Как установить Graylog 5.2?

❗️ Репозитории из РФ недоступны.
❗️ Все действия происходят под рутом.

Для запуска нужны MongoDB, Opensearch и сам #Graylog 5.2.

1. Устанавливаем MongoDB
Сначала устанавливаем дополнительные пакеты

apt update; apt install gnupg software-properties-common apt-transport-https ca-certificates build-essential libjpeg-dev libpng-dev libtiff-dev curl wget pwgen

Ставим ключ

curl -fsSL https://pgp.mongodb.com/server-7.0.asc | gpg  --dearmor -o /etc/apt/trusted.gpg.d/mongodb-server-7.0.gpg

Прописываем репозиторий

echo "deb [ arch=amd64,arm64 ] https://repo.mongodb.org/apt/ubuntu jammy/mongodb-org/7.0 multiverse" | tee /etc/apt/sources.list.d/mongodb-org-7.0.list

Ставим mongodb

apt update; apt install mongodb-org

Закидываем в автозапуск и запускаем mongod

systemctl enable mongod
systemctl start mongod; systemctl status mongod

Если это всё происходит на виртуальной машине Proxmox и не запускается MongoDB, то здесь описывал проблемы и возможное решение.

2. Устанавливаем Opensearch
Opensearch форк Elastacsearch, потому что были изменения в лицензиях Elastacsearch и некоторым разрабочикам это не понравилось.
Ставим ключ

curl -fsSL https://artifacts.opensearch.org/publickeys/opensearch.pgp | gpg --dearmor -o /etc/apt/trusted.gpg.d/opensearch.gpg

Прописываем репозиторий

echo "deb https://artifacts.opensearch.org/releases/bundle/opensearch/2.x/apt stable main" | tee /etc/apt/sources.list.d/opensearch-2.x.list

Обновляемся и прописываем пароль для установки (лучше сохранить его или в окружении добавить):

apt update
export OPENSEARCH_INITIAL_ADMIN_PASSWORD=XXXXXXX

Ставим Opensearch

apt install opensearch

Далее надо поправить конфиг под Graylog

nano /etc/opensearch/opensearch.yml
cluster.name: graylog52
node.name: ${HOSTNAME}
path.data: /var/lib/opensearch
path.logs: /var/log/opensearch
discovery.type: single-node
network.host: 0.0.0.0
#или 127.0.0.1
action.auto_create_index: false
plugins.security.disabled: true

И ещё конфиг

nano /etc/opensearch/jvm.options
-Xms4g
-Xmx4g
sysctl -w vm.max_map_count=262144
echo 'vm.max_map_count=262144'  >> /etc/sysctl.conf

Закидываем в автозапуск и запускаем opensearch

systemctl daemon-reload
systemctl enable opensearch.service
systemctl start opensearch.service; systemctl status opensearch.service

Проверяем работу

curl -X GET http://localhost:9200 -u ‘admin:admin’

Должна вернуться информация о версии, названии и т.п.

3. Устанавливаем Graylog
Качаем

wget https://packages.graylog2.org/repo/packages/graylog-5.2-repository_latest.deb

И устанавливаем

dpkg -i graylog-5.2-repository_latest.deb
apt update && apt install graylog-server 

Далее надо сделать password_secret и root_password_sha2
Для password_secret

pwgen -N 1 -s 96

Для root_password_sha2

echo -n "Enter Password: " && head -1 </dev/stdin | tr -d '\n' | sha256sum | cut -d" " -f1

И теперь настраиваем конфиг Graylog’a

nano /etc/graylog/server/server.conf
is_leader = true
node_id_file = /etc/graylog/server/node-id
password_secret = PASSWORD_PWGEN
root_password_sha2 =  PASSWORD_ROOT_SHA2
bin_dir = /usr/share/graylog-server/bin
data_dir = /var/lib/graylog-server
plugin_dir = /usr/share/graylog-server/plugin
http_bind_address = IP_ADDRESS:9000
stream_aware_field_types=false
elasticsearch_hosts = http://127.0.0.1:9200
disabled_retention_strategies = none
allow_leading_wildcard_searches = false
allow_highlighting = false
output_batch_size = 500
output_flush_interval = 1
output_fault_count_threshold = 5
output_fault_penalty_seconds = 30
processbuffer_processors = 5
outputbuffer_processors = 3
processor_wait_strategy = blocking
ring_size = 65536
inputbuffer_ring_size = 65536
inputbuffer_processors = 2
inputbuffer_wait_strategy = blocking
message_journal_enabled = true
message_journal_dir = /var/lib/graylog-server/journal
lb_recognition_period_seconds = 3
mongodb_uri = mongodb://localhost/graylog
mongodb_max_connections = 1000

