GNU/Linux >> Znalost Linux >  >> Cent OS

Jak nainstalovat Graylog s Elasticsearch na CentOS 8

Tento průvodce vás provede instalací Graylog s Elasticsearch 7.x na CentOS 8. Graylog je opensource řešení pro správu protokolů, které bylo založeno v roce 2009 pro zachycování a centralizaci protokolů v reálném čase z různých zařízení v síti. Je to dokonalý nástroj pro analýzu klíčových protokolů, jako jsou přihlášení SSH, porušení nebo jakékoli neobvyklé nebo neobvyklé incidenty, které mohou poukazovat na narušení systému. Díky možnosti protokolování v reálném čase se jeví jako dokonalý nástroj kybernetické bezpečnosti, který mohou operační týmy použít ke zmírnění malých problémů předtím, než se převalí na obrovské hrozby.

Graylog se skládá ze 3 klíčových komponent:

  • Elasticsearch :Toto je opensource analytický nástroj, který indexuje data přijatá ze serveru Graylog.
  • MongoDB :Toto je opensource NoSQL databáze, která uchovává meta informace a konfigurace.
  • Server Graylog :Toto předává protokoly a poskytuje webové rozhraní, kde jsou protokoly vizualizovány.

S tímto shrnutím okamžitě nainstalujeme Graylog na CentOS 8.

Předpoklady pro server Graylog

Na začátku se ujistěte, že vaše instance CentOS 8 splňuje následující požadavky:

  • 2 procesory
  • 4 GB RAM
  • Rychlé a stabilní připojení k internetu

Krok 1) Nainstalujte Java 8 pomocí příkazu dnf

Elasticsearch je postaven na Javě, a proto musíme nainstalovat Javu a konkrétněji Javu 8 dříve než cokoli jiného. Máte možnost nainstalovat OpenJDK nebo Oracle Java. V této příručce instalujeme OpenJDK 8.

$ sudo dnf install -y java-1.8.0-openjdk java-1.8.0-openjdk-devel

Pro potvrzení nainstalované verze Javy spusťte:

$ java -version

Krok 2) Nainstalujte Elasticsearch 7.x

Chystáme se nainstalovat nejnovější verzi Elasticsearch, která je v době psaní tohoto průvodce Elasticsearch 7.9.2. Elasticsearch není k dispozici na úložištích CentOS 8, a proto vytvoříme místní úložiště. Nejprve však importujme klíč GPG, jak je znázorněno.

$ sudo rpm --import https://artifacts.elastic.co/GPG-KEY-elasticsearch

Pomocí textového editoru vytvořte nový soubor úložiště, jak je znázorněno:

$ sudo vi /etc/yum.repos.d/elasticsearch.repo

Vložte obsah zobrazený níže

[elasticsearch-7.x]name=Elasticsearch úložiště pro balíčky 7.xbaseurl=https://artifacts.elastic.co/packages/7.x/yumgpgcheck=1gpgkey=https://artifacts.elastic.co/ GPG-KEY-elasticsearchenabled=1autorefresh=1type=rpm-md

Uložte a ukončete konfigurační soubor. Chcete-li nainstalovat Elasticsearch, spusťte příkaz:

$ sudo dnf install -y elasticsearch

Po dokončení instalace upozorněte systemd a povolte Elasticsearch.

$ sudo systemctl daemon-reload$ sudo systemctl povolit elasticsearch

Potřebujeme, aby Elasticsearch fungoval s Graylogem, a proto aktualizujeme název clusteru na „graylog“, jak je znázorněno:

$ sudo vi /etc/elasticsearch/elasticsearch.yml.........cluster.name:  graylog.........

Uložte a ukončete soubor a restartujte elasticsearch, aby se změny projevily.

$ sudo systemctl restart elasticsearch

Abychom ověřili, že Elasticsearch běží, odešleme požadavek HTTP přes port 9200, jak je znázorněno.

$ curl -X GET "localhost:9200/"

Měli byste získat výstup, jak je uvedeno níže.

Krok 3) Nainstalujte MongoDB 4

Chcete-li nainstalovat MongoDB, vytvořte soubor místního úložiště

$ sudo vi /etc/yum.repos.d/mongodb-org-4.repo

Vložte konfiguraci zobrazenou níže

[mongodb-org-4]name=MongoDB Repositorybaseurl=https://repo.mongodb.org/yum/redhat/8/mongodb-org/4.2/x86_64/gpgcheck=1enabled=1gpgkey=https://www .mongodb.org/static/pgp/server-4.2.asc

Uložte a ukončete a poté nainstalujte MongoDB pomocí zobrazeného příkazu.

