Jak nainstalovat Graylog Server na Ubuntu 16.04

Graylog server je open source software pro správu protokolů připravený pro podniky. Shromažďuje protokoly z různých zdrojů a analyzuje je, aby zjistil a vyřešil problémy. Greylog server je v podstatě kombinací Elasticsearch, MongoDB a Graylog. Elasticsearch je velmi populární open source aplikace pro ukládání textu a poskytuje velmi výkonné možnosti vyhledávání. MongoDB je open source aplikace pro ukládání dat ve formátu NoSQL. Graylog shromažďuje protokoly z různých zdrojů a poskytuje webový řídicí panel pro správu a prohledávání protokolů. Graylog také poskytuje REST API pro konfiguraci i data. Poskytuje konfigurovatelný řídicí panel, který lze použít k vizualizaci metrik a pozorování trendů pomocí terénních statistik, rychlých hodnot a grafů z jednoho centrálního místa.

V tomto tutoriálu se naučíte nainstalovat Graylog Server na Ubuntu 16.04. Tato příručka byla napsána pro Graylog Server 2.3, ale může fungovat i na novějších verzích. Naučíte se také instalovat Javu, Elasticsearch a MongoDB. Zabezpečíme také instanci MongoDB a nastavíme reverzní proxy Nginx pro webový dashboard a API.

Předpoklady

• Instance serveru Vultr Ubuntu 16.04 s alespoň 4 GB RAM.
• Uživatel sudo .

V tomto tutoriálu budeme používat 192.0.2.1jako veřejnou IP adresu serveru a graylog.example.comjako název domény odkazující na server. Nahraďte všechny výskyty 192.0.2.1vaší veřejnou IP adresou Vultr a graylog.example.comvaším skutečným názvem domény.

Aktualizujte svůj základní systém pomocí průvodce Jak aktualizovat Ubuntu 16.04 . Jakmile bude váš systém aktualizován, pokračujte v instalaci Javy.

Nainstalujte Javu

Elasticsearch vyžaduje ke spuštění Java 8. Podporuje Oracle Java i OpenJDK, ale vždy se doporučuje používat Oracle Java, je-li to možné. Přidat úložiště Oracle Java PPA:

sudo add-apt-repository ppa:webupd8team/java

Aktualizujte metadata úložiště APT:

sudo apt update

Nainstalujte nejnovější stabilní verzi Java 8, spusťte:

sudo apt -y install oracle-java8-installer

Po zobrazení výzvy přijměte licenční smlouvu. Pokud se Java úspěšně nainstalovala, měli byste být schopni ověřit její verzi.

java -version

Uvidíte následující výstup.

user@vultr:~$ java -version
java version "1.8.0_144"
Java(TM) SE Runtime Environment (build 1.8.0_144-b01)
Java HotSpot(TM) 64-Bit Server VM (build 25.144-b01, mixed mode)

Nastavte JAVA_HOMEvýchozí a další výchozí hodnoty instalací oracle-java8-set-default. Běh:

sudo apt -y install oracle-java8-set-default

Spuštěním echo $JAVA_HOMEpříkazu zkontrolujte, zda je proměnná prostředí nastavena nebo ne.

user@vultr:~$ echo "$JAVA_HOME"
/usr/lib/jvm/java-8-oracle

Pokud nezískáte výše uvedený výstup, možná se budete muset odhlásit a znovu přihlásit do shellu.

Nainstalujte Elasticsearch

Elasticsearch je distribuovaná, v reálném čase, škálovatelná a vysoce dostupná aplikace používaná k ukládání protokolů a prohledávání v nich. Data ukládá do indexů a prohledávání dat je velmi rychlé. Poskytuje různé sady rozhraní API, jako je HTTP RESTful API a nativní Java API. Elasticsearch lze nainstalovat přímo prostřednictvím úložiště Elasticsearch. Přidejte úložiště Elasticsearch APT:

echo "deb https://artifacts.elastic.co/packages/5.x/apt stable main" | sudo tee -a /etc/apt/sources.list.d/elastic-5.x.list

Importujte klíč PGP používaný k podpisu balíčků. Tím bude zajištěna integrita balíčků.

wget -qO - https://artifacts.elastic.co/GPG-KEY-elasticsearch | sudo apt-key add -

Aktualizujte metadata úložiště APT.

sudo apt update

Nainstalujte balíček Elasticsearch:

sudo apt -y install elasticsearch

Jakmile je balíček nainstalován, otevřete výchozí konfigurační soubor Elasticsearch.

sudo nano /etc/elasticsearch/elasticsearch.yml

Najděte následující řádek, odkomentujte jej a změňte hodnotu z my-applicationna graylog.

cluster.name: graylog

Můžete spustit Elasticsearch a povolit, aby se automaticky spustil při spouštění:

sudo systemctl enable elasticsearch
sudo systemctl start elasticsearch

Elasticsearch nyní běží na portu 9200. Ověřte, že funguje správně spuštěním:

curl -XGET 'localhost:9200/?pretty'

Měli byste vidět výstup podobný následujícímu.

[user@vultr ~]$ curl -XGET 'localhost:9200/?pretty'
{
  "name" : "-kYzFA9",
  "cluster_name" : "graylog",
  "cluster_uuid" : "T3JQKehzSqmLThlVkEKPKg",
  "version" : {
    "number" : "5.5.1",
    "build_hash" : "19c13d0",
    "build_date" : "2017-07-18T20:44:24.823Z",
    "build_snapshot" : false,
    "lucene_version" : "6.6.0"
  },
  "tagline" : "You Know, for Search"
}

Pokud narazíte na chyby, počkejte několik sekund a zkuste to znovu, protože Elasticsearch nějakou dobu trvá, než dokončí proces spouštění. Elasticsearch je nyní nainstalován a funguje správně.

