Graylog (dříve známý jako Graylog2) je platforma pro správu protokolů s otevřeným zdrojovým kódem, která vám pomáhá shromažďovat, indexovat a analyzovat protokoly všech strojů na centralizovaném místě. Tato příručka vám pomůže nainstalovat Graylog2 na CentOS 7 / RHEL 7 pomocí zdroje, zaměřit se také na instalaci čtyř dalších komponent, díky kterým je Graylog2 výkonným nástrojem pro správu úplných protokolů.
Tento návod je pro zastaralou verzi Graylog2. Nová verze je k dispozici zde:Jak nainstalovat Graylog na CentOS 7 / RHEL 7.Graylog můžeme nainstalovat dvěma způsoby,
1. Pomocí zdrojového balíčku.
2. Pomocí oficiálních binárních balíčků (doporučeno).
V tomto tutoriálu ukážu instalaci graylog pomocí zdroje.
Součásti:
1. MongoDB – Ukládá konfigurace a meta informace.
2. Elasticsearch – Ukládá zprávy protokolu a nabízí vyhledávací zařízení, uzly by měly mít velkou paměť, protože zde probíhají všechny I/O operace.
3. GrayLog – Log parser, shromažďuje logy z různých vstupů.
4. Webové rozhraní GrayLog =poskytuje vám webový portál pro správu protokolů.
Předpoklady:
1. Vzhledem k tomu, že Elasticsearch je založen na Javě, museli bychom nainstalovat buď openJDK nebo Oracle JDK. Doporučuje se nainstalovat Oracle JDK, ověřit verzi Java pomocí následujícího příkazu.
# java -version java version "1.8.0_11" Java(TM) SE Runtime Environment (build 1.8.0_11-b12) Java HotSpot(TM) 64-Bit Server VM (build 25.11-b03, mixed mode)
2. Nakonfigurujte úložiště EPEL na CentOS 7 / RHEL 7.
Instalovat Elasticsearch:
Elasticsearch je open source vyhledávací server, který nabízí distribuované vyhledávání a analýzy v reálném čase s webovým rozhraním RESTful. Elasticsearch ukládá všechny protokoly odeslané serverem Graylog a zobrazuje zprávy, když webové rozhraní graylog požaduje úplné vyplnění uživatelského požadavku přes webové rozhraní. Toto téma pokrývá nastavení konfigurace, které je vyžadováno pro Graylog, můžete se také podívat na Install Elasticsearch na CentOS 7 / Ubuntu 14.10 / Linux Mint 17.1, kde najdete podrobné pokyny.
Pojďme nainstalovat Elasticsearch, lze jej stáhnout z oficiálních stránek. Ke stažení přes terminál a jeho instalaci můžete použít následující příkaz.
# wget https://download.elasticsearch.org/elasticsearch/elasticsearch/elasticsearch-1.4.4.noarch.rpm # rpm -Uvh elasticsearch-1.4.4.noarch.rpm
Nakonfigurujte Elasticseach tak, aby se spouštěl během spouštění systému.
# systemctl daemon-reload # systemctl enable elasticsearch.service
Jediná důležitá věc je nastavit název clusteru jako „graylog2 “, který používá graylog. Nyní upravte konfigurační soubor Elasticsearch.
# vi /etc/elasticsearch/elasticsearch.yml cluster.name: graylog2
Zakažte dynamické skripty, abyste se vyhnuli vzdálenému spouštění, což lze provést přidáním následujícího řádku na konec výše uvedeného souboru.
script.disable_dynamic: true
Jakmile bude hotovo, můžeme vyrazit. Předtím restartujte služby Elasticsearch, aby se načetla upravená konfigurace.
# systemctl restart elasticsearch.service
Počkejte alespoň minutu, než se Elasticsearch plně restartuje, jinak se testování nezdaří. Elastisearch by nyní měl poslouchat na 9200 pro zpracování HTTP požadavku, můžeme použít CURL k získání odpovědi. Ujistěte se, že se vrací s názvem clusteru „graylog2 “
# curl -X GET http://localhost:9200
{
"status" : 200,
"name" : "Sinister",
"cluster_name" : "graylog2",
"version" : {
"number" : "1.4.4",
"build_hash" : "c88f77ffc81301dfa9dfd81ca2232f09588bd512",
"build_timestamp" : "2015-02-19T13:05:36Z",
"build_snapshot" : false,
"lucene_version" : "4.10.3"
},
"tagline" : "You Know, for Search" Volitelné: Pomocí následujícího příkazu zkontrolujte stav clusteru Elasticsearch. Aby Graylog fungoval, musíte získat stav clusteru jako „zelený“.
