Как да инсталирате Graylog Server на Ubuntu 16.04

Graylog сървърът е готов за предприятие софтуерен пакет за управление на журнали с отворен код. Той събира регистрационни файлове от различни източници и ги анализира, за да открие и разреши проблеми. Greylog сървърът е основно комбинацията от Elasticsearch, MongoDB и Graylog. Elasticsearch е много популярно приложение с отворен код за съхранение на текст и предоставя много мощни възможности за търсене. MongoDB е приложение с отворен код за съхранение на данни във формат NoSQL. Graylog събира регистрационни файлове от различни източници и предоставя уеб-базирано табло за управление и търсене в регистрационните файлове. Graylog също така предоставя REST API както за конфигурация, така и за данни. Той предоставя конфигурируемо табло за управление, което може да се използва за визуализиране на показатели и наблюдение на тенденции, като се използват статистически данни на полето, бързи стойности и диаграми от едно централно място.

В този урок ще се научите да инсталирате Graylog Server на Ubuntu 16.04. Това ръководство е написано за Graylog Server 2.3, но може да работи и на по-нови версии. Ще се научите също да инсталирате Java, Elasticsearch и MongoDB. Ние също така ще защитим екземпляра на MongoDB и ще настроим обратен прокси Nginx за уеб базираното табло за управление и API.

Предпоставки

• Vultr Ubuntu 16.04 сървърен екземпляр с поне 4 GB RAM.
• А потребителското Sudo .

В този урок ще използваме 192.0.2.1като публичен IP адрес на сървъра и graylog.example.comкато име на домейн, насочено към сървъра. Заменете всички поява на 192.0.2.1с вашия публичен IP адрес на Vultr и graylog.example.comс действителното ви име на домейн.

Актуализирайте базовата си система с помощта на ръководството Как да актуализирате Ubuntu 16.04 . След като вашата система бъде актуализирана, продължете да инсталирате Java.

Инсталирайте Java

Elasticsearch изисква Java 8, за да работи. Той поддържа както Oracle Java, така и OpenJDK, но винаги се препоръчва да използвате Oracle Java, когато е възможно. Добавете Oracle Java PPA хранилище:

sudo add-apt-repository ppa:webupd8team/java

Актуализирайте метаданните на хранилището на APT:

sudo apt update

Инсталирайте най-новата стабилна версия на Java 8, стартирайте:

sudo apt -y install oracle-java8-installer

Приемете лицензионното споразумение, когато бъдете подканени. Ако Java е инсталирана успешно, тогава трябва да можете да проверите нейната версия.

java -version

Ще видите следния изход.

user@vultr:~$ java -version
java version "1.8.0_144"
Java(TM) SE Runtime Environment (build 1.8.0_144-b01)
Java HotSpot(TM) 64-Bit Server VM (build 25.144-b01, mixed mode)

Задайте JAVA_HOMEи други настройки по подразбиране, като инсталирате oracle-java8-set-default. Пусни:

sudo apt -y install oracle-java8-set-default

Изпълнете echo $JAVA_HOMEкомандата, за да проверите дали променливата на средата е зададена или не.

user@vultr:~$ echo "$JAVA_HOME"
/usr/lib/jvm/java-8-oracle

Ако не получите изхода, показан по-горе, може да се наложи да излезете и да влезете отново в shell.

Инсталирайте Elasticsearch

Elasticsearch е разпределено, в реално време, мащабируемо и високодостъпно приложение, използвано за съхраняване на регистрационните файлове и търсене в тях. Той съхранява данните в индекси и търсенето в данните е много бързо. Той предоставя различни набори от API, като HTTP RESTful API и роден Java API. Elasticsearch може да се инсталира директно през хранилището на Elasticsearch. Добавете хранилището на Elasticsearch APT:

echo "deb https://artifacts.elastic.co/packages/5.x/apt stable main" | sudo tee -a /etc/apt/sources.list.d/elastic-5.x.list

Импортирайте PGP ключа, използван за подписване на пакетите. Това ще гарантира целостта на пакетите.

wget -qO - https://artifacts.elastic.co/GPG-KEY-elasticsearch | sudo apt-key add -

Актуализирайте метаданните на хранилището на APT.

sudo apt update

Инсталирайте пакета Elasticsearch:

sudo apt -y install elasticsearch

След като пакетът е инсталиран, отворете конфигурационния файл по подразбиране на Elasticsearch.

sudo nano /etc/elasticsearch/elasticsearch.yml

Намерете следния ред, разкоментирайте го и променете стойността от my-applicationна graylog.

cluster.name: graylog

Можете да стартирате Elasticsearch и да го активирате да стартира автоматично при стартиране:

sudo systemctl enable elasticsearch
sudo systemctl start elasticsearch

Elasticsearch вече работи на порт 9200. Проверете дали работи правилно, като изпълните:

curl -XGET 'localhost:9200/?pretty'

Трябва да видите изход, подобен на следния.

[user@vultr ~]$ curl -XGET 'localhost:9200/?pretty'
{
  "name" : "-kYzFA9",
  "cluster_name" : "graylog",
  "cluster_uuid" : "T3JQKehzSqmLThlVkEKPKg",
  "version" : {
    "number" : "5.5.1",
    "build_hash" : "19c13d0",
    "build_date" : "2017-07-18T20:44:24.823Z",
    "build_snapshot" : false,
    "lucene_version" : "6.6.0"
  },
  "tagline" : "You Know, for Search"
}

Ако срещнете грешки, изчакайте няколко секунди и опитайте отново, тъй като на Elasticsearch е необходимо време, за да завърши процеса на стартиране. Elasticsearch вече е инсталиран и работи правилно.

