흙수저의 엔지니어링

상황 설명

서버에 disk가 2개 연결되어 있습니다.

이 중 /dev/sdb 디스크가 사용되지 않고 있어서, /var/log/rsyslog 폴더에 mount를 할 계획입니다.

디스크 확인하기

• /dev/sda
• /dev/sdb

logmgmt@syslogserver:~$ sudo parted -l
Model: SEAGATE ST1000NM0023 (scsi)
Disk /dev/sda: 1000GB
Sector size (logical/physical): 512B/512B
Partition Table: msdos
Disk Flags:

Number  Start   End     Size    Type      File system     Flags
 1      1049kB  32.8GB  32.8GB  primary   linux-swap(v1)
 2      32.8GB  33.8GB  1023MB  extended
 5      32.8GB  33.8GB  1023MB  logical   ext4
 3      33.8GB  34.3GB  512MB   primary   fat32           boot, esp
 4      34.3GB  1000GB  966GB   primary   ext4


Model: ATA TOSHIBA MG03ACA2 (scsi)
Disk /dev/sdb: 2000GB
Sector size (logical/physical): 512B/512B
Partition Table: msdos
Disk Flags:

Number  Start   End     Size    Type     File system  Flags
 1      1049kB  2000GB  2000GB  primary  ntfs


logmgmt@syslogserver:~$

디스크 ubuntu에서 사용할 수 있도록 변환하기

• /dev/sdb

logmgmt@syslogserver:~$ sudo parted /dev/sdb
GNU Parted 3.4
Using /dev/sdb
Welcome to GNU Parted! Type 'help' to view a list of commands.
(parted) mklabel gpt
Warning: The existing disk label on /dev/sdb will be destroyed and all data on this disk will be lost. Do you want to continue?
Yes/No? yes
(parted) print
Model: ATA TOSHIBA MG03ACA2 (scsi)
Disk /dev/sdb: 2000GB
Sector size (logical/physical): 512B/512B
Partition Table: gpt
Disk Flags:

Number  Start  End  Size  File system  Name  Flags

(parted)

 mount 할 디스크의 partition 및 용량 설정하기

• /dev/sdb 용량 전체로 할당 (디스크 용량을 나눠 2개 이상으로 설정할 경우 partition은 2개 이상이 될 수 있음)
• /dev/sdb1 으로 partition 설정 (디스크로 사용할 수 있는 구역, 예 - C:\, D:\)

(parted) mkpart primary ext4 0% 100%
(parted) print
Model: ATA TOSHIBA MG03ACA2 (scsi)
Disk /dev/sdb: 2000GB
Sector size (logical/physical): 512B/512B
Partition Table: gpt
Disk Flags:

Number  Start   End     Size    File system  Name     Flags
 1      1049kB  2000GB  2000GB  ext4         primary

(parted) quit
Information: You may need to update /etc/fstab.

logmgmt@syslogserver:~$

mount할 디스크의 device 경로 확인하기

• /dev/sdb1 (partition이 늘어날 경우 /dev/sdb2 등으로 늘어날 수 있음)

logmgmt@syslogserver:~$ fdisk -l /dev/sdb
fdisk: cannot open /dev/sdb: Permission denied
logmgmt@syslogserver:~$ sudo fdisk -l /dev/sdb
Disk /dev/sdb: 1.82 TiB, 2000398934016 bytes, 3907029168 sectors
Disk model: TOSHIBA MG03ACA2
Units: sectors of 1 * 512 = 512 bytes
Sector size (logical/physical): 512 bytes / 512 bytes
I/O size (minimum/optimal): 512 bytes / 512 bytes
Disklabel type: gpt
Disk identifier: C016A0C2-47FB-4524-8662-62F857982457

Device     Start        End    Sectors  Size Type
/dev/sdb1   2048 3907028991 3907026944  1.8T Linux filesystem

mount할 디스크 포멧하기

logmgmt@syslogserver:~$ sudo mkfs -t ext4 /dev/sdb1
mke2fs 1.46.5 (30-Dec-2021)
/dev/sdb1 contains a ntfs file system labelled '새 볼륨'
Proceed anyway? (y,N) y
Creating filesystem with 488378368 4k blocks and 122101760 inodes
Filesystem UUID: fe303f5e-5ba7-49e4-8b14-f9a5347f2e42
Superblock backups stored on blocks:
        32768, 98304, 163840, 229376, 294912, 819200, 884736, 1605632, 2654208,
        4096000, 7962624, 11239424, 20480000, 23887872, 71663616, 78675968,
        102400000, 214990848

