Sådan installeres Graylog Server på CentOS 7

Graylog-serveren er en virksomhedsklar open source-logstyringssoftwarepakke. Den indsamler logfiler fra forskellige kilder og analyserer dem for at opdage og løse problemer. Graylog server er dybest set kombinationen af ​​Elasticsearch, MongoDB og Graylog. Elasticsearch er et meget populært open source-program til at gemme tekst og give meget kraftfulde søgefunktioner. MongoDB er en open source-applikation til at gemme data i NoSQL-format. Graylog indsamler logfiler fra forskellige kilder og giver et webbaseret dashboard til at administrere og søge gennem logfilerne. Graylog leverer også en REST API til både konfiguration og data. Det giver et konfigurerbart dashboard, som kan bruges til at visualisere metrikker og observere tendenser ved at bruge feltstatistikker, hurtige værdier og diagrammer fra én central placering.

I denne vejledning lærer du at installere Graylog Server på CentOS 7. Denne vejledning er skrevet til Graylog Server 2.3, men fungerer muligvis også på nyere versioner. Du lærer også at installere Java, Elasticsearch og MongoDB. Vi vil også sikre MongoDB-instansen og opsætte en Nginx omvendt proxy til det webbaserede dashboard og API.

Forudsætninger

• En Vultr CentOS 7-serverinstans med mindst 4 GB RAM.
• En sudo-bruger .

I denne vejledning vil vi bruge 192.0.2.1som serverens offentlige IP-adresse og graylog.example.comsom domænenavnet pegede på serveren. Erstat alle forekomster af 192.0.2.1med din Vultr offentlige IP-adresse og graylog.example.commed dit faktiske domænenavn.

Opdater dit basissystem ved hjælp af vejledningen Sådan opdaterer du CentOS 7 . Når dit system er blevet opdateret, skal du fortsætte med at installere Java.

Installer Java

Elasticsearch kræver Java 8 for at køre. Det understøtter både Oracle Java og OpenJDK, men det anbefales altid, at du bruger Oracle Java, når det er muligt. Oracle leverer klar til at installere RPM-pakker. Download Oracle JDK RPM:

wget --no-cookies --no-check-certificate --header "Cookie:oraclelicense=accept-securebackup-cookie" "http://download.oracle.com/otn-pub/java/jdk/8u144-b01/090f390dda5b47b9b721c7dfaa008135/jdk-8u144-linux-x64.rpm"

Installer RPM-pakken.

sudo yum -y install jdk-8u144-linux-x64.rpm

Hvis Java er installeret korrekt, bør du være i stand til at verificere dens version.

java -version

Du vil se følgende output.

[user@vultr ~]$ java -version
java version "1.8.0_144"
Java(TM) SE Runtime Environment (build 1.8.0_144-b01)
Java HotSpot(TM) 64-Bit Server VM (build 25.144-b01, mixed mode)

Indstil JAVA_HOMEog JRE_HOMEmiljøvariabel ved at køre:

echo "export JAVA_HOME=/usr/java/jdk1.8.0_144/" >> ~/.bash_profile
echo "export JRE_HOME=/usr/java/jdk1.8.0_144/jre" >> ~/.bash_profile

Kilde nu filen ved hjælp af følgende kommando.

source ~/.bash_profile

Kør echo $JAVA_HOMEkommandoen for at kontrollere, om miljøvariablen er indstillet eller ej.

[user@vultr ~]$ echo $JAVA_HOME
/usr/java/jdk1.8.0_144/

Installer Elasticsearch

Elasticsearch er en distribueret, real-time, skalerbar og meget tilgængelig applikation, der bruges til at gemme logfilerne og søge gennem dem. Det gemmer dataene i indekser, og det er meget hurtigt at søge gennem dataene. Det giver forskellige sæt API'er, såsom HTTP RESTful API og native Java API. Elasticsearch kan installeres direkte gennem Elasticsearch-depotet. Opret en ny depotfil til Elasticsearch.

sudo nano /etc/yum.repos.d/elasticsearch.repo

Udfyld filen med følgende indhold.

