Jak nainstalovat Graylog Server na Ubuntu 16.04

Předpoklady

Nainstalujte Javu

Nainstalujte Elasticsearch

Nainstalujte MongoDB

Nainstalujte server Graylog

Nakonfigurujte Graylog

Nakonfigurujte Nginx jako reverzní proxy

Závěr

Graylog server je open source software pro správu protokolů připravený pro podniky. Shromažďuje protokoly z různých zdrojů a analyzuje je, aby zjistil a vyřešil problémy. Greylog server je v podstatě kombinací Elasticsearch, MongoDB a Graylog. Elasticsearch je velmi populární open source aplikace pro ukládání textu a poskytuje velmi výkonné možnosti vyhledávání. MongoDB je open source aplikace pro ukládání dat ve formátu NoSQL. Graylog shromažďuje protokoly z různých zdrojů a poskytuje webový řídicí panel pro správu a prohledávání protokolů. Graylog také poskytuje REST API pro konfiguraci i data. Poskytuje konfigurovatelný řídicí panel, který lze použít k vizualizaci metrik a pozorování trendů pomocí terénních statistik, rychlých hodnot a grafů z jednoho centrálního místa.

V tomto tutoriálu se naučíte nainstalovat Graylog Server na Ubuntu 16.04. Tato příručka byla napsána pro Graylog Server 2.3, ale může fungovat i na novějších verzích. Naučíte se také instalovat Javu, Elasticsearch a MongoDB. Zabezpečíme také instanci MongoDB a nastavíme reverzní proxy Nginx pro webový dashboard a API.

Předpoklady

• Instance serveru Vultr Ubuntu 16.04 s alespoň 4 GB RAM.
• Uživatel sudo .

V tomto tutoriálu budeme používat 192.0.2.1jako veřejnou IP adresu serveru a graylog.example.comjako název domény odkazující na server. Nahraďte všechny výskyty 192.0.2.1vaší veřejnou IP adresou Vultr a graylog.example.comvaším skutečným názvem domény.

Aktualizujte svůj základní systém pomocí průvodce Jak aktualizovat Ubuntu 16.04 . Jakmile bude váš systém aktualizován, pokračujte v instalaci Javy.

Nainstalujte Javu

Elasticsearch vyžaduje ke spuštění Java 8. Podporuje Oracle Java i OpenJDK, ale vždy se doporučuje používat Oracle Java, je-li to možné. Přidat úložiště Oracle Java PPA:

sudo add-apt-repository ppa:webupd8team/java

Aktualizujte metadata úložiště APT:

sudo apt update

Nainstalujte nejnovější stabilní verzi Java 8, spusťte:

sudo apt -y install oracle-java8-installer

Po zobrazení výzvy přijměte licenční smlouvu. Pokud se Java úspěšně nainstalovala, měli byste být schopni ověřit její verzi.

java -version

Uvidíte následující výstup.

user@vultr:~$ java -version
java version "1.8.0_144"
Java(TM) SE Runtime Environment (build 1.8.0_144-b01)
Java HotSpot(TM) 64-Bit Server VM (build 25.144-b01, mixed mode)

Nastavte JAVA_HOMEvýchozí a další výchozí hodnoty instalací oracle-java8-set-default. Běh:

sudo apt -y install oracle-java8-set-default

Spuštěním echo $JAVA_HOMEpříkazu zkontrolujte, zda je proměnná prostředí nastavena nebo ne.

user@vultr:~$ echo "$JAVA_HOME"
/usr/lib/jvm/java-8-oracle

Pokud nezískáte výše uvedený výstup, možná se budete muset odhlásit a znovu přihlásit do shellu.

