OSI:Netmon/Instalace Graylog

Instalace

• je jednoduchý proces https://docs.graylog.org/en/latest/pages/installation/os/debian.html

Repozitář s konfigurací

• GitLab/KPS/netmon-conf

Nastavení

• Zvýšení paměti pro Javu jak pro Graylog tak pro Elasticsearch na 5 GB (pro případ složitějších dotazů a plynulejší běh)

/etc/default/elasticsearch - ES_JAVA_OPTS="-Xms5g -Xmx5g"
/etc/default/graylog-server - GRAYLOG_SERVER_JAVA_OPTS="-Xms5g -Xmx5g ..."

• Přidat možnost wildcard full-text vyhledávání *text* (pozor nepřidávat dotazy s těmito znaky do dashboardů - výkon)

/etc/graylog/server/server.conf - allow_leading_wildcard_searches = true

Správa uživatelů

• Uživatelé nejsou automaticky generováni po přihlášení přes shibolet. Je třeba je nejdříve vytvořit - System -> Users and Teams. Username se nastavuje na orion jméno, dobré je vyplnit i email a time zoónu nastaviut na Europe/Prague pro správný čas logů. Heslo uživatelům je možné nastavit libovolně (ideálně nějaký hash), přes to se stejně neprovádí autentizace. Graylog má offline admina, kterému se generuje heslo při instalaci. Členové KPS mají normálně nastavenou roli Admin.

Přidání read-only uživatele

Śtejný postup jako přidání nového uživatele, ale je mu nastavena pouze role Reader (výchozí nastavení). Tomuto uživateli se pak musí nasdílet potřebné streamy - Streams -> Share -> Viewer -> Add. Pak může tento uživatel používat Search funkcionalitu s konkrétním streamem. Pokud mu předvytvoříme dashboard, tak i ten je nutnéí uživateli nasdílet - Dashboards -> Share -> Viewer -> Add.