Инсталирайте MongoDB

MongoDB е безплатен сървър на база данни NoSQL с отворен код. За разлика от традиционната база данни, която използва таблици за организиране на своите данни, MongoDB е ориентиран към документи и използва подобни на JSON документи без схеми. Graylog използва MongoDB, за да съхранява своята конфигурация и мета информация. Може да се инсталира директно през хранилището на MongoDB. Импортирайте GPG ключа, използван за подписване на пакета. Това ще гарантира автентичността на пакетите.

sudo apt-key adv --keyserver hkp://keyserver.ubuntu.com:80 --recv 0C49F3730359A14518585931BC711F9BA15703C6

Сега създайте файла на хранилището:

echo "deb [ arch=amd64,arm64 ] http://repo.mongodb.org/apt/ubuntu xenial/mongodb-org/3.4 multiverse" | sudo tee /etc/apt/sources.list.d/mongodb-org-3.4.list

Актуализирайте метаданните на хранилището на APT.

sudo apt update

Инсталирайте пакета MongoDB:

sudo apt -y install mongodb-org

Стартирайте MongoDB сървъра и го активирайте да стартира автоматично.

sudo systemctl start mongod
sudo systemctl enable mongod

Инсталирайте сървъра Graylog

Изтеглете и най-новото хранилище за Graylog сървър.

wget https://packages.graylog2.org/repo/packages/graylog-2.3-repository_latest.deb
sudo dpkg -i graylog-2.3-repository_latest.deb
sudo apt update

Инсталирайте пакета Graylog:

sudo apt install graylog-server

Graylog сървърът вече е инсталиран на вашия сървър. Преди да можете да го стартирате, ще трябва да конфигурирате няколко неща.

Конфигуриране на Graylog

Инсталирайте pwgenпомощна програма за генериране на силни пароли.

sudo apt -y install pwgen

Сега генерирайте силна тайна парола.

pwgen -N 1 -s 96

Ще изведете подобно на:

[user@vultr ~]$ pwgen -N 1 -s 96
pJqhNbdEY9FtNBfFUtq20lG2m9daacmsZQr59FhyoA0Wu3XQyVZcu5FedPZ9eCiDfjdiYWfRcEQ7a36bVqxSyTzcMMx5Rz8v

Също така генерирайте 256-битов хеш за паролата на root adminпотребителя:

echo -n StrongPassword | sha256sum

Заменете StrongPasswordс паролата, която искате да зададете за adminпотребител. Ще видиш:

[user@vultr ~]$ echo -n StrongPassword | sha256sum
05a181f00c157f70413d33701778a6ee7d2747ac18b9c0fbb8bd71a62dd7a223  -

Отворете конфигурационния файл Graylog:

sudo nano /etc/graylog/server/server.conf

Намерете password_secret =, копирайте и поставете паролата, генерирана чрез pwgenкоманда. Намерете root_password_sha2 =, копирайте и поставете конвертирания SHA 256-битов хеш на вашата администраторска парола. Намерете #root_email =, декоментирайте и посочете своя имейл адрес. Декоментирайте и задайте часовата си зона на root_timezone. Например:

password_secret = pJqhNbdEY9FtNBfFUtq20lG2m9daacmsZQr59FhyoA0Wu3XQyVZcu5FedPZ9eCiDfjdiYWfRcEQ7a36bVqxSyTzcMMx5Rz8v
root_password_sha2 = 05a181f00c157f70413d33701778a6ee7d2747ac18b9c0fbb8bd71a62dd7a223
root_email = [email protected]
root_timezone = Asia/Kolkata

Активирайте уеб базирания Graylog интерфейс, като декомментирате #web_enable = falseи зададете стойността му на true. Също така декоментирайте и променете следните редове, както е посочено.

rest_listen_uri = http://0.0.0.0:9000/api/
rest_transport_uri = http://192.0.2.1:9000/api/
web_enable = true
web_listen_uri = http://0.0.0.0:9000/

Запазете файла и излезте от вашия текстов редактор.

Рестартирайте и активирайте услугата Graylog, като изпълните:

sudo systemctl restart graylog-server
sudo systemctl enable graylog-server

Конфигурирайте Nginx като обратен прокси

По подразбиране уеб интерфейсът на Graylog слуша localhostна порт 9000, а API слуша на порт 9000 с URL /api. В този урок ще използваме Nginx като обратен прокси, така че приложението да може да има достъп чрез стандартен HTTP порт. Инсталирайте уеб сървъра на Nginx, като изпълните:

sudo apt -y install nginx

Отворете файла за виртуален хост по подразбиране, като напишете.

sudo nano /etc/nginx/sites-available/default

Заменете съществуващото съдържание със следните редове:

server
{
    listen 80 default_server;
    listen [::]:80 default_server ipv6only=on;
    server_name 192.0.2.1 graylog.example.com;

    location / {
      proxy_set_header Host $http_host;
      proxy_set_header X-Forwarded-Host $host;
      proxy_set_header X-Forwarded-Server $host;
      proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
      proxy_set_header X-Graylog-Server-URL http://$server_name/api;
      proxy_pass       http://127.0.0.1:9000;
    }
}

Стартирайте Nginx и го активирайте да стартира автоматично при стартиране:

sudo systemctl restart nginx
sudo systemctl enable nginx

Заключение

Инсталацията и основната конфигурация на Graylog сървъра вече са завършени. Вече можете да получите достъп до сървъра Graylog на http://192.0.2.1или http://graylog.example.comако имате конфигуриран DNS. Влезте с потребителското име adminи версията с обикновен текст на паролата, която сте задали по- root_password_sha2рано.

Поздравления - имате напълно работещ Graylog сървър, инсталиран на вашия Ubuntu 16.04 сървър.