$ sudo dnf install -y mongodb-org

Jakmile je MongoDB nainstalován, spusťte MongoDB a potvrďte jeho stav, jak je znázorněno

$ sudo systemctl spustit mongod$ sudo systemctl povolit mongod$ sudo systemctl status mongod

Perfektní, výše uvedený výstup potvrzuje, že služba mongodb je úspěšně spuštěna a běží v pořádku.

Krok 4) Nainstalujte a nakonfigurujte server Graylog

Chcete-li nainstalovat server Graylog, začněte nejprve instalací úložiště Graylog, jak je znázorněno:

$ sudo rpm -Uvh https://packages.graylog2.org/repo/packages/graylog-3.3-repository_latest.rpm

Jakmile je úložiště přidáno, nainstalujte server Graylog podle obrázku.

$ sudo dnf install -y graylog-server

Po úspěšné instalaci můžete potvrdit další podrobnosti o serveru Graylog spuštěním:

$ rpm -qi graylog-server

Nyní provedeme několik konfigurací. Nejprve vygenerujeme tajné heslo, které bude předáno v direktivě password_secret v konfiguračním souboru /etc/graylog/server/server.conf. K tomu vygenerujeme náhodné heslo pomocí generátoru náhodných hesel s názvem pwgen. Abychom jej mohli nainstalovat, musíme nejprve povolit úložiště EPEL pro CentOS 8.

$ sudo dnf install -y epel-release$ sudo dnf install -y pwgen

Po instalaci můžete pomocí příkazu vygenerovat náhodné heslo.

$ sudo pwgen -N 1 -s 96

Výstup příkazu bude vypadat následovně:

[[chráněno e-mailem] ~]$ sudo pwgen -N 1 -s 96EtUtR16i9xwRsGbXROMFhSazZ3PvNe1tYui8wM5Q7h1UiXY0RTDdGygkhuDEJi9fpGww MDaFLne]NF1$hD9jcmail
 Zkopírujte si zašifrované heslo a uložte si ho někam, nejlépe do textového editoru. To budete potřebovat někde jinde.
 

 Dále vygenerujte heslo pro atribut root_password_sha2, jak je znázorněno.
 
$ echo -n [e-mail chráněn]@123# | sha256sum
 

 Výstup by byl,
 
[[e-mail chráněný] ~]$ echo -n [e-mail chráněný]@123# | sha256suma8f1a91ef8c534d678c82841a6a88fa01d12c2d184e641458b6bec67eafc0f7c  -[[e-mail chráněný] ~]$
 

 Ještě jednou si toto zašifrované heslo někam uložte. Nyní otevřete Graylogův konfigurační soubor.
 
$ sudo vi /etc/graylog/server/server.conf
 

 Vyhledejte atributy password_secret a root_password_sha2 a vložte odpovídající zašifrovaná hesla.
 

 
 

 Dále odkomentujte atribut http_bind_address a zadejte IP svého serveru.
 

 
 

 Znovu načtěte systemd, spusťte a povolte Graylog.
 
$ sudo systemctl daemon-reload$ sudo systemctl spustit graylog-server$ sudo systemctl povolit graylog-server
 

 Spusťte následující příkaz k ověření stavu služby Graylog:
 
$ sudo systemctl status graylog-server
 

 
 

 Stav služby graylog můžete také ověřit pomocí souboru protokolu „/var/log/graylog-server/server.log“
 

 Povolit server Graylog v bráně firewall: 
 

 V případě, že je firewall povolen a spuštěn, povolte port 9000 tcp pomocí níže uvedených příkazů,
 
$ sudo firewall-cmd --permanent --add-port=9000/tcp$ sudo firewall-cmd --reload
 

 Chcete-li získat přístup ke Graylogu v prohlížeči, procházejte IP adresu svého serveru, jak je uvedeno:
 

 http://server-IP:9000
 

 Nezapomeňte se přihlásit pomocí uživatelského jména admin a hesla, které jste nastavili pro uživatele root, jak je uvedeno v konfiguračním souboru.
 

 
 

 
 

 Tímto naše dnešní téma uzavíráme. Provedli jsme pro vás podrobný postup instalace Graylog na CentOS 8. Podělte se prosím o své názory a komentáře.
Cent OS

  1. Jak nainstalovat Graylog2 na CentOS 7 / RHEL 7 – pomocí zdroje

  2. Jak nainstalovat Graylog2 na CentOS 7 / RHEL 7

  3. Jak nainstalovat Elasticsearch na CentOS 8 / RHEL 8

  1. Jak nainstalovat CentOS 8 (se snímky obrazovky)

  2. Jak nainstalovat Python 3 na CentOS 7 s SCL

  3. Jak nainstalovat R na CentOS 7

  1. Jak nainstalovat phpMyAdmin s Nginx na CentOS 7

  2. Jak nainstalovat Elasticsearch na CentOS 7

  3. Jak nainstalovat Elasticsearch na CentOS 8