Allocating group tables: done
Writing inode tables: done
Creating journal (262144 blocks): # 엔터
done
Writing superblocks and filesystem accounting information: #엔터
done

logmgmt@syslogserver:~$

디스크 mount 하여 리눅스에서 사용하기

logmgmt@syslogserver:~$ sudo mount -t auto /dev/sdb1 /var/log/rsyslog
logmgmt@syslogserver:~$ df -m
Filesystem     1M-blocks  Used Available Use% Mounted on
tmpfs               1596     2      1594   1% /run
/dev/sda4         905596 12700    846822   2% /
tmpfs               7977     0      7977   0% /dev/shm
tmpfs                  5     0         5   0% /run/lock
/dev/sda5            943   191       688  22% /boot
/dev/sda3            488     7       481   2% /boot/efi
tmpfs               1596     1      1596   1% /run/user/128
tmpfs               1596     1      1596   1% /run/user/1000
/dev/sdb1        1876685     1   1781282   1% /var/log/rsyslog #mount 완료
logmgmt@syslogserver:~$

자동으로 mount 하기

• /etc/fstab에 등록하기 위해서는 disk의 UUID 정보가 필요

logmgmt@syslogserver:~$ sudo blkid | grep /dev/sdb1
/dev/sdb1: UUID="fe303f5e-5ba7-49e4-8b14-f9a5347f2e42" BLOCK_SIZE="4096" TYPE="ext4" PARTLABEL="primary" PARTUUID="39587ea9-0582-4082-b3d3-6b077fc63fc9"
logmgmt@syslogserver:~$

자동 mount 등록 설정하기 (/etc/fstab)

# /etc/fstab: static file system information.
#
# Use 'blkid' to print the universally unique identifier for a
# device; this may be used with UUID= as a more robust way to name devices
# that works even if disks are added and removed. See fstab(5).
#
# <file system> <mount point>   <type>  <options>       <dump>  <pass>
# / was on /dev/sda4 during installation
UUID=c64bd3a1-9b2a-4d9a-bfbf-1fd93994a1dc /               ext4    errors=remount-ro 0       1
# /boot was on /dev/sda5 during installation
UUID=f3d05dfd-77c8-4a66-b9ba-4ca013060550 /boot           ext4    defaults        0       2
# /boot/efi was on /dev/sda3 during installation
UUID=1785-5B0F  /boot/efi       vfat    umask=0077      0       1
# swap was on /dev/sda1 during installation
UUID=7d8047cd-6cb8-41ec-a532-c0d6d8e4de1f none            swap    sw              0       0
# /var/log/rsyslog was on /dev/sdb1 during installation
UUID=fe303f5e-5ba7-49e4-8b14-f9a5347f2e42 /var/log/rsyslog        ext4    defaults 0       1 # 등록

자동 mount 설정 오류 확인하기

• 메시지가 아무것도 없으면 정상 작동

logmgmt@syslogserver:~$ sudo mount -a
logmgmt@syslogserver:~$

CentOS 에서 ubuntu로 ELK를 재설치하여 기록을 남깁니다.

참고로 저는 최신 버전이 아닌 8.11.0 으로 설치합니다.

elastalert plugin이 8.11.0 까지 지원하네요.

https://github.com/Karql/elastalert-kibana-plugin/releases

아래의 3개는 elasticsearch나 logstash에서 설치하면 따로 하지 않아도 됩니다.

wget -qO - https://artifacts.elastic.co/GPG-KEY-elasticsearch | sudo gpg --dearmor -o /usr/share/keyrings/elastic-keyring.gpg

sudo apt-get install apt-transport-https

echo "deb [signed-by=/usr/share/keyrings/elastic-keyring.gpg] https://artifacts.elastic.co/packages/8.x/apt stable main" | sudo tee -a /etc/apt/sources.list.d/elastic-8.x.list

여기서부터 따라하시면 됩니다.

logmgmt@syslogserver:~$ apt list | grep kibana

WARNING: apt does not have a stable CLI interface. Use with caution in scripts.

