Jak nainstalovat Graylog na CentOS 8 / RHEL 8

Graylog je open-source nástroj pro správu protokolů, který vám pomáhá shromažďovat, ukládat a analyzovat protokoly stroje na centrálním místě.

Nastavení Graylog

Chcete-li nastavit Graylog ve vašem prostředí, potřebujete níže uvedený software.

1. MongoDB – Ukládá konfigurace a meta informace.
2. Elasticsearch – Ukládá protokolové zprávy přijaté ze serveru Graylog a poskytuje možnost je kdykoli vyhledat. Elasticsearch je obchodník se zdroji, stejně jako indexování dat, takže alokujte více paměti a používejte disky SAS nebo SAN.
3. Server Graylog – Analýza protokolů přicházejících z různých vstupů a poskytuje vestavěné webové rozhraní pro zpracování těchto protokolů.

Tato příručka vám pomůže nainstalovat Graylog na CentOS 8 / RHEL 8.

Předpoklady

Úložiště EPEL

Musíme povolit úložiště EPEL pro stahování a instalaci požadovaných utilit.

Instalovat balíčky

Pro instalaci Graylogu byste museli nainstalovat níže uvedené balíčky.

dnf install -y wget pwgen perl-Digest-SHA

Instalovat Javu

Elasticsearch vyžaduje, aby byla na stroji nainstalována Java. Nainstalujte tedy buď OpenJDK nebo Oracle JDK.

dnf install -y java-1.8.0-openjdk-headless

Ověřte verzi Java.

java -version

Výstup:

openjdk version "1.8.0_242"
OpenJDK Runtime Environment (build 1.8.0_242-b08)
OpenJDK 64-Bit Server VM (build 25.242-b08, mixed mode)

Instalovat Elasticsearch

Elasticsearch je jedním z důležitých softwarů v nastavení Graylog. Účelem Elasticsearh je ukládat data přicházející ze vstupu Graylog a na požádání je zobrazovat přes vestavěné webové rozhraní Graylog.

Graylog podporuje Eleasticsearch v6.x.

Před instalací importujte podpisový klíč GPG.

rpm --import https://artifacts.elastic.co/GPG-KEY-elasticsearch

Nakonfigurujte úložiště, abyste získali balíček Elasticsearch v6.x z oficiálního úložiště.

cat << EOF > /etc/yum.repos.d/elasticsearch.repo
[elasticsearch-6.x]
name=Elasticsearch repository for 6.x packages
baseurl=https://artifacts.elastic.co/packages/oss-6.x/yum
gpgcheck=1
gpgkey=https://artifacts.elastic.co/GPG-KEY-elasticsearch
enabled=1
autorefresh=1
type=rpm-md
EOF

Nyní nainstalujte balíček Elasticsearch pomocí příkazu dnf.

dnf install -y elasticsearch-oss

Aby Elasticsearch fungoval s nastavením Graylog, musíme nastavit název clusteru na graylog.

Upravte soubor elasticsearch.yml.

vi /etc/elasticsearch/elasticsearch.yml

Aktualizujte jej, jak je uvedeno níže.

cluster.name: graylog

action.auto_create_index: false

Znovu načtěte démona systemctl a povolte automatické spouštění Elasticsearch při startu systému.

systemctl daemon-reload

systemctl enable elasticsearch

Restartujte Elasticsearch.

systemctl restart elasticsearch

Dejte minutu nebo dvě, aby se Elasticsearch naplno rozběhlo.

Elastisearch by nyní měl naslouchat 9200 pro zpracování HTTP požadavků. Pro kontrolu odpovědi použijte příkaz CURL.

curl -X GET http://localhost:9200

Název clusteru by měl být graylog.

{
  "name" : "eaTfFg6",
  "cluster_name" : "graylog",
  "cluster_uuid" : "u-ageNH-RHGIzpfxDtNsgQ",
  "version" : {
    "number" : "6.8.6",
    "build_flavor" : "oss",
    "build_type" : "rpm",
    "build_hash" : "3d9f765",
    "build_date" : "2019-12-13T17:11:52.013738Z",
    "build_snapshot" : false,
    "lucene_version" : "7.7.2",
    "minimum_wire_compatibility_version" : "5.6.0",
    "minimum_index_compatibility_version" : "5.0.0"
  },
  "tagline" : "You Know, for Search"
}

Instalovat MongoDB

MongoDB funguje jako databáze pro ukládání konfigurací a meta informací.

Graylog podporuje pouze MongoDB v4.0.