Nainstalujte Elasticsearch

Elasticsearch je distribuovaná, v reálném čase, škálovatelná a vysoce dostupná aplikace používaná k ukládání protokolů a prohledávání v nich. Data ukládá do indexů a prohledávání dat je velmi rychlé. Poskytuje různé sady rozhraní API, jako je HTTP RESTful API a nativní Java API. Elasticsearch lze nainstalovat přímo prostřednictvím úložiště Elasticsearch. Přidejte úložiště Elasticsearch APT:

echo "deb https://artifacts.elastic.co/packages/5.x/apt stable main" | sudo tee -a /etc/apt/sources.list.d/elastic-5.x.list

Importujte klíč PGP používaný k podpisu balíčků. Tím bude zajištěna integrita balíčků.

wget -qO - https://artifacts.elastic.co/GPG-KEY-elasticsearch | sudo apt-key add -

Aktualizujte metadata úložiště APT.

sudo apt update

Nainstalujte balíček Elasticsearch:

sudo apt -y install elasticsearch

Jakmile je balíček nainstalován, otevřete výchozí konfigurační soubor Elasticsearch.

sudo nano /etc/elasticsearch/elasticsearch.yml

Najděte následující řádek, odkomentujte jej a změňte hodnotu z my-applicationna graylog.

cluster.name: graylog

Můžete spustit Elasticsearch a povolit, aby se automaticky spustil při spouštění:

sudo systemctl enable elasticsearch
sudo systemctl start elasticsearch

Elasticsearch nyní běží na portu 9200. Ověřte, že funguje správně spuštěním:

curl -XGET 'localhost:9200/?pretty'

Měli byste vidět výstup podobný následujícímu.

[user@vultr ~]$ curl -XGET 'localhost:9200/?pretty'
{
  "name" : "-kYzFA9",
  "cluster_name" : "graylog",
  "cluster_uuid" : "T3JQKehzSqmLThlVkEKPKg",
  "version" : {
    "number" : "5.5.1",
    "build_hash" : "19c13d0",
    "build_date" : "2017-07-18T20:44:24.823Z",
    "build_snapshot" : false,
    "lucene_version" : "6.6.0"
  },
  "tagline" : "You Know, for Search"
}

Pokud narazíte na chyby, počkejte několik sekund a zkuste to znovu, protože Elasticsearch nějakou dobu trvá, než dokončí proces spouštění. Elasticsearch je nyní nainstalován a funguje správně.

Nainstalujte MongoDB

MongoDB je bezplatný a open source databázový server NoSQL. Na rozdíl od tradiční databáze, která k uspořádání dat používá tabulky, je MongoDB orientován na dokumenty a používá dokumenty podobné JSON bez schémat. Graylog používá MongoDB k ukládání své konfigurace a meta informací. Lze jej nainstalovat přímo přes úložiště MongoDB. Importujte klíč GPG použitý k podpisu balíčku. Tím zajistíte pravost balíčků.

sudo apt-key adv --keyserver hkp://keyserver.ubuntu.com:80 --recv 0C49F3730359A14518585931BC711F9BA15703C6

Nyní vytvořte soubor úložiště:

echo "deb [ arch=amd64,arm64 ] http://repo.mongodb.org/apt/ubuntu xenial/mongodb-org/3.4 multiverse" | sudo tee /etc/apt/sources.list.d/mongodb-org-3.4.list

Aktualizujte metadata úložiště APT.

sudo apt update

Nainstalujte balíček MongoDB:

sudo apt -y install mongodb-org

Spusťte server MongoDB a povolte jeho automatické spouštění.

sudo systemctl start mongod
sudo systemctl enable mongod

Nainstalujte server Graylog

Stáhněte si a nejnovější úložiště pro server Graylog.

wget https://packages.graylog2.org/repo/packages/graylog-2.3-repository_latest.deb
sudo dpkg -i graylog-2.3-repository_latest.deb
sudo apt update

Nainstalujte balíček Graylog:

sudo apt install graylog-server

Graylog server je nyní nainstalován na vašem serveru. Než jej spustíte, budete muset nakonfigurovat několik věcí.