kibana/stable 8.11.1 amd64
logmgmt@syslogserver:~$ sudo apt install kibana=8.11.0
패키지 목록을 읽는 중입니다... 완료
의존성 트리를 만드는 중입니다... 완료
상태 정보를 읽는 중입니다... 완료
다음 새 패키지를 설치할 것입니다:
  kibana
0개 업그레이드, 1개 새로 설치, 0개 제거 및 7개 업그레이드 안 함.
314 M바이트 아카이브를 받아야 합니다.
이 작업 후 907 M바이트의 디스크 공간을 더 사용하게 됩니다.
받기:1 https://artifacts.elastic.co/packages/8.x/apt stable/main amd64 kibana amd64 8.11.0 [314 MB]
내려받기 314 M바이트, 소요시간 21초 (15.3 M바이트/초)
Selecting previously unselected package kibana.
(데이터베이스 읽는중 ...현재 196269개의 파일과 디렉터리가 설치되어 있습니다.)
Preparing to unpack .../kibana_8.11.0_amd64.deb ...
Unpacking kibana (8.11.0) ...
kibana (8.11.0) 설정하는 중입니다 ...
Creating kibana group... OK
Creating kibana user... OK
Kibana is currently running with legacy OpenSSL providers enabled! For details and instructions on how to disable see https://www.elastic.co/guide/en/kibana/8.11/production.html#openssl-legacy-provider
Created Kibana keystore in /etc/kibana/kibana.keystore
logmgmt@syslogserver:~$

CentOS 에서 ubuntu로 ELK를 재설치하여 기록을 남깁니다.

참고로 저는 최신 버전이 아닌 8.11.0 으로 설치합니다.

elastalert plugin이 8.11.0 까지 지원하네요.

https://github.com/Karql/elastalert-kibana-plugin/releases

아래의 3개는 elasticsearch나 kibana에서 설치하면 따로 하지 않아도 됩니다.

wget -qO - https://artifacts.elastic.co/GPG-KEY-elasticsearch | sudo gpg --dearmor -o /usr/share/keyrings/elastic-keyring.gpg

sudo apt-get install apt-transport-https

echo "deb [signed-by=/usr/share/keyrings/elastic-keyring.gpg] https://artifacts.elastic.co/packages/8.x/apt stable main" | sudo tee -a /etc/apt/sources.list.d/elastic-8.x.list

여기서부터 따라하시면 됩니다.

logmgmt@syslogserver:~$ apt list | grep logstash

WARNING: apt does not have a stable CLI interface. Use with caution in scripts.

golang-github-bshuster-repo-logrus-logstash-hook-dev/jammy,jammy 0.4.1-2 all
logstash/stable 1:8.11.1-1 amd64
mcollective-plugins-logstash/jammy,jammy 0.0.0~git20120507.df2fa81-0ubuntu2 all
logmgmt@syslogserver:~$ sudo apt install logstash=1:8.11.0-1
패키지 목록을 읽는 중입니다... 완료
의존성 트리를 만드는 중입니다... 완료
상태 정보를 읽는 중입니다... 완료
다음 새 패키지를 설치할 것입니다:
  logstash
0개 업그레이드, 1개 새로 설치, 0개 제거 및 6개 업그레이드 안 함.
350 M바이트 아카이브를 받아야 합니다.
이 작업 후 607 M바이트의 디스크 공간을 더 사용하게 됩니다.
받기:1 https://artifacts.elastic.co/packages/8.x/apt stable/main amd64 logstash amd64 1:8.11.0-1 [350 MB]
내려받기 350 M바이트, 소요시간 23초 (15.4 M바이트/초)
Selecting previously unselected package logstash.
(데이터베이스 읽는중 ...현재 181487개의 파일과 디렉터리가 설치되어 있습니다.)
Preparing to unpack .../logstash_1%3a8.11.0-1_amd64.deb ...
Unpacking logstash (1:8.11.0-1) ...
logstash (1:8.11.0-1) 설정하는 중입니다 ...
logmgmt@syslogserver:~$

logmgmt@syslogserver:~$ sudo systemctl daemon-reload
logmgmt@syslogserver:~$ sudo systemctl enable logstash.service
Created symlink /etc/systemd/system/multi-user.target.wants/logstash.service → /lib/systemd/system/logstash.service.
logmgmt@syslogserver:~$

CentOS 에서 ubuntu로 ELK를 재설치하여 기록을 남깁니다.

