Graylog, Jira, Confluence, GitLab und ntopng sind die neuen unabdingbaren Tools im Werkzeugkasten des System- und Netzwerkadministrators. Sicher, da sind tausende Produkte verfügbar die diesem das Leben einfacher machen, aber lesen Sie hier weiter warum gerade diese Produkte so nützlich sind und einer genaueren Betrachtung verdienen.

Graylog ist eine besondere Form der Monitoring Software. Graylog kann von anderen Systemen Nachrichten empfangen und diese dann aufbereiten. Beispielsweise kann man die Windows Events aus dem Eventlog mit einer kleinen Zusatzsoftware an den Graylog Server senden und dort sind dann die Logs entweder durchsuchbar oder visualisierbar.  Sie könnten mittels Regular Expressions in den Daten suchen und die Treffer ausgeben lassen, oder eine Anzahl der Treffer in einem Histogramm ausgeben lassen. Alle nötige Software zum Betrieb eines Graylog Servers ist kostenlos verfügbar, und sofern man OpenJDK nutzt sogar OpenSource,

Außerdem lassen Sich GNU/Linux Server Logs an den Graylog Server senden und auswerten. Ein denkbares Einsatzszenario ist die Webserver Logs zu monitorn und ausgeben zu lassen wenn sich in den Logs Server Errors aufbauen.

Es reizt der Gedanke daran, alle Serverlogs zentralisiert an einer Stelle einsehen zu können, dies erleichter die Arbeit ungemein und man muss nicht unbedingt immer auf den einzelnen Servern nach Fehlern suchen, sondern kann diese nahezu in Echtzeit auf der Graylog Instanz sehen.

Die Software hat eine Reihe Abhängigkeiten die benötigt werden um zu funktionieren, dabei kann diese auf dem gleichen System installiert sein, oder auch auf eigenen Systemen. Diese Überlegungen sollten in größeren Umgebungen sicherlich beachtet werden und Graylog selbst kann auch geclustert werden. Die benötigten System für Graylog sind

Damit Graylog selbst funktioniert wird ein JDK auf dem System benötigt (das von Oracle funktioniert sicher, OpenJDK habe ich nicht getestet wird jedoch in manchen Anleitungen verwendet also sollte es damit auch klappen) und pwgen um einen Password Hash zu errechnen (damit muss dann kein Passwort im Klartext in Config files hinterlegt werden).

Außerdem müssen eien Reihe von Ports auf dem System(en) geöffnet werden, damit das System reibungslos funktioniert.

Eine halbwegs funktionierende Anleitung befindet sich auf profitbricks.com. Allerdings war etwas Nacharbeit nötig um das System zum lauschen und zur Zusammenarbeit mit Elasticsearch zu bewegen… Es schienen nicht alle Ports richtig geöffnet zu werden, so dass keine Verbindung zu Elasticsearch zu stande kam, den Part mit dem hinzufügen von Paths zur Environment Variable würde ich auslassen. Beachten Sie dass die Konfiguration durchaus nach der Installation noch angepasst werden kann, in meinem Falle waren es lediglich einige Stellen in den Config Files von Elasticsearch und Graylog.

In diesem Video können Sie sehen, was noch nötig ist, um das Windows Event Log eines Windows Systems an Graylog zu senden und was auf dem Graylog Server konfiguriert werden muss damit dieser auch das Log annimmt:

https://www.youtube.com/watch?v=yGHohYM3Fk4

Wenn Sie Graylog nicht selbst auf einem Server installieren wollen, können Sie auch einfach eine vorgefertigte Appliance oder Container von der Graylog Website herunterladen!

Dies war der erste Part der kleinen Beitragsserie zu den Sysadmin Tools.