Tento průvodce vás provede instalací Graylog s Elasticsearch 7.x na CentOS 8. Graylog je opensource řešení pro správu protokolů, které bylo založeno v roce 2009 pro zachycování a centralizaci protokolů v reálném čase z různých zařízení v síti. Je to dokonalý nástroj pro analýzu klíčových protokolů, jako jsou přihlášení SSH, porušení nebo jakékoli neobvyklé nebo neobvyklé incidenty, které mohou poukazovat na narušení systému. Díky možnosti protokolování v reálném čase se jeví jako dokonalý nástroj kybernetické bezpečnosti, který mohou operační týmy použít ke zmírnění malých problémů předtím, než se převalí na obrovské hrozby.
Graylog se skládá ze 3 klíčových komponent:
- Elasticsearch :Toto je opensource analytický nástroj, který indexuje data přijatá ze serveru Graylog.
- MongoDB :Toto je opensource NoSQL databáze, která uchovává meta informace a konfigurace.
- Server Graylog :Toto předává protokoly a poskytuje webové rozhraní, kde jsou protokoly vizualizovány.
S tímto shrnutím okamžitě nainstalujeme Graylog na CentOS 8.
Předpoklady pro server Graylog
Na začátku se ujistěte, že vaše instance CentOS 8 splňuje následující požadavky:
- 2 procesory
- 4 GB RAM
- Rychlé a stabilní připojení k internetu
Krok 1) Nainstalujte Java 8 pomocí příkazu dnf
Elasticsearch je postaven na Javě, a proto musíme nainstalovat Javu a konkrétněji Javu 8 dříve než cokoli jiného. Máte možnost nainstalovat OpenJDK nebo Oracle Java. V této příručce instalujeme OpenJDK 8.
$ sudo dnf install -y java-1.8.0-openjdk java-1.8.0-openjdk-devel
Pro potvrzení nainstalované verze Javy spusťte:
$ java -version
Krok 2) Nainstalujte Elasticsearch 7.x
Chystáme se nainstalovat nejnovější verzi Elasticsearch, která je v době psaní tohoto průvodce Elasticsearch 7.9.2. Elasticsearch není k dispozici na úložištích CentOS 8, a proto vytvoříme místní úložiště. Nejprve však importujme klíč GPG, jak je znázorněno.
$ sudo rpm --import https://artifacts.elastic.co/GPG-KEY-elasticsearch
Pomocí textového editoru vytvořte nový soubor úložiště, jak je znázorněno:
$ sudo vi /etc/yum.repos.d/elasticsearch.repo
Vložte obsah zobrazený níže
[elasticsearch-7.x]name=Elasticsearch úložiště pro balíčky 7.xbaseurl=https://artifacts.elastic.co/packages/7.x/yumgpgcheck=1gpgkey=https://artifacts.elastic.co/ GPG-KEY-elasticsearchenabled=1autorefresh=1type=rpm-md
Uložte a ukončete konfigurační soubor. Chcete-li nainstalovat Elasticsearch, spusťte příkaz:
$ sudo dnf install -y elasticsearch
Po dokončení instalace upozorněte systemd a povolte Elasticsearch.
$ sudo systemctl daemon-reload$ sudo systemctl povolit elasticsearch
Potřebujeme, aby Elasticsearch fungoval s Graylogem, a proto aktualizujeme název clusteru na „graylog“, jak je znázorněno:
$ sudo vi /etc/elasticsearch/elasticsearch.yml.........cluster.name: graylog.........
Uložte a ukončete soubor a restartujte elasticsearch, aby se změny projevily.
$ sudo systemctl restart elasticsearch
Abychom ověřili, že Elasticsearch běží, odešleme požadavek HTTP přes port 9200, jak je znázorněno.
$ curl -X GET "localhost:9200/"
Měli byste získat výstup, jak je uvedeno níže.
Krok 3) Nainstalujte MongoDB 4
Chcete-li nainstalovat MongoDB, vytvořte soubor místního úložiště
$ sudo vi /etc/yum.repos.d/mongodb-org-4.repo
Vložte konfiguraci zobrazenou níže
[mongodb-org-4]name=MongoDB Repositorybaseurl=https://repo.mongodb.org/yum/redhat/8/mongodb-org/4.2/x86_64/gpgcheck=1enabled=1gpgkey=https://www .mongodb.org/static/pgp/server-4.2.asc
Uložte a ukončete a poté nainstalujte MongoDB pomocí zobrazeného příkazu.