아래 사이트를 보고 따라하시면 됩니다.

https://www.elastic.co/guide/en/elasticsearch/reference/8.11/deb.html#deb-repo

참고로 저는 최신 버전이 아닌 8.11.0 으로 설치합니다.

elastalert plugin이 8.11.0 까지 지원하네요.

https://github.com/Karql/elastalert-kibana-plugin/releases

여기서부터 설치 기록 입니다.

logmgmt@syslogserver:~$ wget -qO - https://artifacts.elastic.co/GPG-KEY-elasticsearch | sudo gpg --dearmor -o /usr/share/keyrings/elasticsearch-keyring.gpg

logmgmt@syslogserver:~$ sudo apt install apt-transport-https
[sudo] password for logmgmt:
패키지 목록을 읽는 중입니다... 완료
의존성 트리를 만드는 중입니다... 완료
상태 정보를 읽는 중입니다... 완료
다음 새 패키지를 설치할 것입니다:
  apt-transport-https
0개 업그레이드, 1개 새로 설치, 0개 제거 및 3개 업그레이드 안 함.
1,510 바이트 아카이브를 받아야 합니다.
이 작업 후 170 k바이트의 디스크 공간을 더 사용하게 됩니다.
받기:1 http://kr.archive.ubuntu.com/ubuntu jammy-updates/universe amd64 apt-transport-https all 2.4.11 [1,510 B]
내려받기 1,510 바이트, 소요시간 1초 (1,636 바이트/초)
Selecting previously unselected package apt-transport-https.
(데이터베이스 읽는중 ...현재 180154개의 파일과 디렉터리가 설치되어 있습니다.)
Preparing to unpack .../apt-transport-https_2.4.11_all.deb ...
Unpacking apt-transport-https (2.4.11) ...
apt-transport-https (2.4.11) 설정하는 중입니다 ...
logmgmt@syslogserver:~$

logmgmt@syslogserver:~$ echo "deb [signed-by=/usr/share/keyrings/elasticsearch-keyring.gpg] https://artifacts.elastic.co/packages/8.x/apt stable main" | sudo tee /etc/apt/sources.list.d/elastic-8.x.list
deb [signed-by=/usr/share/keyrings/elasticsearch-keyring.gpg] https://artifacts.elastic.co/packages/8.x/apt stable main
logmgmt@syslogserver:~$

logmgmt@syslogserver:~$ apt list | grep elasticsearch

WARNING: apt does not have a stable CLI interface. Use with caution in scripts.

elasticsearch/stable 8.11.1 amd64
logmgmt@syslogserver:~$ sudo apt update && sudo apt install elasticsearch=8.11.0
기존:1 https://artifacts.elastic.co/packages/8.x/apt stable InRelease
기존:2 http://kr.archive.ubuntu.com/ubuntu jammy InRelease
기존:3 http://security.ubuntu.com/ubuntu jammy-security InRelease
기존:4 http://kr.archive.ubuntu.com/ubuntu jammy-updates InRelease
기존:5 http://kr.archive.ubuntu.com/ubuntu jammy-backports InRelease
패키지 목록을 읽는 중입니다... 완료
의존성 트리를 만드는 중입니다... 완료
상태 정보를 읽는 중입니다... 완료
5 packages can be upgraded. Run 'apt list --upgradable' to see them.
패키지 목록을 읽는 중입니다... 완료
의존성 트리를 만드는 중입니다... 완료
상태 정보를 읽는 중입니다... 완료
다음 새 패키지를 설치할 것입니다:
  elasticsearch
0개 업그레이드, 1개 새로 설치, 0개 제거 및 5개 업그레이드 안 함.
630 M바이트 아카이브를 받아야 합니다.
이 작업 후 1,316 M바이트의 디스크 공간을 더 사용하게 됩니다.
받기:1 https://artifacts.elastic.co/packages/8.x/apt stable/main amd64 elasticsearch amd64 8.11.0 [630 MB]
내려받기 630 M바이트, 소요시간 2분 29초 (4,221 k바이트/초)
Selecting previously unselected package elasticsearch.
(데이터베이스 읽는중 ...현재 180158개의 파일과 디렉터리가 설치되어 있습니다.)
Preparing to unpack .../elasticsearch_8.11.0_amd64.deb ...
Creating elasticsearch group... OK
Creating elasticsearch user... OK
Unpacking elasticsearch (8.11.0) ...
elasticsearch (8.11.0) 설정하는 중입니다 ...
--------------------------- Security autoconfiguration information ------------------------------

Authentication and authorization are enabled.
TLS for the transport and HTTP layers is enabled and configured.

