過程 安裝必要套件 sudo apt-get install apt-transport-https 下載 Graylog 4.3 的來源庫 wget https://packages.graylog2.org/repo/packages/graylog-4...

BUBU 公司的 LOG 伺服器在因最近收集資料過多，造成某些功能無法正常顯示，導致出現下面圖片上的訊息，這訊息是在說明因為索引太多字段關係造成無法正常顯示，在 Elasticsearch 預設只有 1000 字段，這需要在手動調整就可以正常顯示了 解決程過 官方有說明如何解決此索引字段問題 檢查該群組的字段狀況，檢查出來有 1029 字段。 curl -XGET 'localhost:9200/graylog_14/?pretty' | grep type | wc -l 修改字段參數 curl ...

BUBU 因最近有採買一台性能比較好的主機，將原本舊的設備上的服務都轉移到這台新設備上運行，因此之前無法使用 log 伺服器，現在可以重新架設一台並且轉換系統來運行服務。 110.10.02 內容修改為 Debian 10 版本，並且修正安裝流程 111.09.18 服務所安裝版本，目前最新版本是 Graylog 4.3 版 運行環境 本工作室環境都是在 「Proxmox VE 」 虛擬系統上架設，都是以 「 LXC 」模式為主，除非有特殊狀況會告知使用 「 VM 」 模式 系統環境： Debian 10 We...

因有時候想要了解都是那些國家來看服務那剛好 Graylog 剛好有提供這樣子的服務，可以讓您查看都是從那些國家來看服務的首先要先到 GeoLite2 提供免費的服務下載，提供有國家、城市及ASN，那我是下載城市這個檔案 109.01.10 在看功能是否有正常運行，發現到無法下載新版資訊，去官網查看，已經不在公開下載了要先註冊帳號後才能正常下載該資訊，所以要先註冊一個帳號才可以下載最新的資訊 設定流程 先到官方註冊，免費註冊一個帳號，註冊完之後再登入之後，會看到可以手動下載地方。 選擇要下載的檔案，我...

  BUBU 因最近都在忙著處理公司的事情，沒有時間測試新的系統，那今日有空就將 Graylog 最新版重新安裝並且測試，雖然過程中有讓我卡關但是後來還是有處理好了。   本篇就是安裝目前官方最新版本記錄下來。 運行環境 本工作室環境都是在 「Proxmox VE 」 虛擬系統上架設，都是以 「 LXC 」模式為主，除非有特殊狀況會告知使用 「 VM 」 模式 系統環境： Debian 11 Web 服務： Nginx 1.24 更新系統 更新系統 sudo apt update && sudo apt...

  BUBU 因最近都在忙著處理公司的事情，沒有時間測試新的系統，那今日有空就將 Graylog 最新版重新安裝並且測試，雖然過程中有讓我卡關但是後來還是有處理好了。 2024.01.11 系統升為 Debian12、MongoDB升為 7 運行環境 本工作室環境都是在 「Proxmox VE 」 虛擬系統上架設，都是以 「 LXC 」模式為主，除非有特殊狀況會告知使用 「 VM 」 模式 系統環境： Debian 12 Web 服務： Nginx 1.24 更新系統 更新系統 sudo apt upd...

因 FortiGate 傳送的預設是 514 那我有修改成其他的 Port 號，去查看 Graylog 一直都收不到資料，去查下原因是因為要使用 Raw/Plaintext UDP 這個模式來接收 FortGate 上的資料 運行環境 Graylog 3.1.3 設定過程 先設來源 選擇 Raw/Plaintext UDP 方式來接收 設定內容 進到 rsyslog.com 新增一從接收來源 *.* @127.0.0.1:30000;RSYSLOG_SyslogProtocol23Form...

  之前另一篇是在 Graylog3 版使用，本篇是 Fro 新版的 Graylog 服務做使用，這個看版是從 Graylog Marketplace 找到，但是要修改FortiGate 傳送的預設是 514 那我有修改成其他的 Port 號，接收端要用 syslog TCP 做接收 運行環境 Graylog 5.2 設定過程 先從 Graylog Marketplace 上面下載 json 檔再匯入到 Graylog 載點 在 system 的 Content Packs 上傳 FortiGa...

  如果要看每個台服務的 log 檔都要到該台設備去查看記錄，這樣子太麻煩了因為有架設 graylog 服務，可以將這些服務上的記錄都傳到這一台 log 服務器上記錄並且察看 2024.02.27 修改為 Graylog 新版本可以正常收集資料   Nginx 的服務版本最起要在 1.11.8 以上版本才會有支援 escape=json。 在 Nginx 全域設定檔做設定 vim /etc/nginx/nginx.conf 並且填入以下的內容 log_format graylog_json escape=jso...