Nakonfigurujte Graylog

Nainstalujte pwgennástroj pro generování silných hesel.

sudo apt -y install pwgen

Nyní vygenerujte tajné silné heslo.

pwgen -N 1 -s 96

Výstup bude podobný jako:

[user@vultr ~]$ pwgen -N 1 -s 96
pJqhNbdEY9FtNBfFUtq20lG2m9daacmsZQr59FhyoA0Wu3XQyVZcu5FedPZ9eCiDfjdiYWfRcEQ7a36bVqxSyTzcMMx5Rz8v

Také vygenerujte 256bitový hash pro heslo adminuživatele root :

echo -n StrongPassword | sha256sum

Nahraďte StrongPasswordheslem, které chcete uživateli nastavit admin. Uvidíš:

[user@vultr ~]$ echo -n StrongPassword | sha256sum
05a181f00c157f70413d33701778a6ee7d2747ac18b9c0fbb8bd71a62dd7a223  -

Otevřete konfigurační soubor Graylog:

sudo nano /etc/graylog/server/server.conf

Najděte password_secret =, zkopírujte a vložte heslo vygenerované pwgenpříkazem. Najděte root_password_sha2 =, zkopírujte a vložte převedený 256bitový hash SHA svého hesla správce. Najděte #root_email =, odkomentujte a zadejte svou e-mailovou adresu. Odkomentujte a nastavte své časové pásmo na root_timezone. Například:

password_secret = pJqhNbdEY9FtNBfFUtq20lG2m9daacmsZQr59FhyoA0Wu3XQyVZcu5FedPZ9eCiDfjdiYWfRcEQ7a36bVqxSyTzcMMx5Rz8v
root_password_sha2 = 05a181f00c157f70413d33701778a6ee7d2747ac18b9c0fbb8bd71a62dd7a223
root_email = mail@example.com
root_timezone = Asia/Kolkata

Povolte webové rozhraní Graylog zrušením komentáře #web_enable = falsea nastavením jeho hodnoty na true. Také odkomentujte a změňte následující řádky, jak je uvedeno.

rest_listen_uri = http://0.0.0.0:9000/api/
rest_transport_uri = http://192.0.2.1:9000/api/
web_enable = true
web_listen_uri = http://0.0.0.0:9000/

Uložte soubor a ukončete textový editor.

Restartujte a povolte službu Graylog spuštěním:

sudo systemctl restart graylog-server
sudo systemctl enable graylog-server

Nakonfigurujte Nginx jako reverzní proxy

Ve výchozím nastavení naslouchá webové rozhraní Graylog localhostna portu 9000 a API naslouchá na portu 9000 s URL /api. V tomto tutoriálu použijeme Nginx jako reverzní proxy, takže k aplikaci lze přistupovat přes standardní HTTP port. Nainstalujte webový server Nginx spuštěním:

sudo apt -y install nginx

Otevřete výchozí soubor virtuálního hostitele zadáním.

sudo nano /etc/nginx/sites-available/default

Nahraďte stávající obsah následujícími řádky:

server
{
    listen 80 default_server;
    listen [::]:80 default_server ipv6only=on;
    server_name 192.0.2.1 graylog.example.com;

    location / {
      proxy_set_header Host $http_host;
      proxy_set_header X-Forwarded-Host $host;
      proxy_set_header X-Forwarded-Server $host;
      proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
      proxy_set_header X-Graylog-Server-URL http://$server_name/api;
      proxy_pass       http://127.0.0.1:9000;
    }
}

Spusťte Nginx a povolte jeho automatické spouštění při spouštění:

sudo systemctl restart nginx
sudo systemctl enable nginx

Závěr

Instalace a základní konfigurace serveru Graylog je nyní dokončena. Nyní můžete přistupovat k serveru Graylog na http://192.0.2.1nebo, http://graylog.example.compokud máte nakonfigurovaný DNS. Přihlaste se pomocí uživatelského jména admina hesla, které jste nastavili root_password_sha2dříve.

Gratulujeme – na vašem serveru Ubuntu 16.04 máte nainstalovaný plně funkční server Graylog.