Jak nainstalovat Graylog Server na CentOS 7

Graylog server je open source software pro správu protokolů připravený pro podniky. Shromažďuje protokoly z různých zdrojů a analyzuje je, aby zjistil a vyřešil problémy. Graylog server je v podstatě kombinací Elasticsearch, MongoDB a Graylog. Elasticsearch je velmi populární open source aplikace pro ukládání textu a poskytuje velmi výkonné možnosti vyhledávání. MongoDB je open source aplikace pro ukládání dat ve formátu NoSQL. Graylog shromažďuje protokoly z různých zdrojů a poskytuje webový řídicí panel pro správu a prohledávání protokolů. Graylog také poskytuje REST API pro konfiguraci i data. Poskytuje konfigurovatelný řídicí panel, který lze použít k vizualizaci metrik a pozorování trendů pomocí terénních statistik, rychlých hodnot a grafů z jednoho centrálního místa.

V tomto tutoriálu se naučíte nainstalovat Graylog Server na CentOS 7. Tato příručka byla napsána pro Graylog Server 2.3, ale může fungovat i na novějších verzích. Naučíte se také instalovat Javu, Elasticsearch a MongoDB. Zabezpečíme také instanci MongoDB a nastavíme reverzní proxy Nginx pro webový dashboard a API.

Předpoklady

• Instance serveru Vultr CentOS 7 s alespoň 4 GB RAM.
• Uživatel sudo .

V tomto tutoriálu budeme používat 192.0.2.1jako veřejnou IP adresu serveru a graylog.example.comjako název domény odkazující na server. Nahraďte všechny výskyty 192.0.2.1vaší veřejnou IP adresou Vultr a graylog.example.comvaším skutečným názvem domény.

Aktualizujte svůj základní systém pomocí průvodce Jak aktualizovat CentOS 7 . Jakmile bude váš systém aktualizován, pokračujte v instalaci Javy.

Nainstalujte Javu

Elasticsearch vyžaduje ke spuštění Java 8. Podporuje Oracle Java i OpenJDK, ale vždy se doporučuje používat Oracle Java, je-li to možné. Oracle poskytuje balíčky RPM připravené k instalaci. Stáhněte si Oracle JDK RPM:

wget --no-cookies --no-check-certificate --header "Cookie:oraclelicense=accept-securebackup-cookie" "http://download.oracle.com/otn-pub/java/jdk/8u144-b01/090f390dda5b47b9b721c7dfaa008135/jdk-8u144-linux-x64.rpm"

Nainstalujte balíček RPM.

sudo yum -y install jdk-8u144-linux-x64.rpm

Pokud se Java úspěšně nainstalovala, měli byste být schopni ověřit její verzi.

java -version

Uvidíte následující výstup.

[user@vultr ~]$ java -version
java version "1.8.0_144"
Java(TM) SE Runtime Environment (build 1.8.0_144-b01)
Java HotSpot(TM) 64-Bit Server VM (build 25.144-b01, mixed mode)

Nastavení JAVA_HOMEa JRE_HOMEproměnná prostředí spuštěním:

echo "export JAVA_HOME=/usr/java/jdk1.8.0_144/" >> ~/.bash_profile
echo "export JRE_HOME=/usr/java/jdk1.8.0_144/jre" >> ~/.bash_profile

Nyní vytvořte zdroj souboru pomocí následujícího příkazu.

source ~/.bash_profile

Spuštěním echo $JAVA_HOMEpříkazu zkontrolujte, zda je proměnná prostředí nastavena nebo ne.

[user@vultr ~]$ echo $JAVA_HOME
/usr/java/jdk1.8.0_144/

Nainstalujte Elasticsearch

Elasticsearch je distribuovaná, v reálném čase, škálovatelná a vysoce dostupná aplikace používaná k ukládání protokolů a prohledávání v nich. Data ukládá do indexů a prohledávání dat je velmi rychlé. Poskytuje různé sady rozhraní API, jako je HTTP RESTful API a nativní Java API. Elasticsearch lze nainstalovat přímo prostřednictvím úložiště Elasticsearch. Vytvořte nový soubor úložiště pro Elasticsearch.

sudo nano /etc/yum.repos.d/elasticsearch.repo

Naplňte soubor následujícím obsahem.