The generated password for the elastic built-in superuser is : JDDAw8w6wb-PPQYIxLgV

If this node should join an existing cluster, you can reconfigure this with
'/usr/share/elasticsearch/bin/elasticsearch-reconfigure-node --enrollment-token <token-here>'
after creating an enrollment token on your existing cluster.

You can complete the following actions at any time:

Reset the password of the elastic built-in superuser with
'/usr/share/elasticsearch/bin/elasticsearch-reset-password -u elastic'.

Generate an enrollment token for Kibana instances with
 '/usr/share/elasticsearch/bin/elasticsearch-create-enrollment-token -s kibana'.

Generate an enrollment token for Elasticsearch nodes with
'/usr/share/elasticsearch/bin/elasticsearch-create-enrollment-token -s node'.

-------------------------------------------------------------------------------------------------
### NOT starting on installation, please execute the following statements to configure elasticsearch service to start automatically using systemd
 sudo systemctl daemon-reload
 sudo systemctl enable elasticsearch.service
### You can start elasticsearch service by executing
 sudo systemctl start elasticsearch.service
logmgmt@syslogserver:~$

logmgmt@syslogserver:~$ sudo systemctl daemon-reload
logmgmt@syslogserver:~$ sudo systemctl enable elasticsearch.service
Created symlink /etc/systemd/system/multi-user.target.wants/elasticsearch.service → /lib/systemd/system/elasticsearch.service.
logmgmt@syslogserver:~$

기존 설치되어 있는 프로그램을 완전 삭제하는 방법입니다.

logmgmt@syslogserver:~$ sudo apt --purge autoremove elasticsearch
패키지 목록을 읽는 중입니다... 완료
의존성 트리를 만드는 중입니다... 완료
상태 정보를 읽는 중입니다... 완료
다음 패키지를 지울 것입니다:
  elasticsearch*
0개 업그레이드, 0개 새로 설치, 1개 제거 및 5개 업그레이드 안 함.
이 작업 후 1,316 M바이트의 디스크 공간이 비워집니다.
계속 하시겠습니까? [Y/n] y
(데이터베이스 읽는중 ...현재 181487개의 파일과 디렉터리가 설치되어 있습니다.)
Removing elasticsearch (8.11.0) ...
Stopping elasticsearch service... OK
(데이터베이스 읽는중 ...현재 180168개의 파일과 디렉터리가 설치되어 있습니다.)
Purging configuration files for elasticsearch (8.11.0) ...
Deleting security auto-configuration directory...OK
Deleting elasticsearch.keystore...OK
logmgmt@syslogserver:~$

우분투를 설치하면 sshd 서비스가 없어서, 설치 및 활성화를 해야 하네요.

설치

sudo apt install openssh-server

설정 변경

vi /etc/ssh/sshd_config

아래의 Port 및 ListenAddress 주석 해제

# This is the sshd server system-wide configuration file.  See
# sshd_config(5) for more information.

# This sshd was compiled with PATH=/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin:/usr/games

# The strategy used for options in the default sshd_config shipped with
# OpenSSH is to specify options with their default value where
# possible, but leave them commented.  Uncommented options override the
# default value.

Include /etc/ssh/sshd_config.d/*.conf

Port 22  #<- 해당 라인 주석 해제
#AddressFamily any
ListenAddress 0.0.0.0 #<- 해당 라인 주석 해제
#ListenAddress ::

서비스 재시작

sudo  systemctl restart sshd

우분투에는 기본적으로 설치가 되어 있지 않아서 설치가 필요합니다.

apt install net-tools

우분투 20.04 버전 설치를 하니 sshd 서비스가 설치되어 있지 않네요.

그래서 설치하고 설정 변경하는 법을 기록합니다.

1. SSH 서비스 설치

apt install openssh-server

2. 설정 파일 편집 모드

vi /etc/ssh/sshd_config

3. 설정 파일 내용 중 Port 앞 "#" 주석 제거 후 저장

#Port 22 의 주석 제거

4. 서비스 재시작

service ssh restart