OSSのログ分析ツール「Graylog」を仮想アプライアンスで使ってみる
Pocket

ログ分析ツールを調べていたところ、「Graylog」というツールがよさそうなので少し試してみることにした。
OSを用意してインストールが必要かと思っていたが、仮想アプライアンスが用意されているようなのでまずはそれを使ってみることにする。

1.導入

VMware ESXiのovaファイルの場合はこちら、KVMでqcow2の場合はこちらからダウンロードし、それぞれの仮想基盤上で利用できるようデプロイする。
デプロイ後、VMを起動させて初期設定を行う。以下の画面になったら、ID/PW「ubuntu/ubuntu」でログインする。

20160703_162623000000

 

ログイン後、普通にUbuntuでやるように「/etc/network/interface」を編集して固定IPアドレスを設定し、ブラウザからアクセスする。
このとき、もしnmapしてsshしか上がってない場合は、コンソールから以下のコマンドを実行してやるとサービスが上がると思う。

sudo graylog-ctl reconfigure

 

ブラウザでアクセスしたら、ID/PW「admin/admin」でログインする。

20160703_182142000000

Sponsored Links

2.ログを飛ばす

さて、それではクライアントからGraylogにログを飛ばすようにしてみよう。
今回は、手元のCentOS 7からrsyslog経由でログを飛ばすように設定する。

まず、Graylogの管理画面で、[System] > [Input]を選択、「Syslog TCP」を選択して「Launch new input」をクリックする。

20160703_200635000000

 

タイトルを入力し、「Store full message?」にチェックを入れてSaveする。

20160703_210259000000

 

あとは、クライアント側であるCentOS 7側で「/etc/rsyslog.conf」を編集して以下の内容を追記し、サービスを再起動する。

$WorkDirectory /var/lib/rsyslog # where to place spool files
$ActionQueueFileName fwdRule1 # unique name prefix for spool files
$ActionQueueMaxDiskSpace 1g # 1gb space limit (use as much as possible)
$ActionQueueSaveOnShutdown on # save messages to disk on shutdown
$ActionQueueType LinkedList # run asynchronously
$ActionResumeRetryCount -1 # infinite retries if host is down
*.* @IPアドレス:514
*.* @@IPアドレス:514

 

サービスの再起動コマンド。

systemctl restart rsyslog

 

あとは、しばらく経てばGraylog側にログが転送されていく。

Pocket

Written by blacknon

インフラ系のSE。一時期はプログラマ。 仮想化とオープンソースに興味あり。一日中寝てたい今日このごろ。 スペインとかで働きたいなぁ…(シエスタがあるので)

Leave a Comment

メールアドレスが公開されることはありません。