Как да инсталирате Graylog сървър на CentOS 7

Graylog сървърът е готов за предприятие софтуерен пакет за управление на журнали с отворен код. Той събира регистрационни файлове от различни източници и ги анализира, за да открие и разреши проблеми. Graylog сървърът е основно комбинацията от Elasticsearch, MongoDB и Graylog. Elasticsearch е много популярно приложение с отворен код за съхранение на текст и предоставя много мощни възможности за търсене. MongoDB е приложение с отворен код за съхранение на данни във формат NoSQL. Graylog събира регистрационни файлове от различни източници и предоставя уеб-базирано табло за управление и търсене в регистрационните файлове. Graylog също така предоставя REST API както за конфигурация, така и за данни. Той предоставя конфигурируемо табло за управление, което може да се използва за визуализиране на показатели и наблюдение на тенденции, като се използват статистически данни на полето, бързи стойности и диаграми от едно централно място.

В този урок ще се научите да инсталирате Graylog Server на CentOS 7. Това ръководство е написано за Graylog Server 2.3, но може да работи и на по-нови версии. Ще се научите също да инсталирате Java, Elasticsearch и MongoDB. Ние също така ще защитим екземпляра на MongoDB и ще настроим обратен прокси Nginx за уеб базираното табло за управление и API.

Предпоставки

• Сървърна инстанция Vultr CentOS 7 с поне 4 GB RAM.
• А потребителското Sudo .

В този урок ще използваме 192.0.2.1като публичен IP адрес на сървъра и graylog.example.comкато име на домейн, насочено към сървъра. Заменете всички поява на 192.0.2.1с вашия публичен IP адрес на Vultr и graylog.example.comс действителното ви име на домейн.

Актуализирайте базовата си система с помощта на ръководството Как да актуализирате CentOS 7 . След като вашата система бъде актуализирана, продължете да инсталирате Java.

Инсталирайте Java

Elasticsearch изисква Java 8, за да работи. Той поддържа както Oracle Java, така и OpenJDK, но винаги се препоръчва да използвате Oracle Java, когато е възможно. Oracle предоставя готови за инсталиране RPM пакети. Изтеглете Oracle JDK RPM:

wget --no-cookies --no-check-certificate --header "Cookie:oraclelicense=accept-securebackup-cookie" "http://download.oracle.com/otn-pub/java/jdk/8u144-b01/090f390dda5b47b9b721c7dfaa008135/jdk-8u144-linux-x64.rpm"

Инсталирайте пакета RPM.

sudo yum -y install jdk-8u144-linux-x64.rpm

Ако Java е инсталирана успешно, тогава трябва да можете да проверите нейната версия.

java -version

Ще видите следния изход.

[user@vultr ~]$ java -version
java version "1.8.0_144"
Java(TM) SE Runtime Environment (build 1.8.0_144-b01)
Java HotSpot(TM) 64-Bit Server VM (build 25.144-b01, mixed mode)

Задайте JAVA_HOMEи JRE_HOMEпроменлива на средата, като изпълните:

echo "export JAVA_HOME=/usr/java/jdk1.8.0_144/" >> ~/.bash_profile
echo "export JRE_HOME=/usr/java/jdk1.8.0_144/jre" >> ~/.bash_profile

Сега изведете файла с помощта на следната команда.

source ~/.bash_profile

Изпълнете echo $JAVA_HOMEкомандата, за да проверите дали променливата на средата е зададена или не.

[user@vultr ~]$ echo $JAVA_HOME
/usr/java/jdk1.8.0_144/

Инсталирайте Elasticsearch

Elasticsearch е разпределено, в реално време, мащабируемо и високодостъпно приложение, използвано за съхраняване на регистрационните файлове и търсене в тях. Той съхранява данните в индекси и търсенето в данните е много бързо. Той предоставя различни набори от API, като HTTP RESTful API и роден Java API. Elasticsearch може да се инсталира директно през хранилището на Elasticsearch. Създайте нов файл на хранилището за Elasticsearch.

sudo nano /etc/yum.repos.d/elasticsearch.repo

Попълнете файла със следното съдържание.