Закидываем в автозапуск и запускаем graylog

systemctl daemon-reload
systemctl enable graylog-server.service
systemctl start graylog-server.service; systemctl status graylog-server.service

😉 На сайте

Когда-то делал заметку на сайте про поиск хостов по пингам. Сейчас немного поправил команды, чтобы не было повторений при отправке нескольких пакетов и результат был отсортирован.

echo 10.126.0.{1..20} | xargs -n1 -P0 ping -c1 | grep "bytes from" | grep 10.126.0 | awk {'print $4'} | sort | uniq | sed 's/.\{1\}$//'

Вообще есть удобный сайт по расшифровке команд. Там подтягивается информация из манов и описывается что есть что.
Например, вот здесь есть расшифровка команд выше.

#linux@itmxav

😉 На сайте

Сделал копию страницы itmxav.github.io - it.mxav.ru/bkpgh/ и добавил кнопки "backup" для скачивания скриптов напрямую (например, wget, curl), если вдруг GH недоступен.
Так глядишь и дойдут руки выложить ещё что-то по конфигам/скриптам 😊

Вылетел и не поднимается OSD в Ceph+Proxmox

Столкнулся с ситуацией, что один OSD в Ceph вылетел, хотя сам диск виден. После выяснения обстоятельств оказалось, что человек случайно ногой зацепил диск в стойке, когда менял провода, и потом вставил его назад. Ceph работает в связке с Proxmox. Попытки поднять OSD оказывались печалью и путь /dev/sdX, после возвращения диска, изменился на другой.
Т.к. ресурсы были, то можно было пойти «стандартным» маршрутом пересоздания OSD:

1. Диск отмечен как Out.
2. Удаляем OSD. В разделе Ceph(главное не ошибиться с OSD)→More→Destroy
3. Далее выбираем узел → Disks→Выбираем нужный диск и стираем его «Wipe Disk»
4. После в разделе Ceph добавляем диск как новый OSD.
Естественно, будет перебалансировка ресурсов в фоне.

#ceph@itmxav
#proxmox@itmxav

😉 На сайте

Ошибка %ADJ-3-RESOLVE_REQ на Cisco 3560-X


На одной из Cisco 3560-X в логи сыпались постоянно ошибки:

%ADJ-3-RESOLVE_REQ: Adj resolve request: Failed to resolve xx.xx.xx.xx VlanXX

Т.к. на Cisco нет какой-то сложной конфигурации, то помогло:

no ip cef optimize neighbor resolution 

Некоторые писали, что это может быть баг на конкретной железке. Некоторые писали, что может вырасти нагрузка на ЦП, по умолчанию включен параметр. В моем случае нагрузка не изменилась и ошибки ушли.

#сети@itmxav
#cisco@itmxav

😉 На сайте

Защита от простых наплывов запросов в Nginx

Часто, когда сайт начинает становится более популярным, всякие нехорошие люди (ботов люди создают) пытаются его положить наплывом запросов.
Можно попытаться защититься стандартными решениями на Nginx. В качестве ответов сервера здесь выдается 444 код (закрывает соединение без отправки данных), но можно ставить тот, который посчитаете нужным.

1. Когда в запросах идут левые заголовки, то можно оставить только нужные, а по остальным не отвечать:

if ($request_method !~ ^(GET|POST|HEAD)$ ) {
    return 444;
}

2. Если запросы идут внешне нормальные, но с разными http_referer (например, с взломанных сайтов), то можно вести черные список при помощи map.
2.1 Перед разделом server в vhost создаем map

map $http_referer $bad_referer {
default 0;
"~https://example.com" 1;
}

Аналогично example.com можно добавлять в новой строке и другие http_referer.
2.2 В разделе server создаем условие на проверку

if ($bad_referer) { 
return 444;
}

Если в http_referer указан https://example.com, то он будет получать 444 от Nginx.

