מדריך התקנה: כיצד להגדיר Graylog לניהול לוגים מרחוק

מדריך להליך התקנה והגדרת Graylog לניהול ריכוזי של לוגים

במדריך זה, תלמד כיצד להתקין ולהגדיר את Graylog כדי לנהל לוגים בצורה ריכוזית. המדריך פותר בעיות של ניהול לוגים במערכות שונות, ומסייע לזהות אירועים חשודים ולבצע ניתוחים על אירועי אבטחה. דרישות החומרה והידע הנדרשות כוללות בסיס ידע בסיסי על מערכות Linux, כמו גם הבנה של MongoDB ו-Elasticsearch.

דרישות מערכת

לפני התחילה בהתקנה, אנו נדרשים לדעת את הדרישות המערכת שכוללות:

• שרת Linux (Ubuntu, CentOS, Debian וכו’)
• זיכרון RAM מינימלי של 4GB (המלצה 8GB)
• מעבד חד-ליבתי לפחות
• שטח דיסק של 20GB מינימלי
• מכונה עם גישה לאינטרנט להורדת תוכנה

התקנה והגדרה בסביבת Linux

1. התקנת MongoDB

MongoDB משמש לאחסון המטה-דאטה של Graylog. התקן את MongoDB באמצעות הפקודות הבאות:

1. הוסף את המפתח הציבורי של MongoDB:

sudo apt-key adv --keyserver hkp://keyserver.ubuntu.com:80 --recv 7F0CEB10
    

2. הוסף את המאגר של MongoDB:

echo "deb http://repo.mongodb.org/apt/ubuntu bionic/multiverse amd64 mongodb-org/4.0 multiverse" | sudo tee /etc/apt/sources.list.d/mongodb-org-4.0.list
    

3. עדכן את המאגרים:

sudo apt-get update
    

4. התקן את MongoDB:

sudo apt-get install -y mongodb-org
    

5. הפעל את MongoDB:

sudo systemctl start mongod
    

2. התקנת Elasticsearch

Elasticsearch הוא מנוע החיפוש שעליו Graylog מתבסס. התקן את Elasticsearch כדלקמן:

1. הוסף את המפתח הציבורי של Elasticsearch:

wget -qO - https://artifacts.elastic.co/GPG-KEY-elasticsearch | sudo apt-key add -
    

2. הוסף את המאגר:

echo "deb https://artifacts.elastic.co/packages/7.x/apt stable main" | sudo tee -a /etc/apt/sources.list.d/elastic-7.x.list
    

3. עדכן את המאגרים:

sudo apt-get update
    

4. התקן את Elasticsearch:

sudo apt-get install elasticsearch
    

5. הפעל את Elasticsearch:

sudo systemctl start elasticsearch
    

3. התקנת Graylog

עכשיו, נתקין את Graylog עם הפקודות הבאות:

1. הוסף את המפתח הציבורי של Graylog:

wget -qO - https://packages.graylog2.org/repo/Graylog_Repository_Provider.asc | sudo apt-key add -
    

2. הוסף את המאגר של Graylog:

echo "deb https://packages.graylog2.org/repo/debian/4.2/ stable main" | sudo tee /etc/apt/sources.list.d/graylog.list
    

3. עדכן את המאגרים:

sudo apt-get update
    

4. התקן את Graylog:

sudo apt-get install graylog-server
    

5. הפעל את Graylog:

sudo systemctl start graylog-server
    

הגדרת Graylog ואיסוף לוגים

1. הגדרת Inputs לאיסוף לוגים

כדי לאסוף לוגים, יש להגדיר Input ב- Graylog:

1. בצע כניסה לממשק ניהול Graylog דרך הדפדפן בכתובת: http://<כתובת ה-IP שלך>:9000
2. בחר ב- “System / Inputs”.
3. בחר את סוג ה- Input הרצוי (למשל, Syslog UDP) ולחצו על “Launch new input”.
4. מלא את המידע הדרוש והתחל את ה- Input.

2. יצירת Extractors

Extractors מסייעים לעבד את הלוגים הנכנסים:

1. בחר את ה- Input שיצרת.
2. לחץ על “Manage extractors”.
3. לחץ על “Add extractor” ובחר את סוג ה-extractor (כמו “Grok Pattern”).
4. מלא את ההגדרות הנדרשות.

3. יצירת סטרימים ודשבורדים

סטרימים מאפשרים לסנן לוגים לפי קריטריונים:

1. חזור ל-“Streams” ולחץ על “Create stream”.
2. מלא את הפרטים הנדרשים והגדר חוקים עבור הסינון.
3. כעת, תוכל ליצור דשבורדים על מנת לחזות בנתונים.
4. בחר “Dashboards” ולחץ על “Create dashboard” והוסף את ה- Streams שיצרת.

שימושים באבטחת מידע

Graylog מאפשר לזהות אירועים חשודים, לשלוח התראות למנהלי המערכת ולבצע ניתוחים על אירועים לא שגרתיים.

איומים וסיכונים

זיהוי מאמצי תקיפה, דליפות מידע, והתקפות DDoS הפכו לנפוצים. יש צורך לנקוט באמצעים:

פתרונות

Graylog מזהה אנומליות בלוגים ומספק יכולות של התראות בזמן אמת, כך שניתן להגיב במהירות.

שיטות פתרון בעיות

ייתכן שתיתקל בכמה בעיות נפוצות בזמן ההתקנה:

• Elasticsearch לא מתחיל: בדוק את קבצי היומן של Elasticsearch ב- /var/log/elasticsearch.
• Graylog לא מצליח לא להתחבר ל-MongoDB: ודא ש-MongoDB פועל ושהגדרות ההתחברות מדויקות.

סיכום

בסיום המדריך, למדת כיצד להתקין ולנהל את Graylog כדי ליצור מערכת ניהול לוגים ריכוזית. השימוש ב- Graylog באבטחת מידע מאפשר זיהוי מהיר של איומים והתראות בזמן אמת. כעת, מומלץ להמשיך ולחקור את אפשרויות הדוח והניתוח שמספק Graylog עוד יותר על מנת לשפר את יכולות האבטחה שלך.