Graylog je open-source řešení centralizované správy protokolů, které umožňuje analýzu, vyhledávání a monitorování velkého množství strojových dat v reálném čase. Byl vyvinut v Hamburku v Německu s cílem poskytnout robustnější a snáze použitelnou analytickou platformu, rychlejší analýzy, snadnou administraci a správu infrastruktury.
V tomto článku se naučíme, jak nainstalovat a nakonfigurovat Graylog v Ubuntu 20.04 LTS.
Předpoklady
Než budete pokračovat v instalaci Graylogu, musíte nastavit následující věci,
- Oracle Java SE 8 (OpenJDK 8) jako Elasticsearch je projekt založený na Javě.
- Elasticsearch 6.8 a verze 7 až 7.10 jako novější verze Graylog nepodporuje.
- MongoDB (4.0, 4.2 nebo 4.4).
Instalace Graylog
Začněme instalací, protože ke spuštění Elasticsearch je vyžadována Java 8. Budeme potřebovat nějaké další balíčky, nainstalujme je spolu s ním.
$ sudo apt update
$ sudo apt-get install openjdk-8-jre-headless pwgen apt-transport-https uuid-runtime
Po instalaci java můžete ověřit instalaci pomocí následujícího příkazu.
$ java -version
Nyní nainstalujme Elasticsearch. Nejprve musíme přidat úložiště balíčků do našeho seznamu úložišť systémových balíčků pomocí následujícího příkazu.
$ wget -qO - https://artifacts.elastic.co/GPG-KEY-elasticsearch | sudo apt-key add -
$ echo "deb https://artifacts.elastic.co/packages/oss-7.x/apt stable main" | sudo tee -a /etc/apt/sources.list.d/elastic-7.x.list
Poté nainstalujte Elasticsearch pomocí příkazu apt.
$ sudo apt update
$ sudo apt install elasticsearch-oss
Po dokončení instalace Elasticsearch aktualizujte následující řádek v konfiguračním souboru.
$ sudo vim /etc/elasticsearch/elasticsearch.yml
cluster.name: graylog
action.auto_create_index: false
Nyní povolte a restartujte službu, abyste použili modifikaci.
$ sudo systemctl daemon-reload
$ sudo systemctl restart elasticsearch.service
$ sudo systemctl enable elasticsearch.service
Dále, Pojďme nainstalovat databázi pro Graylog, Graylog používá MongoDB jako databázi pro ukládání dat. Nejprve musíme zaregistrovat veřejný klíč GPG pro úložiště pomocí následujícího příkazu.
$ sudo apt install gnupg
$ wget -qO - https://www.mongodb.org/static/pgp/server-4.4.asc | sudo apt-key add -
Nyní si stáhněte a přidejte úložiště balíčků do seznamu úložiště systémových balíčků. Chcete-li tak učinit, spusťte
$ echo "deb [ arch=amd64,arm64 ] https://repo.mongodb.org/apt/ubuntu focal/mongodb-org/4.4 multiverse" | sudo tee /etc/apt/sources.list.d/mongodb-org-4.4.list
Nakonec nainstalujte MongoDB pomocí příkazu apt.
$ sudo apt update
$ sudo apt install -y mongodb-org
A chcete-li nainstalovat konkrétní verzi MongoDB, spusťte společně s preferovanou verzí
$ sudo apt install -y mongodb-org-mongos=4.4.6 mongodb-org=4.4.6 mongodb-org-tools=4.4.6 mongodb-org-shell=4.4.6 mongodb-org-server=4.4.6
Nyní povolte a restartujte MongoDB pomocí příkazu systemctl
$ sudo systemctl enable mongod
$ sudo systemctl restart mongod
Poznámka:Pokud během běhu získáte ‘mongod.service:Main process exited, code=exited, status=14/n/a’ proveďte následující příkaz.
$ sudo chown -R mongodb:mongodb /var/lib/mongodb
$ sudo chown mongodb:mongodb /tmp/mongodb-27017.sock
$ sudo systemctl restart mongod
Nakonec instalace serveru Graylog po instalaci všech nezbytných balíčků. Chcete-li nainstalovat Graylog, nejprve si stáhněte balíček deb, poté jej analyzujte pomocí příkazu dpkg a nakonec jej nainstalujte.
$ wget https://packages.graylog2.org/repo/packages/graylog-4.1-repository_latest.deb
$ sudo dpkg -i graylog-4.1-repository_latest.deb
$ sudo apt update
$ sudo apt -y install graylog-server
Nyní povolte Graylog pomocí příkazu systemctl,
$ sudo systemctl enable graylog-server.service
Konfigurace Graylog
Nainstalovali jsme každý balíček, který je nutný ke spuštění Graylog, ale není připraven ke spuštění. Než začneme používat Graylog, musíme nakonfigurovat password_secret a root_password_sh2. Výchozí cesta pro konfigurační soubor je /etc/graylog/server/server.conf a my použijeme příkaz sed k vložení hesla vygenerovaného pwgen.
Pro password_secret použijeme příkaz pwgen k vygenerování náhodného 128znakového hesla. Chcete-li jej nainstalovat, spusťte
$ sudo apt install pwgen
Nyní vygenerujeme heslo pomocí následujícího příkazu a vložíme jej pomocí příkazu sed. Chcete-li tak učinit, spusťte
$ sudo -E sed -i -e "s/password_secret =.*/password_secret = $(pwgen -s 128 1)/" /etc/graylog/server/server.conf
Dále vygenerujeme hash heslo SHA 256 pro root_password pomocí následujícího příkazu. Nezapomeňte nahradit your_password skutečným heslem.
$ sudo sed -i -e "s/root_password_sha2 =.*/root_password_sha2 = $(echo -n 'your_password' | shasum -a 256 | cut -d' ' -f1)/" /etc/graylog/server/server.conf
Nakonec nakonfigurujte doménu pro Graylog pomocí preferovaného editoru.
$ sudo vim /etc/graylog/server/server.conf
Poté najděte a nastavte hodnotu proměnné v konfiguraci následujícím způsobem.
http_bind_address = your_server_ip:9000 http_external_uri= http://your_server_ip or domain:9000/
Poté zapište a ukončete soubor.
Jakmile je vše nastaveno, restartujte graylog-server pomocí příkazu systemctl, aby se změny aplikovaly.
$ sudo systemctl restart graylog-server.service
Testování serveru Graylog
Nyní je vše připraveno k použití. Když navštívíte svůj nakonfigurovaný http_external_url, uvidíte webové rozhraní jako níže.
Poté se ověřte pomocí uživatelského jména správce a pro heslo použijte heslo ve formátu prostého textu, které jste použili při hašování.
Závěr
Děkuji, že jste dočetli až do konce, i když jste nováček nebo profesionál. Doufám, že máte jasnou představu o konfiguraci a instalaci Graylog v ubuntu. Nyní můžete pracovat s protokolem pomocí serveru Graylog.