Com instal·lar el servidor Graylog a Ubuntu 16.04

El servidor Graylog és una suite de programari de gestió de registres de codi obert preparat per a empreses. Recull registres de diverses fonts i els analitza per descobrir i resoldre problemes. El servidor Greylog és bàsicament la combinació d'Elasticsearch, MongoDB i Graylog. Elasticsearch és una aplicació de codi obert molt popular per emmagatzemar text i proporcionar capacitats de cerca molt potents. MongoDB és una aplicació de codi obert per emmagatzemar dades en format NoSQL. Graylog recull registres de diverses fonts i proporciona un tauler de control basat en web per gestionar i cercar els registres. Graylog també proporciona una API REST tant per a la configuració com per a les dades. Proporciona un tauler de control configurable que es pot utilitzar per visualitzar mètriques i observar tendències mitjançant estadístiques de camp, valors ràpids i gràfics des d'una ubicació central.

En aquest tutorial, aprendràs a instal·lar Graylog Server a Ubuntu 16.04. Aquesta guia va ser escrita per a Graylog Server 2.3, però també pot funcionar amb versions més noves. També aprendràs a instal·lar Java, Elasticsearch i MongoDB. També protegirem la instància de MongoDB i configurarem un servidor intermediari invers Nginx per al tauler de control i l'API basats en web.

Requisits previs

• Una instància del servidor Vultr Ubuntu 16.04 amb almenys 4 GB de RAM.
• Un usuari de sudo .

En aquest tutorial, utilitzarem 192.0.2.1com a adreça IP pública del servidor i graylog.example.comcom a nom de domini apuntat al servidor. Substituïu totes les ocurrències de 192.0.2.1per la vostra adreça IP pública Vultr i graylog.example.compel vostre nom de domini real.

Actualitzeu el vostre sistema base mitjançant la guia Com actualitzar Ubuntu 16.04 . Un cop actualitzat el sistema, procediu a instal·lar Java.

Instal·leu Java

Elasticsearch requereix Java 8 per executar-se. És compatible amb Oracle Java i OpenJDK, però sempre es recomana utilitzar Oracle Java quan sigui possible. Afegiu el dipòsit PPA d'Oracle Java:

sudo add-apt-repository ppa:webupd8team/java

Actualitzeu les metadades del repositori APT:

sudo apt update

Instal·leu la darrera versió estable de Java 8, executeu:

sudo apt -y install oracle-java8-installer

Accepteu l'acord de llicència quan se us demani. Si Java s'ha instal·lat correctament, hauríeu de poder verificar la seva versió.

java -version

Veureu la següent sortida.

user@vultr:~$ java -version
java version "1.8.0_144"
Java(TM) SE Runtime Environment (build 1.8.0_144-b01)
Java HotSpot(TM) 64-Bit Server VM (build 25.144-b01, mixed mode)

Establiu el JAVA_HOMEi altres valors predeterminats instal·lant oracle-java8-set-default. Correr:

sudo apt -y install oracle-java8-set-default

Executeu l' echo $JAVA_HOMEordre per comprovar si la variable d'entorn està establerta o no.

user@vultr:~$ echo "$JAVA_HOME"
/usr/lib/jvm/java-8-oracle

Si no obteniu la sortida que es mostra més amunt, és possible que hàgiu de tancar la sessió i tornar a iniciar sessió al shell.