3. Если нужно ограничить количество запросов от IP-адресов, но некоторые адреса надо исключить, то можно применять limit_req со списком исключений (geo+map).
3.1 Формируем список перед разделом server в vhost

geo $limited_net {
     default 1;
     192.168.1.0/24 0;
}

Сеть 192.168.1.0/24 будет в исключениях.
3.2 Создаем map c $binary_remote_addr

map $limited_net $addr_to_limit {
    0  "";
    1  $binary_remote_addr;
}

$binary_remote_addr - параметр в Nginx, который отвечающий за адрес клиента.
3.3 Перед разделом server создаем условия по запросам. В данном случае создаем зону reqtest, где возможно отправлять с одного IP 10 запросов в секунду.

limit_req_zone $addr_to_limit zone=reqtest:10m rate=10r/s;

3.4 В location ставим limit_req с возможностью всплеска 50:

limit_req zone=reqtest burst=50;

Если нужно без задержек обрабатывать всплески, то надо добавить nodelay после burst. Если запросы выше всплеска, то будут отбрасываться.

4. Если надо ограничить количество одновременных запросов от IP-адреса, то можно применить limit_conn.
4.1 Перед разделом server создаем зону.

limit_conn_zone $binary_remote_addr zone=conntest:10m;

4.2 В разделе server указываем условия одновременных подключений. В данном примере 30.

limit_conn conntest 30;

Конечно, это всё защита не от серьезного DDOS'a, но в блокировке всяких мутных ботов может помочь. Плюс хорошо бы ещё добавить fail2ban для выявления и блокирования странных запросов в логах.

#devops@itmxav

😉 На сайте

Быстрая сортировка и удаление повторяющихся строк через терминал Linux

Короткая заметка, чтобы можно было быстро найти.
Иногда надо быстро отсортировать строки через терминал в Linux и убрать повторения.
Здесь хорошо может помочь конвейерные способы

cat file.txt | sort | uniq

или

sort file.txt | uniq

Или sort через параметр -u

sort -u file.txt

#linux@itmxav

😉 На сайте

❗️Новости

Добавил теги к заметкам. Текущие теги можно посмотреть в закрепленном сообщении.

Хорошего дня 😊

Запросы с User-Agent claudebot

В последнее время много запросов с User-Agent "claudebot" прилетает от разных IP.
Если загуглить, то Claudebot, возможно, относится к конторе Anthropic, которая работает по теме AI, хотя с РФ не дружит.
Может просто совпадение.
Зачем этот сканер нужен остается загадкой, но на всякий случай его можно заблокировать.

#devops@itmxav

😉 На сайте

Блокирование ботов по User-Agent в Nginx

Короткая заметка, чтобы можно было быстро найти.
Недавно касался темы ботов. Самый простой вариант заблокировать ботов по User-Agent в Nginx

if ($http_user_agent ~* (GPTBot|claudebot|GeedoProductSearch|GeedoBot|Amazonbot|Bytespider|SeopultContentAnalyzer|SeekportBot|DataForSeoBot|Barkrowler|BLEXBot|SemrushBot|MJ12bot|AhrefsBot|bingbot|DotBot|PetalBot|LinkpadBot|SputnikBot|statdom.ru|MegaIndex.ru|WebDataStats|Jooblebot|Baiduspider|BackupLand|NetcraftSurveyAgent|openstat.ru|thesis-research-bot|fidget-spinner-bot|facebookexternalhit)){
return 444;
}

Если не хочется загружать конфиг, то можно вынести в отдельное место и подключить файл через include.

#devops@itmxav

😉 На сайте

Сбор конфигурации Zelax в Oxidized

Столкнулся с ситуацией, что для коммутаторов Zelax 30ХХ, на данный момент, нет модели в Oxidized.
В качестве тестового примера можно закоментить лишнее в ios.rb и назвать файл типа zlx.rb в папке model, потому что синтаксис необходимых команд схож.
В router.db можно добавить

NameRouter:zlx:cisco:IPAddress

В config можно добавить:

groups:
       cisco:
          username: usernameZLX
          password: passwordZLX
model_map:
       cisco: zlx

Конечно, пользователь на Zelax был создан заранее с нужным уровнем и нужными разрешенными командами, как в Cisco.
В тестовом варианте конфиг собрался. Может модель скоро и в официальном репозитории Oxidized появится.