[elasticsearch-5.x]
name=Elasticsearch repository for 5.x packages
baseurl=https://artifacts.elastic.co/packages/5.x/yum
gpgcheck=1
gpgkey=https://artifacts.elastic.co/GPG-KEY-elasticsearch
enabled=1
autorefresh=1
type=rpm-md

Importujte klíč PGP používaný k podpisu balíčků. Tím bude zajištěna integrita balíčků.

sudo rpm --import https://artifacts.elastic.co/GPG-KEY-elasticsearch

Nainstalujte balíček Elasticsearch:

sudo yum -y install elasticsearch

Jakmile je balíček nainstalován, otevřete výchozí konfigurační soubor Elasticsearch.

sudo nano /etc/elasticsearch/elasticsearch.yml

Najděte následující řádek, odkomentujte jej a změňte hodnotu z my-applicationna graylog.

cluster.name: graylog

Můžete spustit Elasticsearch a povolit, aby se automaticky spustil při spouštění:

sudo systemctl enable elasticsearch
sudo systemctl start elasticsearch

Elasticsearch nyní běží na portu 9200. Ověřte, že funguje správně spuštěním:

curl -XGET 'localhost:9200/?pretty'

Měli byste vidět výstup podobný následujícímu.

[user@vultr ~]$ curl -XGET 'localhost:9200/?pretty'
{
  "name" : "-kYzFA9",
  "cluster_name" : "graylog",
  "cluster_uuid" : "T3JQKehzSqmLThlVkEKPKg",
  "version" : {
    "number" : "5.5.1",
    "build_hash" : "19c13d0",
    "build_date" : "2017-07-18T20:44:24.823Z",
    "build_snapshot" : false,
    "lucene_version" : "6.6.0"
  },
  "tagline" : "You Know, for Search"
}

Pokud narazíte na chyby, počkejte několik sekund a zkuste to znovu, protože Elasticsearch nějakou dobu trvá, než dokončí proces spouštění. Elasticsearch je nyní nainstalován a funguje správně.

Nainstalujte MongoDB

MongoDB je bezplatný a open source databázový server NoSQL. Na rozdíl od tradiční databáze, která k uspořádání dat používá tabulky, je MongoDB orientován na dokumenty a používá dokumenty podobné JSON bez schémat. Graylog používá MongoDB k ukládání své konfigurace a meta informací. Lze jej nainstalovat přímo přes úložiště MongoDB. Vytvořte nový soubor úložiště pro MongoDB.

sudo nano /etc/yum.repos.d/mongodb.repo

Naplňte soubor následujícím obsahem.

[mongodb-org-3.4]
name=MongoDB Repository
baseurl=https://repo.mongodb.org/yum/redhat/$releasever/mongodb-org/3.4/x86_64/
gpgcheck=1
enabled=1
gpgkey=https://www.mongodb.org/static/pgp/server-3.4.asc

Nainstalujte MongoDB spuštěním:

sudo yum -y install mongodb-org

Spusťte server MongoDB a povolte jeho automatické spouštění.

sudo systemctl start mongod
sudo systemctl enable mongod

Nainstalujte server Graylog

Stáhněte si nejnovější úložiště pro server Graylog.

sudo rpm -Uvh https://packages.graylog2.org/repo/packages/graylog-2.3-repository_latest.rpm
sudo yum -y update

Nainstalujte Graylog spuštěním:

sudo yum -y install graylog-server

Graylog server je nyní nainstalován na vašem serveru. Než jej spustíte, budete muset nakonfigurovat několik věcí.

Nakonfigurujte Graylog

Nainstalujte pwgennástroj pro generování silných hesel.

sudo yum -y install pwgen

Nyní vygenerujte tajné silné heslo.

pwgen -N 1 -s 96

Výstup bude podobný jako:

[user@vultr ~]$ pwgen -N 1 -s 96
pJqhNbdEY9FtNBfFUtq20lG2m9daacmsZQr59FhyoA0Wu3XQyVZcu5FedPZ9eCiDfjdiYWfRcEQ7a36bVqxSyTzcMMx5Rz8v