Instal·leu Elasticsearch

Elasticsearch és una aplicació distribuïda, en temps real, escalable i d'alta disponibilitat que s'utilitza per emmagatzemar els registres i cercar-hi. Emmagatzema les dades en índexs i la cerca a través de les dades és molt ràpida. Proporciona diversos conjunts d'API, com ara l'API HTTP RESTful i l'API nativa de Java. Elasticsearch es pot instal·lar directament a través del repositori Elasticsearch. Afegiu el repositori APT d'Elasticsearch:

echo "deb https://artifacts.elastic.co/packages/5.x/apt stable main" | sudo tee -a /etc/apt/sources.list.d/elastic-5.x.list

Importeu la clau PGP utilitzada per signar els paquets. Això garantirà la integritat dels paquets.

wget -qO - https://artifacts.elastic.co/GPG-KEY-elasticsearch | sudo apt-key add -

Actualitzeu les metadades del repositori APT.

sudo apt update

Instal·leu el paquet Elasticsearch:

sudo apt -y install elasticsearch

Un cop instal·lat el paquet, obriu el fitxer de configuració predeterminat d'Elasticsearch.

sudo nano /etc/elasticsearch/elasticsearch.yml

Cerqueu la línia següent, descomenteu-la i canvieu el valor de my-applicationa graylog.

cluster.name: graylog

Podeu iniciar Elasticsearch i habilitar-lo perquè s'iniciï automàticament en el moment de l'arrencada:

sudo systemctl enable elasticsearch
sudo systemctl start elasticsearch

Elasticsearch s'està executant al port 9200. Comproveu que funcioni correctament executant:

curl -XGET 'localhost:9200/?pretty'

Hauríeu de veure una sortida similar a la següent.

[user@vultr ~]$ curl -XGET 'localhost:9200/?pretty'
{
  "name" : "-kYzFA9",
  "cluster_name" : "graylog",
  "cluster_uuid" : "T3JQKehzSqmLThlVkEKPKg",
  "version" : {
    "number" : "5.5.1",
    "build_hash" : "19c13d0",
    "build_date" : "2017-07-18T20:44:24.823Z",
    "build_snapshot" : false,
    "lucene_version" : "6.6.0"
  },
  "tagline" : "You Know, for Search"
}

Si trobeu errors, espereu uns segons i torneu-ho a provar, ja que Elasticsearch necessita temps per completar el seu procés d'inici. Elasticsearch ara està instal·lat i funciona correctament.

Instal·leu MongoDB

MongoDB és un servidor de bases de dades NoSQL gratuït i de codi obert. A diferència de la base de dades tradicional que utilitza taules per organitzar les seves dades, MongoDB està orientat a documents i utilitza documents semblants a JSON sense esquemes. Graylog utilitza MongoDB per emmagatzemar la seva configuració i meta informació. Es pot instal·lar directament a través del repositori MongoDB. Importeu la clau GPG utilitzada per signar el paquet. Això garantirà l'autenticitat dels paquets.

sudo apt-key adv --keyserver hkp://keyserver.ubuntu.com:80 --recv 0C49F3730359A14518585931BC711F9BA15703C6

Ara creeu el fitxer Repositori:

echo "deb [ arch=amd64,arm64 ] http://repo.mongodb.org/apt/ubuntu xenial/mongodb-org/3.4 multiverse" | sudo tee /etc/apt/sources.list.d/mongodb-org-3.4.list

Actualitzeu les metadades del repositori APT.

sudo apt update

Instal·leu el paquet MongoDB:

sudo apt -y install mongodb-org

Inicieu el servidor MongoDB i activeu-lo perquè s'iniciï automàticament.

sudo systemctl start mongod
sudo systemctl enable mongod

Instal·leu el servidor Graylog

Baixeu i el dipòsit més recent per al servidor Graylog.

wget https://packages.graylog2.org/repo/packages/graylog-2.3-repository_latest.deb
sudo dpkg -i graylog-2.3-repository_latest.deb
sudo apt update

Instal·leu el paquet Graylog:

sudo apt install graylog-server

El servidor Graylog ara està instal·lat al vostre servidor. Abans de començar-lo, haureu de configurar algunes coses.