Nainstalujte MongoDB

MongoDB je bezplatný a open source databázový server NoSQL. Na rozdíl od tradiční databáze, která k uspořádání dat používá tabulky, je MongoDB orientován na dokumenty a používá dokumenty podobné JSON bez schémat. Graylog používá MongoDB k ukládání své konfigurace a meta informací. Lze jej nainstalovat přímo přes úložiště MongoDB. Importujte klíč GPG použitý k podpisu balíčku. Tím zajistíte pravost balíčků.

sudo apt-key adv --keyserver hkp://keyserver.ubuntu.com:80 --recv 0C49F3730359A14518585931BC711F9BA15703C6

Nyní vytvořte soubor úložiště:

echo "deb [ arch=amd64,arm64 ] http://repo.mongodb.org/apt/ubuntu xenial/mongodb-org/3.4 multiverse" | sudo tee /etc/apt/sources.list.d/mongodb-org-3.4.list

Aktualizujte metadata úložiště APT.

sudo apt update

Nainstalujte balíček MongoDB:

sudo apt -y install mongodb-org

Spusťte server MongoDB a povolte jeho automatické spouštění.

sudo systemctl start mongod
sudo systemctl enable mongod

Nainstalujte server Graylog

Stáhněte si a nejnovější úložiště pro server Graylog.

wget https://packages.graylog2.org/repo/packages/graylog-2.3-repository_latest.deb
sudo dpkg -i graylog-2.3-repository_latest.deb
sudo apt update

Nainstalujte balíček Graylog:

sudo apt install graylog-server

Graylog server je nyní nainstalován na vašem serveru. Než jej spustíte, budete muset nakonfigurovat několik věcí.

Nakonfigurujte Graylog

Nainstalujte pwgennástroj pro generování silných hesel.

sudo apt -y install pwgen

Nyní vygenerujte tajné silné heslo.

pwgen -N 1 -s 96

Výstup bude podobný jako:

[user@vultr ~]$ pwgen -N 1 -s 96
pJqhNbdEY9FtNBfFUtq20lG2m9daacmsZQr59FhyoA0Wu3XQyVZcu5FedPZ9eCiDfjdiYWfRcEQ7a36bVqxSyTzcMMx5Rz8v

Také vygenerujte 256bitový hash pro heslo adminuživatele root :

echo -n StrongPassword | sha256sum

Nahraďte StrongPasswordheslem, které chcete uživateli nastavit admin. Uvidíš:

[user@vultr ~]$ echo -n StrongPassword | sha256sum
05a181f00c157f70413d33701778a6ee7d2747ac18b9c0fbb8bd71a62dd7a223  -

Otevřete konfigurační soubor Graylog:

sudo nano /etc/graylog/server/server.conf

Najděte password_secret =, zkopírujte a vložte heslo vygenerované pwgenpříkazem. Najděte root_password_sha2 =, zkopírujte a vložte převedený 256bitový hash SHA svého hesla správce. Najděte #root_email =, odkomentujte a zadejte svou e-mailovou adresu. Odkomentujte a nastavte své časové pásmo na root_timezone. Například:

password_secret = pJqhNbdEY9FtNBfFUtq20lG2m9daacmsZQr59FhyoA0Wu3XQyVZcu5FedPZ9eCiDfjdiYWfRcEQ7a36bVqxSyTzcMMx5Rz8v
root_password_sha2 = 05a181f00c157f70413d33701778a6ee7d2747ac18b9c0fbb8bd71a62dd7a223
root_email = [email protected]
root_timezone = Asia/Kolkata

Povolte webové rozhraní Graylog zrušením komentáře #web_enable = falsea nastavením jeho hodnoty na true. Také odkomentujte a změňte následující řádky, jak je uvedeno.

rest_listen_uri = http://0.0.0.0:9000/api/
rest_transport_uri = http://192.0.2.1:9000/api/
web_enable = true
web_listen_uri = http://0.0.0.0:9000/

Uložte soubor a ukončete textový editor.

Restartujte a povolte službu Graylog spuštěním:

sudo systemctl restart graylog-server
sudo systemctl enable graylog-server

Nakonfigurujte Nginx jako reverzní proxy

Ve výchozím nastavení naslouchá webové rozhraní Graylog localhostna portu 9000 a API naslouchá na portu 9000 s URL /api. V tomto tutoriálu použijeme Nginx jako reverzní proxy, takže k aplikaci lze přistupovat přes standardní HTTP port. Nainstalujte webový server Nginx spuštěním:

sudo apt -y install nginx

Otevřete výchozí soubor virtuálního hostitele zadáním.

sudo nano /etc/nginx/sites-available/default

Nahraďte stávající obsah následujícími řádky:

server
{
    listen 80 default_server;
    listen [::]:80 default_server ipv6only=on;
    server_name 192.0.2.1 graylog.example.com;

    location / {
      proxy_set_header Host $http_host;
      proxy_set_header X-Forwarded-Host $host;
      proxy_set_header X-Forwarded-Server $host;
      proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
      proxy_set_header X-Graylog-Server-URL http://$server_name/api;
      proxy_pass       http://127.0.0.1:9000;
    }
}

Spusťte Nginx a povolte jeho automatické spouštění při spouštění:

sudo systemctl restart nginx
sudo systemctl enable nginx

Závěr

Instalace a základní konfigurace serveru Graylog je nyní dokončena. Nyní můžete přistupovat k serveru Graylog na http://192.0.2.1nebo, http://graylog.example.compokud máte nakonfigurovaný DNS. Přihlaste se pomocí uživatelského jména admina hesla, které jste nastavili root_password_sha2dříve.

Gratulujeme – na vašem serveru Ubuntu 16.04 máte nainstalovaný plně funkční server Graylog.