Tento tutoriál pomůže uživatelům nainstalovat a používat Graylog na serveru Ubuntu 20.04 LTS ke shromažďování a analýze dat protokolů systémů centrálně na jednom místě.
Graylog je open-source nástroj, který nabízí integrovanou platformu pro shromažďování, indexování a analýzu dat protokolů. Systém se v podstatě skládá z webového rozhraní Graylog, serverů Graylog, uzlů Elasticsearch a databáze Mongo.
Uzly lze škálovat podle potřeby. Pro testování postačuje systém, ve kterém je vše spojeno v jednom uzlu. Server Graylog je centrálním prvkem architektury, který se stará o správu indexů Elasticsearch a tvoří abstrakční vrstvu. Proto by bylo možné vyměnit Elasticsearch za jiný systém, který je zvláště vhodný pro analýzu dat protokolu.
Graylog podporuje různé vstupní mechanismy. Ve výchozím nastavení jsou podporovány čtyři různé formáty nebo protokoly:Syslog, GELF, JSON / REST-URL a RAW. syslog je standard pro přenos zpráv protokolu a je často používán systémovými komponentami.
Věci, které potřebujeme k provedení tohoto výukového programu:
- MongoDB
- ElasticSearch
- Server Graylog
- Uživatel bez oprávnění root s funkcí
sudopráv - Server Ubuntu se 4 jádry CPU a 8 GB RAM
Kroky k instalaci Graylog Ubuntu 20.04 LTS
1. Nainstalujte požadované závislosti
Existuje několik věcí, které server Graylog vyžaduje k instalaci na Ubuntu 20.04 LTS, z toho jsou Java, generátor hesel spolu s některými běžnými. Spusťte níže uvedené příkazy a nainstalujte je všechny.
Nejprve spusťte příkaz aktualizace systému
sudo apt update
Potom nainstalujte následující balíčky…
sudo apt-get install apt-transport-https openjdk-11-jre-headless uuid-runtime pwgen
2. Nastavte MongoDB na Ubuntu 20.04 pro Graylog
Graylog používá MongoDB k ukládání dat, proto jej musíme nainstalovat na náš server, aby se tam později mohly ukládat vygenerované protokoly pro další analýzy.
Balíčky, které musíme nainstalovat MongoDB jsou již k dispozici na oficiálním úložišti Ubuntu, takže jednoduše spusťte níže uvedený příkaz:
sudo apt install -y mongodb-server
Povolte a spusťte služby databázového serveru:
sudo systemctl enable --now mongodb
sudo systemctl restart mongod.service
Chcete-li zkontrolovat, zda běží správně bez jakékoli chyby, můžete spustit:
sudo systemctl status mongodb
3. Nainstalujte Elastic Search na server ubuntu 20.04 LTS
Elasticsearch je open source fulltextový vyhledávací a analytický nástroj. Je také vysoce škálovatelný a umožňuje uživatelům ukládat, vyhledávat a analyzovat velké objemy dat rychle a téměř v reálném čase, což bude v Graylogu užitečné při zpracování a analýze velkého počtu protokolů.
Tento systém není k dispozici v základním repozitáři Ubuntu 20.04, proto musíme ručně přidat oficiální úložiště Elastic Search.
Přidat klíč GPG:
wget -qO - https://artifacts.elastic.co/GPG-KEY-elasticsearch | sudo apt-key add -
Přidat úložiště elastického vyhledávání:
echo "deb https://artifacts.elastic.co/packages/7.x/apt stable main" | sudo tee /etc/apt/sources.list.d/elastic-7.x.list
Příkaz k instalaci otevřené verze ElasticSearch na Ubuntu 20.04:
sudo apt-get update && sudo apt-get install elasticsearch-oss
Upravte konfigurační soubor Elasticsearch a nastavte název clusteru na graylog a přidejte action.auto_create_index: false
Za tímto účelem jednoduše zkopírujte a vložte níže uvedený celý blok příkazů a stiskněte Enter klíč.
sudo tee -a /etc/elasticsearch/elasticsearch.yml > /dev/null <<EOT cluster.name: graylog action.auto_create_index: false EOT
Povolte a spusťte službu elastického vyhledávání:
sudo systemctl daemon-reload sudo systemctl enable --now elasticsearch sudo systemctl restart elasticsearch.service
4. Příkaz k instalaci serveru Graylog na Ubuntu 20.04
Stáhněte si úložiště Graylog, které je dostupné jako deb balíček.
wget https://packages.graylog2.org/repo/packages/graylog-4.0-repository_latest.deb
Nainstalujte jej:
sudo dpkg -i graylog-4.0-repository_latest.deb
Nyní aktualizujte svůj systém aby mohl rozpoznat nově přidaný repozitář ke stažení balíčků pro Graylog:
sudo apt-get update
Nakonec jej nainstalujte
sudo apt-get install graylog-server
Navíc :Pokud chcete nainstalovat také moduly Integrations Plugins nebo Enterprise Plugins, spusťte:
sudo apt install graylog-enterprise-plugins graylog-integrations-plugins graylog-enterprise-integrations-plugins
5. Upravte konfigurační soubor Graylog a nastavte heslo správce
Existují dvě hodnoty hesla – password_secret a root_password_sha2 , musíme je nakonfigurovat, jinak se Graylog na Ubuntu 20.04 LTS vůbec nespustí.