#сети@itmxav
#devops@itmxav

😉 На сайте

Ведение записей в Telegram

Когда так или иначе обрабатываешь много информации, то часто надо делать заметки для себя. Возникает потребность в каком-нибудь приложении, чтобы записи можно быть открыть на смартфоне и на компьютере под разными операционными системами. Конечно, таких приложений много, и платных, и бесплатных: Google Keep, Evernote, Simplenote и т. д. Если есть возможность держать сервер, то можно, например, Nextcloud приспособить или сделать свой небольшой сайт в стиле ToDo-листа.

Пробовал разные варианты, но остановился всё же на Telegram, потому что он отвечал на мои критерии:
- Кроссплатформенность. Поддерживает разные операционки и можно даже через браузер зайти, если потребуется.
- Очень прост в управлении. Пишешь просто сообщение, а если задача выполнена или сообщение стало неактуально — удаляешь сообщение.
- Можно организовать многопользовательский режим. Просто добавить ещё человека и совместно обсуждать темы. Можно и без этого обойтись, но приятный момент.
- Можно передавать файлы.
- Можно делать отложенные сообщения. Некий аналог напоминалок в календаре.
- Можно общаться в рамках тем и поднять старое сообщение, если потребуется.
- Есть возможности закрепления тем и сообщений.
- Можно вести видеотрансляции через obs или просто созваниваться там же, где записи делаются. Конечно, эта функциональность необязательна, но приятный момент.

Думаю, что уже понятно как организовать такое в Telegram, но всё же кратко опишу:
1. Создаем группу и называем её как-то.
2. Переходим в редактирование группы и тыкаем включить темы. По умолчанию они выключены.
3. Дальше нажимаем в группе на круглую кнопку создать тему.
4. Называем тему и пишем сообщения по этой теме. Так можно создавать много тем.

Для примера прикладываю скриншот. Если у кого-то есть другие удобные варианты ведения записей, то пишите.

#разное@itmxav

🔗 На сайте

Zelax не отправляет логи в Graylog

Наткнулся на ситуацию, когда логи с оборудования Zelax не появляются в Graylog.

Сначала надо настроить Zelax. В документации почему-то информация по настройке Syslog'а yt подходит и настраивается немного иначе:
1. Включаем info-center

info-center enable

2. Указываем источника для канала

info-center source debug level 7 prefix on channel 2

Пояснения:
level Х - уровень сообщений (0 - emergencies, 1 - alerts, 2 - critical, 3 - errors, 4 - warnings, 5 - notifications, 6 - informational, 7 - debugging);
channel X - номер канала, где часть каналов уже определена:
channel 0 - передача сообщений уровня debugging в консоль;
channel 1 - передача сообщений уровня debugging в терминальный монитор;
channel 2 - зарезервирован под передачу на Syslog-сервер;
channel 3 - передача debugging trap в буфер;
channel 4 - передача сообщений уровня warning в память (logsdram);
channel 5 - передача сообщений уровня critical в память (lognvram).
3. Направляем вывод на сервер Graylog

info-center loghost IP_ADDRESS facility local7 channel 2

Пояснения:
IP_ADDRESS - адрес сервера;
facility - категория сообщения для сервера;
channel X - номер канала, который должен совпадать с предыдущей настройкой.

И, вроде, должно всё заработать. По анализатору трафика видно, что все пакеты доходят, но почему-то отображения логов нет.
Момент заключается в том, что Graylog не обрабатывает полученные пакеты, пока в Zelax не будет установлены параметры времени.
Настраиваем:

ntp enable
ntp server IP_ADDRESS_SERVER
clock timezone MSK add 3 0

Странно. На Cisco, Huawei, Eltex, HPE таких моментов нет и Graylog сам фиксирует время, главное чтобы данные пришли, а здесь нет 😐

#zelax@itmxav
#сети@itmxav

🔗 На сайте

Быстрый поиск файлов в Linux, содержащих определенный текст

Короткая заметка, чтобы можно было отыскать.
Когда надо быстро найти файлы с определенным текстом, то можно перейти в нужную папку и использовать grep:

grep -iRl "нужный_текст" ./

Главное не потерять точку перед /, а то поиск будет производиться от корня.

#linux@itmxav

🔗 На сайте

Как проверить fstab в Linux?