K získání požadované verze použijeme oficiální úložiště MongoDB.

cat << EOF > /etc/yum.repos.d/mongodb-org-4.0.repo
[mongodb-org-4.0]
name=MongoDB Repository
baseurl=https://repo.mongodb.org/yum/redhat/8Server/mongodb-org/4.0/x86_64/
gpgcheck=1
enabled=1
gpgkey=https://www.mongodb.org/static/pgp/server-4.0.asc
EOF

Nainstalujte komunitní edici MongoDB pomocí následujícího příkazu.

dnf install -y mongodb-org

Spusťte službu MongoDB a povolte ji ke spuštění systému.

systemctl start mongod

systemctl enable mongod

Instalovat Graylog

Server Graylog přijímá a zpracovává zprávy protokolu přicházející z různých vstupů a zobrazuje data pro požadavky, které přicházejí z webového rozhraní graylog pomocí Elasticsearch.

Nainstalujte repozitář Graylog rpm pro automatické nastavení konfigurace úložiště.

dnf install -y https://packages.graylog2.org/repo/packages/graylog-3.2-repository_latest.rpm

Nainstalujte server Graylog pomocí následujícího příkazu.

dnf install -y graylog-server

Upravte soubor server.conf pro zahájení konfigurace graylog.

vi /etc/graylog/server/server.conf

Pomocí následujícího příkazu vytvořte tajný klíč

pwgen -N 1 -s 96

Výstup:

1dcw10Snsvk1bKgkARGNaalO3QeZqkPG8pUcbJO3oF5ktYvDUeqRTaErFixOR95Nrv40FCFRClXIdnxwknGtl4HDrTspWmom

Umístěte tajný klíč do souboru server.conf.

password_secret = 1dcw10Snsvk1bKgkARGNaalO3QeZqkPG8pUcbJO3oF5ktYvDUeqRTaErFixOR95Nrv40FCFRClXIdnxwknGtl4HDrTspWmom

Nastavte hash heslo pro uživatele root, tj. správce graylogu. Toto heslo byste potřebovali pro přihlášení do webového rozhraní Graylog.

Pokud někdy budete chtít změnit/resetovat zapomenuté heslo Gralog admin, můžete upravit/aktualizovat server.conf pomocí hashovaného hesla.

Vygenerujte hashované heslo pomocí níže uvedeného příkazu. Nahraďte své heslo svým výběrem.

echo -n yourpassword | shasum -a 256

Výstup:

e3c652f0ba0b4801205814f8b6bc49672c4c74e25b497770bb89b22cdeb4e951

Umístěte hash heslo.

root_password_sha2 = e3c652f0ba0b4801205814f8b6bc49672c4c74e25b497770bb89b22cdeb4e951

Můžete nastavit e-mailovou adresu pro administrátora.

root_email = "[email protected]"

Nastavte časové pásmo uživatele root (admin).

root_timezone = UTC

Konfigurovat webové rozhraní Graylog

Od verze Graylog 2.x je webové rozhraní obsluhováno přímo serverem Graylog. Povolte webové rozhraní Graylog úpravou souboru server.conf.

vi /etc/graylog/server/server.conf

Upravte položky, aby se webové rozhraní Graylog mohlo připojit k serveru Graylog. Nahraďte 192.168.0.10 svou systémovou IP adresou.

http_bind_address = 192.168.0.10:9000

Pokud náhodou přistupujete k Graylogu pomocí veřejné IP adresy kvůli NATingu, aktualizujte níže uvedené hodnoty. Jinak to přeskočte.

http_external_uri = http://public_ip:9000/

Restartujte službu Graylog.

systemctl daemon-reload

systemctl restart graylog-server

Nastavte Graylog server, aby se spouštěl automaticky při startu systému.

systemctl enable graylog-server

Můžete se podívat na protokoly spouštění serveru a vyřešit případné problémy s Graylogem.

tail -f /var/log/graylog-server/server.log

Pokud vše půjde dobře, měli byste vidět zprávu o spuštění serveru v souboru server.log.

2020-02-08T10:26:54.484-05:00 INFO  [ServerBootstrap] Graylog server up and running.

Firewall

V CentOS 8 / RHEL 8 jsou pravidla brány firewall nastavena tak, aby ve výchozím nastavení blokovala většinu provozu přicházejícího z externích počítačů.

Přidejte pravidlo povolení pro webové rozhraní Graylog, abychom k němu měli přístup z externích počítačů.

firewall-cmd --permanent --add-port=9000/tcp

firewall-cmd --reload

Přístup k webovému rozhraní Graylog

Přístup k webovému rozhraní naleznete na níže uvedené adrese URL.

http://ip.add.re.ss:9000

Přihlaste se pomocí uživatelského jména admin a hesla, které jste nakonfigurovali v root_password_sha2 na server.conf.

Jakmile se přihlásíte, uvidíte stránku Začínáme.

Klikněte na Systém » Přehled zjistit stav serveru Graylog.

Závěr

To je vše. Úspěšně jste nainstalovali Graylog na CentOS 8 / RHEL 8. V příštím článku nakonfigurujeme Graylog pro příjem protokolů Rsyslog z externích zdrojů. Jako další čtení můžete zkusit nakonfigurovat Nginx nebo Apache jako reverzní proxy a nastavit HTTPS pro webové rozhraní Graylog.