Tyto dvě hodnoty jsou obsaženy v konfiguračním souboru Graylog a to, co jim nastavíme, použije k zabezpečení uživatelských hesel a přihlášení uživatele admin na jeho webovém rozhraní. Ale nemůžeme pro ně nastavit hodnotu prostého textu, místo toho musíme vygenerovat hash. Takže běž:
Nastavit heslo_tajný klíč
pwgen -N 1 -s 96
Výše uvedený příkaz vygeneruje tajný klíč pro zabezpečení uživatelských hesel, takže jej zkopírujte a upravte konfigurační soubor pomocí:
sudo nano /etc/graylog/server/server.conf
Nyní najděte password_secret = do souboru a vložte před něj zkopírovaný tajný klíč. Jak je znázorněno na níže uvedeném snímku obrazovky.
Uložte soubor stisknutím Ctrl + X , Y, a stiskněte Enter klíč.
Nastavit hash root_password_sha2
Výchozí uživatelské jméno pro přihlášení do webového rozhraní Graylog je admin , zatímco heslo je třeba nastavit, to je to, co zde děláme. Vygenerujte hash pro heslo, které chcete nastavit, pomocí níže uvedeného příkazu:
echo -n MyPassword | sha256sum
Poznámka :Změňte Moje heslo ve výše uvedeném příkazu s heslem, které chcete nastavit pro přihlášení k webovému rozhraní Graylog.
Když stisknete Enter po použití výše uvedeného příkazu bude vygenerován hash součet. Zkopírujte.
Nyní znovu upravte konfigurační soubor :
sudo nano /etc/graylog/server/server.conf
Najděte řádek: root_password_sha2 a vložte před něj součet hash, jak je znázorněno na níže uvedeném snímku obrazovky:
Ve výchozím nastavení je také Graylog přístupný pouze pomocí localhost IP, tj.127.0.0.1 tedy v případě, že plánujete vzdálený přístup k jeho webovému rozhraní, změňte jej pomocí IP adresy vašeho serveru v konfiguračním souboru.
Najít čáru :http_bind_address, odkomentujte jej a změňte 127.0.0.1 sIP adresou vašeho systému, kam instalujete graylog.
Uložte soubor– Ctrl + X, Y a stiskněte Enter klíč.
6. Povolit a restartovat Graylog Server
Již jsme provedli veškerou základní konfiguraci, nyní povolte automatické spouštění této systémové služby protokolování.
sudo systemctl daemon-reload sudo systemctl enable --now graylog-server sudo systemctl restart graylog-server
Zkontrolujte, zda běží bez chyby nebo ne:
sudo systemctl status graylog-server
Pokud plánujete přístup k webovému rozhraní Graylog vzdáleně pak také otevřete port 9000 ve firewallu Ubuntu:
sudo ufw allow 9000
7. Přístup k webovému rozhraní
Otevřete prohlížeč na místním systému nebo vzdáleném zařízení, který má přístup k IP adrese serveru Ubuntu 20.04. A zadejte http://your-server-ipaddress:9000
Nahraďte adresu-ip-vašeho-serveru se skutečnouIP adresou vašeho serveru, kde je Graylog byl nainstalován.
Výchozí uživatelské jméno je admin zatímco heslo je to, co jste nastavili v kroku 5 tohoto článku pro root_password. Například v příkazu jsme použili MyPassword .
8. Odešlete systémové protokoly hostitelského systému společnosti Graylog
Vytvořte konfigurační soubor pod /etc/rsyslog.d/ sdělit systému, kam má protokoly odeslat.
sudo nano /etc/rsyslog.d/90-graylog.conf
Přidejte následující řádek:
*.* @your-server-ip:5140;RSYSLOG_SyslogProtocol23Format
Nahraďte ip-ip-vašeho-serveru s IP adresou systému, odkud odesíláte protokoly. Pokud se jedná o hostitelský systém, kde jste nainstalovali Graylog, použijte jeho IP adresu.
Uložte soubor stisknutím Ctrl+X , Y, a stiskněte Enter klíč.
Nyní přidejte Input for Node do Graylogu.
Na hlavním panelu Graylog klikněte na Systém -> Vstupy .
Vyberte Syslog UDP a klepněte na Spustit nový vstup tlačítko.
Vyberte uzel z rozevíracího pole s určitým názvem (cokoli chcete) na Vstup a poté nastavte port číslo na 5140 poté přejděte dolů a uložte konfiguraci.
Nyní klikněte na „Start Input ” pro spuštění vstupu serveru.
9. Panel metrik
Po spuštění vstupu ze serveru klikněte na Hledat v nabídce Graylog a začnete získávat metriky a protokoly v reálném čase ze svého serveru. Můžete také nastavit frekvenci aktualizace metrik.
Chcete-li se dozvědět více o tomto nástroji pro správu protokolů a dalších konfiguračních úlohách, podívejte se na oficiální dokumentaci, kde také najdete způsob, jak používat Nginx/Apache jako reverzní proxy a HTTPS v Graylogu.