Иногда требуется проверить файл /etc/fstab.
Перед внесением изменений лучше забэкапить fstab.

cp -p /etc/fstab /etc/fstab.bak

Можно рассмотреть вариант с ключом -a. Т.е. смонтируются всё, что указано в fstab.

mount -a

Как вариант, можно использоваться mount с фейковым подключением, т.е. проверка без внесения изменений. Главное не использовать ключ -f во FreeBDS. Там значение ключа другое - force.

mount -fav

Либо через findmnt можно сделать проверку.

findmnt --verify --verbose

#linux@itmxav

🔗 На сайте

Как настроить Syslog на Cisco ASA 5500 серии?

Для начала надо настроить время. Указываем зону и NTP-сервер:

clock timezone MSK/MSD 3
ntp server IP_NTP_server source inside

Далее настроиваем куда отправлять логи. Отправляем логи через inside-интерфейс и указываем, что отправляем их на порт 1234. По умолчанию 514 порт, но иногда лучше поменять порт. Например, Graylog почему-то не хотел логи с 514 порта обрабатывать, хотя логи других нормально обрабатывались.

logging enable
logging trap informational
logging asdm errors
logging device-id string ASA55ver
logging host inside IP_syslog 17/1234

#cisco@itmxav
#сети@itmxav

🔗 На сайте

Изменения в скрипте с оповещением в RocketChat

Немного подправил payload в скрипте с оповещением в RocketChat. Посмотреть/скачать можно с сайта или Github'а.
Плюс так можно легко найти нужное сообщение через поиск в RocketChat'е. Почему-то поиск не может найти текст в attachments сообщения.

📝 Другие заметки по RocketChat:
- Как исправить apparmor DENIED в snap.rocketchat-server.rocketchat-mongo?
- Как сделать резервное копирование данных rocketchat server?
- Как обновить Rocket.chat через snap?
- Как сбросить пароль RocketChat (admin) SNAP?

#devops@itmxav

🔗 На сайте

Как посмотреть логи контейнера в Docker?

Просто посмотреть логи контейнера:

docker logs NameContainer

Отслеживать появляющиеся новые сообщения в логах:

docker logs -f NameContainer

Посмотреть логи за определенный период:

docker logs -f NameContainer --since 2024-04-30 --until 2024-05-01

📝 Другие заметки по Docker:
- Простая установка Docker
- Как установить docker-compose?
- Как собрать образ из контейнера Docker для отправки в реестр?
- Как работать с Docker под своим пользователем?
- Как узнать ip контейнера docker?

#docker@itmxav
#devops@itmxav

🔗 На сайте

Как зеркалировать трафик на коммутаторе Huawei S5700?

Чтобы зеркалировать трафик надо указать куда зеркалировать, откуда и какой трафик (входящий и/или исходящий).

1. Переходим в режим конфигурирования:

system-view

2. Выбираем порт наблюдения. Например 11

observe-port 1 interface GigabitEthernet0/0/11

3. Указываем порт откуда трафик зеркалировать. Например 10:

interface GigabitEthernet 0/0/10
port-mirroring to observe-port 1 both
quit

Если требуется только входящий трафик зеркалироваться, то

port-mirroring to observe-port 1 inbound

Только исходящий

port-mirroring to observe-port 1 outbound

4. Посмотреть порт наблюдения:

display observe-port

5. Посмотреть порт зеркалирования:

display port-mirroring

📝 Другие заметки по Huawei:
- Как задать время на коммутаторе Huawei?
- Как поменять старый пароль на новый на Huawei?

#huawei@itmxav
#сети @itmxav

🔗 На сайте

Как заблокировать сайты на Squid?

Чтобы заблокировать сайты на прокси со Squid надо:
1. Создать список с сайтами для блокировки

nano /etc/squid/blacklistsites

или

nano /etc/squid3/blacklistwebsites

2. Добавляем сайты в список. Например:

site1\.ru
site2\.ru

Т.к. работа будет происходить по регулярным выражениям,то точку надо экранировать
3. В начале acl'ов указываем каким адресам надо проверять список. В данном примере 10 сети:

acl url_filtred src 10.0.0.0/8

и ниже указываем сам пуст к списку:

acl blacklistsites url_regex -i "/etc/squid/blacklistwebsites"

4. Перед всеми http_access указываем, что надо блокировать соединения из списка:

http_access deny blacklistsites url_filtred

5. Проверяем конфиг:

squid -k parse

6. Если всё хорошо, то перечитываем конфигурационный файл без остановки Squid:

squid -k reconfigure

#linux@itmxav
#сети@itmxav

🔗 На сайте

Что-то как-то затянули они. Середина 24 года как бы 😁