# curl -XGET 'http://localhost:9200/_cluster/health?pretty=true'
{
"cluster_name" : "graylog2",
"status" : "green",
"timed_out" : false,
"number_of_nodes" : 1,
"number_of_data_nodes" : 1,
"active_primary_shards" : 0,
"active_shards" : 0,
"relocating_shards" : 0,
"initializing_shards" : 0,
"unassigned_shards" : 0
} Nainstalovat MongoDB:
MongoDB je k dispozici ve formátu RPM a lze jej stáhnout z oficiálních stránek. Chcete-li nainstalovat MongoDB pomocí yum, přidejte do systému následující informace o úložišti.
# vi /etc/yum.repos.d/mongodb-org-3.0.repo [mongodb-org-3.0] name=MongoDB Repository baseurl=http://repo.mongodb.org/yum/redhat/$releasever/mongodb-org/3.0/x86_64/ gpgcheck=0 enabled=1
Nainstalujte MongoDB pomocí následujícího příkazu.
# yum install -y mongodb-org
Spuštěním následujícího příkazu nakonfigurujte SELinux tak, aby umožnil spuštění MongoDB.
# semanage port -a -t mongod_port_t -p tcp 27017
Nebo, pokud v systému nepoužíváte SELinux, zvažte vypnutí SELinuxu.
Spusťte službu MongoDB a povolte její automatické spouštění během spouštění systému.
# service mongod start # chkconfig mongod on
Výše uvedené kroky jsou dostatečné pro konfiguraci graylog2, podrobnou konfiguraci naleznete zde.
Instalovat Graylog2:
Graylog-server přijímá a zpracovává zprávy protokolu, také vytváří RESTAPI pro požadavky, které přicházejí z graylog-web-interface. Stáhněte si nejnovější verzi graylog z graylog.org, použijte následující příkaz ke stažení pomocí terminálu.
# wget https://packages.graylog2.org/releases/graylog2-server/graylog-1.0.1.tgz
Rozbalte a přesuňte jej do /opt.
# tar -zxvf graylog-1.0.1.tgz # mv graylog-1.0.1 /opt/graylog
Zkopírujte ukázkový konfigurační soubor do /etc/graylog/server, vytvořte adresář, pokud neexistuje.
# mkdir -p /etc/graylog/server # cp /opt/graylog/graylog.conf.example /etc/graylog/server/server.conf
Upravte soubor server.conf.
# vi /etc/graylog/server/server.conf
Ve výše uvedeném souboru nakonfigurujte následující proměnné.
Nastavte tajemství pro zabezpečení uživatelských hesel, použijte následující příkaz k vygenerování tajemství, použijte alespoň 64 znaků.
# pwgen -N 1 -s 96 5uxJaeL4vgP9uKQ1VFdbS5hpAXMXLq0KDvRgARmlI7oxKWQbH9tElSSKTzxmj4PUGlHIpOkoMMwjICYZubUGc9we5tY1FjLB
Pokud se zobrazí „pwgen:příkaz nenalezen “, použijte k instalaci pwgen následující příkaz.
# yum -y install pwgen
Umístěte tajemství.
password_secret = 5uxJaeL4vgP9uKQ1VFdbS5hpAXMXLq0KDvRgARmlI7oxKWQbH9tElSSKTzxmj4PUGlHIpOkoMMwjICYZubUGc9we5tY1FjLB
Dále je potřeba nastavit hash heslo pro uživatele root (neplést se systémovým uživatelem, root uživatelem graylog je admin). Toto heslo budete používat pro přihlášení do webového rozhraní, heslo administrátora nelze pomocí webového rozhraní změnit, pro nastavení je nutné upravit tuto proměnnou.
Nahraďte „vaše heslo “ podle vlastního výběru.
