Graylog je nástroj pro správu protokolů s otevřeným zdrojovým kódem, který vám pomáhá centrálně ukládat a analyzovat protokoly všech strojů. Nastavení Graylog se skládá ze tří komponent serveru Graylog, Elasticsearch a MongoDB.
Zde uvidíme, jak nainstalovat Graylog na Ubuntu 20.04.
Nainstalujte Javu
Nastavení Graylog vyžaduje Java verze 8 nebo vyšší. Chcete-li pokračovat dále, můžete na svém počítači použít OpenJDK nebo Oracle JDK.
ČTĚTE: Jak nainstalovat Oracle Java na Ubuntu 20.04
Zde budu používat OpenJDK 11.
sudo apt update sudo apt install -y apt-transport-https openjdk-11-jre-headless uuid-runtime pwgen curl dirmngr
Ověřte verzi Java po instalaci OpenJDK.
java -version
Výstup:
openjdk version "11.0.8" 2020-07-14 OpenJDK Runtime Environment (build 11.0.8+10-post-Ubuntu-0ubuntu120.04) OpenJDK 64-Bit Server VM (build 11.0.8+10-post-Ubuntu-0ubuntu120.04, mixed mode, sharing)
Nainstalujte Elasticsearch
Elasticsearch ukládá protokoly pocházející z externích zdrojů a nabízí distribuované vyhledávání a analýzy v reálném čase pomocí webového rozhraní RESTful.
Stáhněte a nainstalujte podpisový klíč GPG.
wget -qO - https://artifacts.elastic.co/GPG-KEY-elasticsearch | sudo apt-key add -
Nastavte úložiště Elasticsearch na vašem systému spuštěním níže uvedeného příkazu.
echo "deb https://artifacts.elastic.co/packages/oss-6.x/apt stable main" | sudo tee -a /etc/apt/sources.list.d/elastic-6.x.list
Aktualizujte mezipaměť úložiště a poté nainstalujte balíček Elasticsearch.
sudo apt update sudo apt install -y elasticsearch-oss
Upravte konfigurační soubor Elasticsearch a nastavte název clusteru pro nastavení Graylog.
sudo nano /etc/elasticsearch/elasticsearch.yml
Nastavte název clusteru jako graylog, jak je znázorněno níže.
cluster.name: graylog
Poté odkomentujte níže uvedený řádek.
action.auto_create_index: false
Spusťte službu Elasticsearch a přečtěte si nové konfigurace.
sudo systemctl daemon-reload sudo systemctl start elasticsearch sudo systemctl enable elasticsearch
Počkejte alespoň minutu, než se Elasticsearch naplno spustí.
Elastisearch by nyní měl naslouchat na portu 9200. Pomocí příkazu curl zkontrolujte odezvu Elasticsearch.
curl -X GET http://localhost:9200
Výstup:
Ujistěte se, že výstup má název clusteru, graylog.
{
"name" : "vQklpl4",
"cluster_name" : "graylog",
"cluster_uuid" : "jLztxJoOROK-XuZkoKJr6A",
"version" : {
"number" : "6.8.11",
"build_flavor" : "oss",
"build_type" : "deb",
"build_hash" : "00bf386",
"build_date" : "2020-07-09T19:08:08.940669Z",
"build_snapshot" : false,
"lucene_version" : "7.7.3",
"minimum_wire_compatibility_version" : "5.6.0",
"minimum_index_compatibility_version" : "5.0.0"
},
"tagline" : "You Know, for Search"
}
Nainstalujte MongoDB
MongoDB funguje jako databáze pro ukládání konfigurace Graylog. Graylog vyžaduje MongoDB v3.6, 4.0 nebo 4.2.
Oficiální úložiště MongoDB bohužel nemá požadované verze MongoDB pro Ubuntu 20.04. Takže nainstalujeme MongoDB v3.6 ze základního úložiště Ubuntu.
sudo apt update sudo apt install -y mongodb-server
Spusťte MongoDB a povolte jej při startu systému.
sudo systemctl start mongodb sudo systemctl enable mongodb
Instalovat Graylog Server
Graylog Server čte data z Elasticsearch pro vyhledávací dotazy pocházející od uživatelů a poté jim je zobrazuje prostřednictvím webového rozhraní Graylog.