Také vygenerujte 256bitový hash pro heslo adminuživatele root :

echo -n StrongPassword | sha256sum

Nahraďte StrongPasswordheslem, které chcete uživateli nastavit admin. Uvidíš:

[user@vultr ~]$ echo -n StrongPassword | sha256sum
05a181f00c157f70413d33701778a6ee7d2747ac18b9c0fbb8bd71a62dd7a223  -

Otevřete konfigurační soubor Graylog:

sudo nano /etc/graylog/server/server.conf

Najděte password_secret =, zkopírujte a vložte heslo vygenerované pwgenpříkazem. Najděte root_password_sha2 =, zkopírujte a vložte převedený 256bitový hash SHA svého hesla správce. Najděte #root_email =, odkomentujte a zadejte svou e-mailovou adresu. Odkomentujte a nastavte své časové pásmo na root_timezone. Například:

password_secret = pJqhNbdEY9FtNBfFUtq20lG2m9daacmsZQr59FhyoA0Wu3XQyVZcu5FedPZ9eCiDfjdiYWfRcEQ7a36bVqxSyTzcMMx5Rz8v
root_password_sha2 = 05a181f00c157f70413d33701778a6ee7d2747ac18b9c0fbb8bd71a62dd7a223
root_email = [email protected]
root_timezone = Asia/Kolkata

Povolte webové rozhraní Graylog zrušením komentáře #web_enable = falsea nastavením hodnoty na true. Také odkomentujte a změňte následující řádky, jak je uvedeno.

rest_listen_uri = http://0.0.0.0:9000/api/
rest_transport_uri = http://45.76.214.19:9000/api/
web_enable = true
web_listen_uri = http://0.0.0.0:9000/

Uložte soubor a ukončete textový editor.

Restartujte službu Graylog spuštěním:

sudo systemctl restart graylog-server

Nakonfigurujte Nginx jako reverzní proxy

Ve výchozím nastavení naslouchá webové rozhraní Graylog localhostna portu 9000 a API naslouchá na portu 9000 s URL /api. V tomto tutoriálu použijeme Nginx jako reverzní proxy, takže k aplikaci lze přistupovat přes standardní HTTP port. Nainstalujte webový server Nginx spuštěním:

sudo yum -y install nginx

Otevřete výchozího virtuálního hostitele zadáním.

sudo nano /etc/nginx/nginx.conf

Najděte serverblok pod httpa nahraďte celý serverblok následujícími řádky.

server
{
    listen 80 default_server;
    listen [::]:80 default_server ipv6only=on;
    server_name graylog.example.com 192.0.2.1;

    location / {
      proxy_set_header Host $http_host;
      proxy_set_header X-Forwarded-Host $host;
      proxy_set_header X-Forwarded-Server $host;
      proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
      proxy_set_header X-Graylog-Server-URL http://$server_name/api;
      proxy_pass       http://127.0.0.1:9000;
    }
}

Spusťte Nginx a povolte jeho automatické spouštění při spouštění:

sudo systemctl start nginx
sudo systemctl enable nginx

Nakonfigurujte firewall a SELinux

Pokud na svém serveru používáte bránu firewall, budete ji muset nakonfigurovat tak, aby pro určité porty nastavila výjimku. Povolit službě Elasticsearch a reverznímu proxy serveru Nginx připojení zvenčí sítě.

sudo firewall-cmd --zone=public --permanent --add-service=http
sudo firewall-cmd --zone=public --permanent --add-port=9200/tcp
sudo firewall-cmd --reload

Pokud máte na svém systému povolen SELinux, budete muset přidat několik výjimek do zásad SELinux.

sudo setsebool -P httpd_can_network_connect 1
sudo semanage port -a -t http_port_t -p tcp 9000
sudo semanage port -a -t http_port_t -p tcp 9200
sudo semanage port -a -t mongod_port_t -p tcp 27017

Závěr

Instalace a základní konfigurace serveru Graylog je nyní dokončena. Nyní můžete přistupovat k serveru Graylog na http://192.0.2.1nebo, http://graylog.example.compokud máte nakonfigurovaný DNS. Přihlaste se pomocí uživatelského jména admina hesla, které jste nastavili root_password_sha2dříve.

Gratulujeme – na vašem serveru CentOS 7 máte nainstalovaný plně funkční server Graylog.