# echo -n yourpassword | sha256sum e3c652f0ba0b4801205814f8b6bc49672c4c74e25b497770bb89b22cdeb4e951
Umístěte hash heslo.
root_password_sha2 = e3c652f0ba0b4801205814f8b6bc49672c4c74e25b497770bb89b22cdeb4e951
Graylog se pokusí najít uzly Elasticsearch automaticky, k tomu používá režim multicast. Ale pokud jde o větší síť, doporučuje se použít režim unicast, který je nejvhodnější pro produkční nastavení. Přidejte tedy do souboru graylog server.conf následující dvě položky, nahraďte ipaddress s živým názvem hostitele nebo IP adresou lze přidat více hostitelů oddělených čárkou.
elasticsearch_http_enabled = false elasticsearch_discovery_zen_ping_unicast_hosts = ipaddress:9300
Definováním níže uvedené proměnné nastavte pouze jeden hlavní uzel, výchozí nastavení je true, musíte jej nastavit jako false, aby se konkrétní uzel stal podřízeným. Hlavní uzel provádí některé pravidelné úkoly, které podřízený uzel neprovede.
is_master = true
Následující proměnná nastavuje počet zpráv protokolu, které se mají uchovávat na index, doporučuje se mít několik menších indexů namísto větších.
elasticsearch_max_docs_per_index = 20000000
Následující parametr definuje celkový počet indexů, pokud je tohoto počtu dosaženo, starý index bude smazán.
elasticsearch_max_number_of_indices = 20
Nastavení Shards opravdu závisí na počtu uzlů v clusteru Elasticsearch, pokud máte pouze jeden uzel, nastavte jej na 1.
elasticsearch_shards = 1
Počet replik pro vaše indexy, pokud máte pouze jeden uzel v clusteru Elasticsearch; nastavte ji na 0.
elasticsearch_replicas = 0
Zadejte své ověřovací údaje MongoDB.
# MongoDB Configuration mongodb_useauth = false #If this is set to false, you do not need to enter the authentication information #mongodb_user = grayloguser #mongodb_password = 123 mongodb_host = 127.0.0.1 #mongodb_replica_set = localhost:27017,localhost:27018,localhost:27019 mongodb_database = graylog2 mongodb_port = 27017
Spusťte server graylog pomocí následujícího příkazu.
# /opt/graylog/bin/graylogctl start
Můžete se podívat na protokoly spouštění serveru, bude pro vás užitečné v případě jakéhokoli problému vyřešit problém s graylogem.
# tailf /opt/graylog/log/graylog-server.log
Po úspěšném spuštění graylog-serveru byste měli v log souboru obdržet následující zprávu.
2015-03-23 16:28:15,825 INFO : org.graylog2.shared.initializers.RestApiService - Started REST API at <http://127.0.0.1:12900/>
Můžete také chtít nakonfigurovat init skript pro Graylog-server.
Instalace webového rozhraní Graylog:
Chcete-li nakonfigurovat webové rozhraní graylog, musíte mít alespoň jeden uzel serveru graylog; stáhněte si stejné číslo verze, abyste se ujistili, že je kompatibilní
# wget https://packages.graylog2.org/releases/graylog2-web-interface/graylog-web-interface-1.0.1.tgz
Rozbalte archiv a přesuňte jej do /opt.
# tar -zxvf graylog-web-interface-1.0.1.tgz # mv graylog-web-interface-1.0.1 /opt/graylog-web-interface
Upravte konfigurační soubor a nastavte následující parametry.
# vi /opt/graylog-web-interface/conf/graylog-web-interface.conf
Toto je seznam uzlů serveru graylog, můžete přidat více uzlů oddělených čárkami.
graylog2-server.uris="http://127.0.0.1:12900/"
Nastavte scret aplikace a lze jej vygenerovat pomocí pwgen -N 1 -s 96.
application.secret="sNXyFf6B4Au3GqSlZwq7En86xp10JimdxxYiLtpptOejX6tIUpUE4DGRJOrcMj07wcK0wugPaapvzEzCYinEWj7BOtHXVl5Z"
Spusťte gralog-web-interface na pozadí pomocí následujícího příkazu,
# nohup /opt/graylog-web-interface/bin/graylog-web-interface &
Můžete také chtít nakonfigurovat Init skript pro Graylog-Web-Interface.
Webové rozhraní bude naslouchat na portu 9000. Nasměrujte na něj svůj prohlížeč. Přihlaste se pomocí uživatelského jména admin a hesla, které jste nakonfigurovali na root_password_sha2 na server.conf .
Nakonfigurujte bránu firewall tak, aby umožňovala provoz na portu 9000.
firewall-cmd --permanent --zone=public --add-port=9000/tcp firewall-cmd --reload
Jakmile se přihlásíte, zobrazí se následující vyhledávací stránka.
To je vše!, úspěšně jste nainstalovali Graylog2 na CentOS 7 / RHEL 7.
Tento návod je pro zastaralou verzi Graylog2. Nová verze je k dispozici zde:Jak nainstalovat Graylog na CentOS 7 / RHEL 7.