Stáhněte a nainstalujte konfigurační balíček úložiště Graylog 3.3.
wget https://packages.graylog2.org/repo/packages/graylog-3.3-repository_latest.deb sudo dpkg -i graylog-3.3-repository_latest.deb
Aktualizujte mezipaměť úložiště.
sudo apt update
Nainstalujte server Graylog pomocí následujícího příkazu.
sudo apt install -y graylog-server
Pro zabezpečení uživatelských hesel musíte nastavit tajemství. K vygenerování tajného klíče použijte příkaz pwgen.
pwgen -N 1 -s 96
Výstup:
HRy1WNsMQIWF228SsbdQCnCsTBL7wVez28UsZXI8PXqStx5DQe3PAmtpm8PNm6g8K44fVFNo4c7Bvp4WCOyxGiSXvdhOXl8w
Upravte soubor server.conf.
sudo nano /etc/graylog/server/server.conf
Poté vložte tajenku jako níže.
password_secret = HRy1WNsMQIWF228SsbdQCnCsTBL7wVez28UsZXI8PXqStx5DQe3PAmtpm8PNm6g8K44fVFNo4c7Bvp4WCOyxGiSXvdhOXl8w
Nyní vygenerujte hash (sha256) heslo pro uživatele root (neplést se systémovým uživatelem, root uživatelem graylog je admin).
Toto heslo budete potřebovat pro přihlášení do webového rozhraní Graylog. Heslo správce nelze změnit pomocí webového rozhraní. Musíte tedy upravit tuto proměnnou, abyste ji mohli nastavit.
Nahraďte heslo volbou svého hesla.
echo -n password | sha256sum
Výstup:
5e884898da28047151d0e56f8dc6292773603d0d6aabbdd62a11ef721d1542d8
Znovu upravte soubor server.conf.
sudo nano /etc/graylog/server/server.conf
Poté vložte hash heslo, jak je znázorněno níže.
root_password_sha2 = 5e884898da28047151d0e56f8dc6292773603d0d6aabbdd62a11ef721d1542d8
Nastavení webového rozhraní Graylog
Od verze Graylog 2.x je webové rozhraní obsluhováno přímo serverem Graylog. Povolte webové rozhraní Graylog úpravou souboru server.conf.
sudo nano /etc/graylog/server/server.conf
Aktualizujte níže uvedený záznam svou systémovou IP adresou, pomocí které budete přistupovat k webovému rozhraní Graylog.
http_bind_address = 192.168.0.10:9000Pokud náhodou přistupujete k Graylogu pomocí veřejné IP adresy kvůli NATingu, aktualizujte níže uvedené hodnoty. V opačném případě jej přeskočte.
http_external_uri = http://public_ip:9000/
Spusťte a povolte službu Graylog.
sudo systemctl daemon-reload sudo systemctl start graylog-server sudo systemctl enable graylog-server
Pokračujte v hledání protokolů spuštění serveru Graylog. Tento protokol vám bude užitečný při odstraňování problémů s Graylogem v případě jakýchkoli problémů.
sudo tail -f /var/log/graylog-server/server.log
Po úspěšném spuštění serveru Graylog byste měli v souboru protokolu obdržet následující zprávu.
2020-08-03T16:03:06.326-04:00 INFO [ServerBootstrap] Graylog server up and running.
Zpřístupněte Graylog
Webové rozhraní Graylog nyní bude naslouchat na portu 9000. Otevřete prohlížeč a nasměrujte jej na.
http://ip.add.re.ss:9000Přihlaste se pomocí uživatelského jména admin a hesla, které jste nakonfigurovali v root_password_sha2 v souboru server.conf.
Jakmile se přihlásíte, uvidíte stránku Začínáme.
Klikněte na Systém>> Přehled zjistit stav serveru Graylog.
Vytvořit Graylog Input
V příštím článku uvidíme, jak nakonfigurovat Graylog pro příjem protokolů Rsyslog z externích zdrojů.
Závěr
Úspěšně jste nainstalovali Graylog 3.0 na Ubuntu 20.04. Jako další čtení můžete zkusit nakonfigurovat Nginx nebo Apache jako reverzní proxy a nastavit HTTPS pro webové rozhraní Graylog.