[elasticsearch-5.x]
name=Elasticsearch repository for 5.x packages
baseurl=https://artifacts.elastic.co/packages/5.x/yum
gpgcheck=1
gpgkey=https://artifacts.elastic.co/GPG-KEY-elasticsearch
enabled=1
autorefresh=1
type=rpm-md

Импортирайте PGP ключа, използван за подписване на пакетите. Това ще гарантира целостта на пакетите.

sudo rpm --import https://artifacts.elastic.co/GPG-KEY-elasticsearch

Инсталирайте пакета Elasticsearch:

sudo yum -y install elasticsearch

След като пакетът е инсталиран, отворете конфигурационния файл по подразбиране на Elasticsearch.

sudo nano /etc/elasticsearch/elasticsearch.yml

Намерете следния ред, разкоментирайте го и променете стойността от my-applicationна graylog.

cluster.name: graylog

Можете да стартирате Elasticsearch и да го активирате да стартира автоматично при стартиране:

sudo systemctl enable elasticsearch
sudo systemctl start elasticsearch

Elasticsearch вече работи на порт 9200. Проверете дали работи правилно, като изпълните:

curl -XGET 'localhost:9200/?pretty'

Трябва да видите изход, подобен на следния.

[user@vultr ~]$ curl -XGET 'localhost:9200/?pretty'
{
  "name" : "-kYzFA9",
  "cluster_name" : "graylog",
  "cluster_uuid" : "T3JQKehzSqmLThlVkEKPKg",
  "version" : {
    "number" : "5.5.1",
    "build_hash" : "19c13d0",
    "build_date" : "2017-07-18T20:44:24.823Z",
    "build_snapshot" : false,
    "lucene_version" : "6.6.0"
  },
  "tagline" : "You Know, for Search"
}

Ако срещнете грешки, изчакайте няколко секунди и опитайте отново, тъй като на Elasticsearch е необходимо време, за да завърши процеса на стартиране. Elasticsearch вече е инсталиран и работи правилно.

Инсталирайте MongoDB

MongoDB е безплатен сървър на база данни NoSQL с отворен код. За разлика от традиционната база данни, която използва таблици за организиране на своите данни, MongoDB е ориентиран към документи и използва подобни на JSON документи без схеми. Graylog използва MongoDB, за да съхранява своята конфигурация и мета информация. Може да се инсталира директно през хранилището на MongoDB. Създайте нов файл на хранилище за MongoDB.

sudo nano /etc/yum.repos.d/mongodb.repo

Попълнете файла със следното съдържание.

[mongodb-org-3.4]
name=MongoDB Repository
baseurl=https://repo.mongodb.org/yum/redhat/$releasever/mongodb-org/3.4/x86_64/
gpgcheck=1
enabled=1
gpgkey=https://www.mongodb.org/static/pgp/server-3.4.asc

Инсталирайте MongoDB, като изпълните:

sudo yum -y install mongodb-org

Стартирайте MongoDB сървъра и го активирайте да стартира автоматично.

sudo systemctl start mongod
sudo systemctl enable mongod

Инсталирайте сървъра Graylog

Изтеглете най-новото хранилище за Graylog сървър.

sudo rpm -Uvh https://packages.graylog2.org/repo/packages/graylog-2.3-repository_latest.rpm
sudo yum -y update

Инсталирайте Graylog, като изпълните:

sudo yum -y install graylog-server

Graylog сървърът вече е инсталиран на вашия сървър. Преди да можете да го стартирате, ще трябва да конфигурирате няколко неща.

Конфигуриране на Graylog

Инсталирайте pwgenпомощна програма за генериране на силни пароли.

sudo yum -y install pwgen

Сега генерирайте силна тайна парола.

pwgen -N 1 -s 96

Ще изведете подобно на:

[user@vultr ~]$ pwgen -N 1 -s 96
pJqhNbdEY9FtNBfFUtq20lG2m9daacmsZQr59FhyoA0Wu3XQyVZcu5FedPZ9eCiDfjdiYWfRcEQ7a36bVqxSyTzcMMx5Rz8v

Също така генерирайте 256-битов хеш за паролата на root adminпотребителя:

echo -n StrongPassword | sha256sum

Заменете StrongPasswordс паролата, която искате да зададете за adminпотребител. Ще видиш:

[user@vultr ~]$ echo -n StrongPassword | sha256sum
05a181f00c157f70413d33701778a6ee7d2747ac18b9c0fbb8bd71a62dd7a223  -

Отворете конфигурационния файл Graylog:

sudo nano /etc/graylog/server/server.conf

Намерете password_secret =, копирайте и поставете паролата, генерирана чрез pwgenкоманда. Намерете root_password_sha2 =, копирайте и поставете конвертирания SHA 256-битов хеш на вашата администраторска парола. Намерете #root_email =, декоментирайте и посочете своя имейл адрес. Декоментирайте и задайте часовата си зона на root_timezone. Например:

password_secret = pJqhNbdEY9FtNBfFUtq20lG2m9daacmsZQr59FhyoA0Wu3XQyVZcu5FedPZ9eCiDfjdiYWfRcEQ7a36bVqxSyTzcMMx5Rz8v
root_password_sha2 = 05a181f00c157f70413d33701778a6ee7d2747ac18b9c0fbb8bd71a62dd7a223
root_email = [email protected]
root_timezone = Asia/Kolkata

Активирайте уеб базирания Graylog интерфейс, като декомментирате #web_enable = falseи зададете стойността на true. Също така декоментирайте и променете следните редове, както е посочено.

rest_listen_uri = http://0.0.0.0:9000/api/
rest_transport_uri = http://45.76.214.19:9000/api/
web_enable = true
web_listen_uri = http://0.0.0.0:9000/

Запазете файла и излезте от вашия текстов редактор.

Рестартирайте услугата Graylog, като изпълните:

sudo systemctl restart graylog-server

Конфигурирайте Nginx като обратен прокси

По подразбиране уеб интерфейсът на Graylog слуша localhostна порт 9000, а API слуша на порт 9000 с URL /api. В този урок ще използваме Nginx като обратен прокси, така че приложението да може да има достъп чрез стандартен HTTP порт. Инсталирайте уеб сървъра на Nginx, като изпълните:

sudo yum -y install nginx

Отворете виртуалния хост по подразбиране, като напишете.

sudo nano /etc/nginx/nginx.conf

Намерете serverблока под httpи заменете целия serverблок със следните редове.

server
{
    listen 80 default_server;
    listen [::]:80 default_server ipv6only=on;
    server_name graylog.example.com 192.0.2.1;

    location / {
      proxy_set_header Host $http_host;
      proxy_set_header X-Forwarded-Host $host;
      proxy_set_header X-Forwarded-Server $host;
      proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
      proxy_set_header X-Graylog-Server-URL http://$server_name/api;
      proxy_pass       http://127.0.0.1:9000;
    }
}

Стартирайте Nginx и го активирайте да стартира автоматично при стартиране:

sudo systemctl start nginx
sudo systemctl enable nginx

Конфигурирайте защитната стена и SELinux

Ако използвате защитна стена на вашия сървър, ще трябва да конфигурирате защитната стена, за да зададе изключение за определени портове. Позволете на услугата Elasticsearch и обратното прокси Nginx да се свързват извън мрежата.

sudo firewall-cmd --zone=public --permanent --add-service=http
sudo firewall-cmd --zone=public --permanent --add-port=9200/tcp
sudo firewall-cmd --reload

Ако имате активиран SELinux във вашата система, тогава ще трябва да добавите няколко изключения в правилата на SELinux.

sudo setsebool -P httpd_can_network_connect 1
sudo semanage port -a -t http_port_t -p tcp 9000
sudo semanage port -a -t http_port_t -p tcp 9200
sudo semanage port -a -t mongod_port_t -p tcp 27017

Заключение

Инсталацията и основната конфигурация на Graylog сървъра вече са завършени. Вече можете да получите достъп до сървъра Graylog на http://192.0.2.1или http://graylog.example.comако имате конфигуриран DNS. Влезте с потребителското име adminи версията с обикновен текст на паролата, която сте задали по- root_password_sha2рано.

Поздравления - имате напълно работещ Graylog сървър, инсталиран на вашия CentOS 7 сървър.