[elasticsearch-5.x]
name=Elasticsearch repository for 5.x packages
baseurl=https://artifacts.elastic.co/packages/5.x/yum
gpgcheck=1
gpgkey=https://artifacts.elastic.co/GPG-KEY-elasticsearch
enabled=1
autorefresh=1
type=rpm-md

Importer den PGP-nøgle, der blev brugt til at signere pakkerne. Dette vil sikre pakkernes integritet.

sudo rpm --import https://artifacts.elastic.co/GPG-KEY-elasticsearch

Installer Elasticsearch-pakken:

sudo yum -y install elasticsearch

Når pakken er installeret, skal du åbne Elasticsearch-standardkonfigurationsfilen.

sudo nano /etc/elasticsearch/elasticsearch.yml

Find den følgende linje, fjern kommentaren og skift værdien fra my-applicationtil graylog.

cluster.name: graylog

Du kan starte Elasticsearch og aktivere den til automatisk at starte ved opstart:

sudo systemctl enable elasticsearch
sudo systemctl start elasticsearch

Elasticsearch kører nu på port 9200. Bekræft, at det fungerer korrekt ved at køre:

curl -XGET 'localhost:9200/?pretty'

Du bør se output svarende til det følgende.

[user@vultr ~]$ curl -XGET 'localhost:9200/?pretty'
{
  "name" : "-kYzFA9",
  "cluster_name" : "graylog",
  "cluster_uuid" : "T3JQKehzSqmLThlVkEKPKg",
  "version" : {
    "number" : "5.5.1",
    "build_hash" : "19c13d0",
    "build_date" : "2017-07-18T20:44:24.823Z",
    "build_snapshot" : false,
    "lucene_version" : "6.6.0"
  },
  "tagline" : "You Know, for Search"
}

Hvis du støder på fejl, skal du vente et par sekunder og prøve igen, da det tager tid for Elasticsearch at fuldføre opstartsprocessen. Elasticsearch er nu installeret og fungerer korrekt.

Installer MongoDB

MongoDB er gratis og open source NoSQL-databaseserver. I modsætning til traditionel database, der bruger tabeller til at organisere deres data, er MongoDB dokumentorienteret og bruger JSON-lignende dokumenter uden skemaer. Graylog bruger MongoDB til at gemme sin konfiguration og metainformation. Det kan installeres direkte gennem MongoDB-depotet. Opret en ny depotfil til MongoDB.

sudo nano /etc/yum.repos.d/mongodb.repo

Udfyld filen med følgende indhold.

[mongodb-org-3.4]
name=MongoDB Repository
baseurl=https://repo.mongodb.org/yum/redhat/$releasever/mongodb-org/3.4/x86_64/
gpgcheck=1
enabled=1
gpgkey=https://www.mongodb.org/static/pgp/server-3.4.asc

Installer MongoDB ved at køre:

sudo yum -y install mongodb-org

Start MongoDB-serveren og aktiver den til at starte automatisk.

sudo systemctl start mongod
sudo systemctl enable mongod

Installer Graylog-serveren

Download det seneste lager til Graylog-serveren.

sudo rpm -Uvh https://packages.graylog2.org/repo/packages/graylog-2.3-repository_latest.rpm
sudo yum -y update

Installer Graylog ved at køre:

sudo yum -y install graylog-server

Graylog server er nu installeret på din server. Før du kan starte det, skal du konfigurere et par ting.

Konfigurer Graylog

Installer pwgenværktøj til at generere stærke adgangskoder.

sudo yum -y install pwgen

Generer nu en stærk adgangskodehemmelighed.

pwgen -N 1 -s 96

Du vil output svarende til:

[user@vultr ~]$ pwgen -N 1 -s 96
pJqhNbdEY9FtNBfFUtq20lG2m9daacmsZQr59FhyoA0Wu3XQyVZcu5FedPZ9eCiDfjdiYWfRcEQ7a36bVqxSyTzcMMx5Rz8v

Generer også en 256-bit hash til adgangskoden for root- adminbrugeren:

echo -n StrongPassword | sha256sum

Erstat StrongPasswordmed den adgangskode, du ønsker at indstille for adminbrugeren. Du vil se:

[user@vultr ~]$ echo -n StrongPassword | sha256sum
05a181f00c157f70413d33701778a6ee7d2747ac18b9c0fbb8bd71a62dd7a223  -

Åbn Graylog-konfigurationsfilen:

sudo nano /etc/graylog/server/server.conf

Find password_secret =, kopier og indsæt adgangskoden genereret via pwgenkommando. Find root_password_sha2 =, kopier og indsæt den konverterede SHA 256-bit hash af din administratoradgangskode. Find #root_email =, fjern kommentarer og angiv din e-mailadresse. Fjern kommentarer og indstil din tidszone til root_timezone. For eksempel:

password_secret = pJqhNbdEY9FtNBfFUtq20lG2m9daacmsZQr59FhyoA0Wu3XQyVZcu5FedPZ9eCiDfjdiYWfRcEQ7a36bVqxSyTzcMMx5Rz8v
root_password_sha2 = 05a181f00c157f70413d33701778a6ee7d2747ac18b9c0fbb8bd71a62dd7a223
root_email = [email protected]
root_timezone = Asia/Kolkata

Aktiver den webbaserede Graylog-grænseflade ved at fjerne kommentarer #web_enable = falseog indstille værdien til true. Fjern også kommentarer og skift følgende linjer som angivet.

rest_listen_uri = http://0.0.0.0:9000/api/
rest_transport_uri = http://45.76.214.19:9000/api/
web_enable = true
web_listen_uri = http://0.0.0.0:9000/

Gem filen og afslut din teksteditor.

Genstart Graylog-tjenesten ved at køre:

sudo systemctl restart graylog-server

Konfigurer Nginx som en omvendt proxy

Som standard lytter Graylog-webgrænsefladen til localhostpå port 9000, og API'en lytter på port 9000 med URL /api. I denne vejledning vil vi bruge Nginx som omvendt proxy, så applikationen kan fås via standard HTTP-port. Installer Nginx webserver ved at køre:

sudo yum -y install nginx

Åbn den virtuelle standardvært ved at skrive.

sudo nano /etc/nginx/nginx.conf

Find serverblokken under http, og udskift hele serverblokken med følgende linjer.

server
{
    listen 80 default_server;
    listen [::]:80 default_server ipv6only=on;
    server_name graylog.example.com 192.0.2.1;

    location / {
      proxy_set_header Host $http_host;
      proxy_set_header X-Forwarded-Host $host;
      proxy_set_header X-Forwarded-Server $host;
      proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
      proxy_set_header X-Graylog-Server-URL http://$server_name/api;
      proxy_pass       http://127.0.0.1:9000;
    }
}

Start Nginx og aktiver den til at starte automatisk ved opstart:

sudo systemctl start nginx
sudo systemctl enable nginx

Konfigurer firewall og SELinux

Hvis du kører en firewall på din server, skal du konfigurere firewallen til at indstille en undtagelse for visse porte. Tillad Elasticsearch-tjenesten og Nginx omvendt proxy at oprette forbindelse uden for netværket.

sudo firewall-cmd --zone=public --permanent --add-service=http
sudo firewall-cmd --zone=public --permanent --add-port=9200/tcp
sudo firewall-cmd --reload

Hvis du har SELinux aktiveret på dit system, skal du tilføje nogle få undtagelser i SELinux-politikkerne.

sudo setsebool -P httpd_can_network_connect 1
sudo semanage port -a -t http_port_t -p tcp 9000
sudo semanage port -a -t http_port_t -p tcp 9200
sudo semanage port -a -t mongod_port_t -p tcp 27017

Konklusion

Installationen og den grundlæggende konfiguration af Graylog-serveren er nu færdig. Du kan nu få adgang til Graylog-serveren på http://192.0.2.1eller http://graylog.example.comhvis du har DNS konfigureret. Log på med brugernavnet adminog den almindelige tekstversion af den adgangskode, du har angivet til root_password_sha2tidligere.

Tillykke - du har en fuldt fungerende Graylog-server installeret på din CentOS 7-server.