$ sudo dnf install -y mongodb-org
Jakmile je MongoDB nainstalován, spusťte MongoDB a potvrďte jeho stav, jak je znázorněno
$ sudo systemctl spustit mongod$ sudo systemctl povolit mongod$ sudo systemctl status mongod
Perfektní, výše uvedený výstup potvrzuje, že služba mongodb je úspěšně spuštěna a běží v pořádku.
Krok 4) Nainstalujte a nakonfigurujte server Graylog
Chcete-li nainstalovat server Graylog, začněte nejprve instalací úložiště Graylog, jak je znázorněno:
$ sudo rpm -Uvh https://packages.graylog2.org/repo/packages/graylog-3.3-repository_latest.rpm
Jakmile je úložiště přidáno, nainstalujte server Graylog podle obrázku.
$ sudo dnf install -y graylog-server
Po úspěšné instalaci můžete potvrdit další podrobnosti o serveru Graylog spuštěním:
$ rpm -qi graylog-server
Nyní provedeme několik konfigurací. Nejprve vygenerujeme tajné heslo, které bude předáno v direktivě password_secret v konfiguračním souboru /etc/graylog/server/server.conf. K tomu vygenerujeme náhodné heslo pomocí generátoru náhodných hesel s názvem pwgen. Abychom jej mohli nainstalovat, musíme nejprve povolit úložiště EPEL pro CentOS 8.
$ sudo dnf install -y epel-release$ sudo dnf install -y pwgen
Po instalaci můžete pomocí příkazu vygenerovat náhodné heslo.
$ sudo pwgen -N 1 -s 96
Výstup příkazu bude vypadat následovně:
[[chráněno e-mailem] ~]$ sudo pwgen -N 1 -s 96EtUtR16i9xwRsGbXROMFhSazZ3PvNe1tYui8wM5Q7h1UiXY0RTDdGygkhuDEJi9fpGww MDaFLne]NF1$hD9jcmail Zkopírujte si zašifrované heslo a uložte si ho někam, nejlépe do textového editoru. To budete potřebovat někde jinde.Dále vygenerujte heslo pro atribut root_password_sha2, jak je znázorněno.
$ echo -n [e-mail chráněn]@123# | sha256sumVýstup by byl,
[[e-mail chráněný] ~]$ echo -n [e-mail chráněný]@123# | sha256suma8f1a91ef8c534d678c82841a6a88fa01d12c2d184e641458b6bec67eafc0f7c -[[e-mail chráněný] ~]$Ještě jednou si toto zašifrované heslo někam uložte. Nyní otevřete Graylogův konfigurační soubor.
$ sudo vi /etc/graylog/server/server.confVyhledejte atributy password_secret a root_password_sha2 a vložte odpovídající zašifrovaná hesla.
Dále odkomentujte atribut http_bind_address a zadejte IP svého serveru.
Znovu načtěte systemd, spusťte a povolte Graylog.
$ sudo systemctl daemon-reload$ sudo systemctl spustit graylog-server$ sudo systemctl povolit graylog-serverSpusťte následující příkaz k ověření stavu služby Graylog:
$ sudo systemctl status graylog-server
Stav služby graylog můžete také ověřit pomocí souboru protokolu „/var/log/graylog-server/server.log“
Povolit server Graylog v bráně firewall:
V případě, že je firewall povolen a spuštěn, povolte port 9000 tcp pomocí níže uvedených příkazů,
$ sudo firewall-cmd --permanent --add-port=9000/tcp$ sudo firewall-cmd --reloadChcete-li získat přístup ke Graylogu v prohlížeči, procházejte IP adresu svého serveru, jak je uvedeno:
http://server-IP:9000
Nezapomeňte se přihlásit pomocí uživatelského jména admin a hesla, které jste nastavili pro uživatele root, jak je uvedeno v konfiguračním souboru.
Tímto naše dnešní téma uzavíráme. Provedli jsme pro vás podrobný postup instalace Graylog na CentOS 8. Podělte se prosím o své názory a komentáře.