Configura Graylog

Instal·leu la pwgenutilitat per generar contrasenyes fortes.

sudo apt -y install pwgen

Ara genereu un secret de contrasenya segura.

pwgen -N 1 -s 96

Sortiràs semblant a:

[user@vultr ~]$ pwgen -N 1 -s 96
pJqhNbdEY9FtNBfFUtq20lG2m9daacmsZQr59FhyoA0Wu3XQyVZcu5FedPZ9eCiDfjdiYWfRcEQ7a36bVqxSyTzcMMx5Rz8v

A més, genereu un hash de 256 bits per a la contrasenya de l' adminusuari root :

echo -n StrongPassword | sha256sum

Substituïu StrongPassword-la per la contrasenya que voleu establir per a l' adminusuari. Ja ho veuràs:

[user@vultr ~]$ echo -n StrongPassword | sha256sum
05a181f00c157f70413d33701778a6ee7d2747ac18b9c0fbb8bd71a62dd7a223  -

Obriu el fitxer de configuració de Graylog:

sudo nano /etc/graylog/server/server.conf

Cerqueu password_secret =, copieu i enganxeu la contrasenya generada mitjançant l' pwgenordre. Cerqueu root_password_sha2 =, copieu i enganxeu el hash SHA convertit de 256 bits de la vostra contrasenya d'administrador. Cerqueu #root_email =, elimineu els comentaris i proporcioneu la vostra adreça de correu electrònic. Deixeu de comentar i configureu la vostra zona horària a root_timezone. Per exemple:

password_secret = pJqhNbdEY9FtNBfFUtq20lG2m9daacmsZQr59FhyoA0Wu3XQyVZcu5FedPZ9eCiDfjdiYWfRcEQ7a36bVqxSyTzcMMx5Rz8v
root_password_sha2 = 05a181f00c157f70413d33701778a6ee7d2747ac18b9c0fbb8bd71a62dd7a223
root_email = [email protected]
root_timezone = Asia/Kolkata

Activeu la interfície de Graylog basada en web eliminant els comentaris #web_enable = falsei establint-ne el valor a true. També descomenta i canvia les línies següents tal com s'especifica.

rest_listen_uri = http://0.0.0.0:9000/api/
rest_transport_uri = http://192.0.2.1:9000/api/
web_enable = true
web_listen_uri = http://0.0.0.0:9000/

Deseu el fitxer i sortiu del vostre editor de text.

Reinicieu i activeu el servei Graylog executant:

sudo systemctl restart graylog-server
sudo systemctl enable graylog-server

Configureu Nginx com a servidor intermediari invers

De manera predeterminada, la interfície web de Graylog escolta al localhostport 9000 i l'API escolta al port 9000 amb URL /api. En aquest tutorial, utilitzarem Nginx com a servidor intermediari invers perquè es pugui accedir a l'aplicació mitjançant el port HTTP estàndard. Instal·leu el servidor web Nginx executant:

sudo apt -y install nginx

Obriu el fitxer d'amfitrió virtual predeterminat escrivint.

sudo nano /etc/nginx/sites-available/default

Substituïu el contingut existent per les línies següents:

server
{
    listen 80 default_server;
    listen [::]:80 default_server ipv6only=on;
    server_name 192.0.2.1 graylog.example.com;

    location / {
      proxy_set_header Host $http_host;
      proxy_set_header X-Forwarded-Host $host;
      proxy_set_header X-Forwarded-Server $host;
      proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
      proxy_set_header X-Graylog-Server-URL http://$server_name/api;
      proxy_pass       http://127.0.0.1:9000;
    }
}

Inicieu Nginx i activeu-lo perquè s'iniciï automàticament en el moment de l'arrencada:

sudo systemctl restart nginx
sudo systemctl enable nginx

Conclusió

La instal·lació i la configuració bàsica del servidor Graylog ja s'han completat. Ara podeu accedir al servidor Graylog a http://192.0.2.1o http://graylog.example.comsi teniu DNS configurat. Inicieu sessió amb el nom d'usuari admini la versió de text sense format de la contrasenya que heu establert root_password_sha2anteriorment.

Enhorabona: teniu un servidor Graylog que funciona completament instal·lat al vostre servidor Ubuntu 16.04.