แนะนำ Graylog เป็นระบบจัดการ log management แบบโอเพ่นซอร์ส มี Web UI สำหรับค้นหาและวิเคราะห์ log

Graylog เป็นระบบจัดการ log management แบบโอเพ่นซอร์สที่ช่วยรวบรวม วิเคราะห์ และแสดงผลข้อมูล Log จากแหล่งต่าง ๆ เช่น เซิร์ฟเวอร์, แอปพลิเคชัน, Firewall, อุปกรณ์เครือข่าย ในรูปแบบที่เข้าใจง่าย โดยสามารถค้นหาและวิเคราะห์ Log ผ่าน Web UI

🔹 คุณสมบัติหลักของ Graylog

1. Centralized Logging
   • รวม Log จากหลายแหล่ง เช่น Linux, Windows, Firewall, Database, Web Server
2. Powerful Search & Analysis
   • ค้นหาและวิเคราะห์ Log ได้ง่ายผ่าน Web Interface
3. Real-time Log Processing
   • ตรวจจับและแจ้งเตือนปัญหาทันที (เช่น การโจมตี, Error ในระบบ)
4. Scalability
   • รองรับปริมาณ Log จำนวนมาก สามารถขยายระบบได้โดยเพิ่ม Node
5. Integration กับ SIEM & Security Tools
   • ใช้ร่วมกับ Elasticsearch, Kibana, Grafana, Splunk และเครื่องมือด้าน Cyber Security อื่น ๆ

🔹 โครงสร้างของ Graylog

Graylog ใช้ 3 ส่วนหลัก:

1. Graylog Server – ตัวกลางจัดการ Log และให้บริการ Web UI
2. Elasticsearch – ใช้จัดเก็บและค้นหา Log อย่างมีประสิทธิภาพ
3. MongoDB – เก็บข้อมูลการตั้งค่าของ Graylog

🔹 การติดตั้ง Graylog บน Ubuntu 22.04

1. ติดตั้ง Java 17 (OpenJDK)

sudo apt update
sudo apt install openjdk-17-jdk -y

ตรวจสอบเวอร์ชัน:

java -version

ติดตั้ง Elasticsearch

wget -qO - https://artifacts.elastic.co/GPG-KEY-elasticsearch | sudo apt-key add -
echo "deb https://artifacts.elastic.co/packages/7.x/apt stable main" | sudo tee -a /etc/apt/sources.list.d/elastic-7.x.list
sudo apt update
sudo apt install elasticsearch -y

แก้ไขค่าคอนฟิก /etc/elasticsearch/elasticsearch.yml:

sudo nano /etc/elasticsearch/elasticsearch.yml

เพิ่ม/แก้ไข:

cluster.name: graylog
action.auto_create_index: false

เริ่มบริการ:

sudo systemctl enable --now elasticsearch

ติดตั้ง MongoDB

wget -qO - https://www.mongodb.org/static/pgp/server-6.0.asc | sudo apt-key add -
echo "deb [ arch=amd64,arm64 ] https://repo.mongodb.org/apt/ubuntu jammy/mongodb-org/6.0 multiverse" | sudo tee /etc/apt/sources.list.d/mongodb-org-6.0.list
sudo apt update
sudo apt install mongodb-org -y
sudo systemctl enable --now mongod

ติดตั้ง Graylog

wget https://packages.graylog2.org/repo/packages/graylog-5.0-repository_latest.deb
sudo dpkg -i graylog-5.0-repository_latest.deb
sudo apt update && sudo apt install graylog-server -y

5. ตั้งค่า Graylog

สร้างรหัสผ่าน Admin (ใช้ค่าที่ได้ไปใส่ใน server.conf):

echo -n "P@ssw0rd" | sha256sum

แก้ไขไฟล์คอนฟิก:

sudo nano /etc/graylog/server/server.conf

ตั้งค่า:

password_secret = ใส่ค่า Random ที่สร้างจาก `pwgen -N 1 -s 96`
root_password_sha2 = ใส่ค่า Hash ที่ได้จาก `sha256sum`
http_bind_address = 0.0.0.0:9000

รีสตาร์ท Graylog:

sudo systemctl enable --now graylog-server

6. เข้าใช้งาน Web UI

เปิดเว็บเบราว์เซอร์แล้วเข้า:

http://<Graylog-IP>:9000

เข้าสู่ระบบด้วย:

• Username: admin
• Password: (ตามที่ตั้งไว้ใน server.conf)

🔹 การเชื่อมต่ออุปกรณ์ให้ส่ง Log เข้า Graylog

Linux (Rsyslog)

เพิ่มค่าใน /etc/rsyslog.conf

*.* @192.168.1.100:514;RSYSLOG_SyslogProtocol23Format

(เปลี่ยน 192.168.1.100 เป็น IP ของ Graylog Server)
แล้วรีสตาร์ท Rsyslog:

sudo systemctl restart rsyslog

Fortigate Firewall

config log syslogd setting
    set status enable
    set server "192.168.1.100"
    set port 514
    set format default
end

🔹 สรุป

• Graylog เป็นระบบ Log Management แบบโอเพ่นซอร์ส ที่ช่วยรวบรวมและวิเคราะห์ Log ได้อย่างมีประสิทธิภาพ
• รองรับ Web UI ใช้งานง่าย พร้อม Elasticsearch & MongoDB
• เหมาะสำหรับองค์กรที่ต้องการจัดการ Log Security, SIEM, Network Monitoring