Sådan installeres Graylog Server på Ubuntu 16.04

Graylog-serveren er en virksomhedsklar open source-logstyringssoftwarepakke. Den indsamler logfiler fra forskellige kilder og analyserer dem for at opdage og løse problemer. Greylog server er dybest set kombinationen af ​​Elasticsearch, MongoDB og Graylog. Elasticsearch er et meget populært open source-program til at gemme tekst og give meget kraftfulde søgefunktioner. MongoDB er en open source-applikation til at gemme data i NoSQL-format. Graylog indsamler logfiler fra forskellige kilder og giver et webbaseret dashboard til at administrere og søge gennem logfilerne. Graylog leverer også en REST API til både konfiguration og data. Det giver et konfigurerbart dashboard, som kan bruges til at visualisere metrikker og observere tendenser ved at bruge feltstatistikker, hurtige værdier og diagrammer fra én central placering.

I denne vejledning lærer du at installere Graylog Server på Ubuntu 16.04. Denne vejledning er skrevet til Graylog Server 2.3, men fungerer muligvis også på nyere versioner. Du lærer også at installere Java, Elasticsearch og MongoDB. Vi vil også sikre MongoDB-instansen og opsætte en Nginx omvendt proxy til det webbaserede dashboard og API.

Forudsætninger

• En Vultr Ubuntu 16.04-serverinstans med mindst 4 GB RAM.
• En sudo-bruger .

I denne vejledning vil vi bruge 192.0.2.1som serverens offentlige IP-adresse og graylog.example.comsom domænenavnet pegede på serveren. Erstat alle forekomster af 192.0.2.1med din Vultr offentlige IP-adresse og graylog.example.commed dit faktiske domænenavn.

Opdater dit basissystem ved hjælp af vejledningen Sådan opdaterer du Ubuntu 16.04 . Når dit system er blevet opdateret, skal du fortsætte med at installere Java.

Installer Java

Elasticsearch kræver Java 8 for at køre. Det understøtter både Oracle Java og OpenJDK, men det anbefales altid, at du bruger Oracle Java, når det er muligt. Tilføj Oracle Java PPA-lager:

sudo add-apt-repository ppa:webupd8team/java

Opdater APT-lagerets metadata:

sudo apt update

Installer den seneste stabile version af Java 8, kør:

sudo apt -y install oracle-java8-installer

Accepter licensaftalen, når du bliver bedt om det. Hvis Java er installeret korrekt, bør du være i stand til at verificere dens version.

java -version

Du vil se følgende output.

user@vultr:~$ java -version
java version "1.8.0_144"
Java(TM) SE Runtime Environment (build 1.8.0_144-b01)
Java HotSpot(TM) 64-Bit Server VM (build 25.144-b01, mixed mode)

Indstil JAVA_HOMEog andre standardindstillinger ved at installere oracle-java8-set-default. Løb:

sudo apt -y install oracle-java8-set-default

Kør echo $JAVA_HOMEkommandoen for at kontrollere, om miljøvariablen er indstillet eller ej.

user@vultr:~$ echo "$JAVA_HOME"
/usr/lib/jvm/java-8-oracle

Hvis du ikke får outputtet vist ovenfor, skal du muligvis logge ud og logge ind på shellen igen.

Installer Elasticsearch

Elasticsearch er en distribueret, real-time, skalerbar og meget tilgængelig applikation, der bruges til at gemme logfilerne og søge gennem dem. Det gemmer dataene i indekser, og det er meget hurtigt at søge gennem dataene. Det giver forskellige sæt API'er, såsom HTTP RESTful API og native Java API. Elasticsearch kan installeres direkte gennem Elasticsearch-depotet. Tilføj Elasticsearch APT-lageret:

echo "deb https://artifacts.elastic.co/packages/5.x/apt stable main" | sudo tee -a /etc/apt/sources.list.d/elastic-5.x.list

Importer den PGP-nøgle, der blev brugt til at signere pakkerne. Dette vil sikre pakkernes integritet.

wget -qO - https://artifacts.elastic.co/GPG-KEY-elasticsearch | sudo apt-key add -

Opdater APT-lagerets metadata.

sudo apt update

Installer Elasticsearch-pakken:

sudo apt -y install elasticsearch

Når pakken er installeret, skal du åbne Elasticsearch-standardkonfigurationsfilen.

sudo nano /etc/elasticsearch/elasticsearch.yml

Find den følgende linje, fjern kommentaren og skift værdien fra my-applicationtil graylog.

cluster.name: graylog

Du kan starte Elasticsearch og aktivere den til automatisk at starte ved opstart:

sudo systemctl enable elasticsearch
sudo systemctl start elasticsearch

Elasticsearch kører nu på port 9200. Bekræft, at det fungerer korrekt ved at køre:

curl -XGET 'localhost:9200/?pretty'

Du bør se output svarende til det følgende.

[user@vultr ~]$ curl -XGET 'localhost:9200/?pretty'
{
  "name" : "-kYzFA9",
  "cluster_name" : "graylog",
  "cluster_uuid" : "T3JQKehzSqmLThlVkEKPKg",
  "version" : {
    "number" : "5.5.1",
    "build_hash" : "19c13d0",
    "build_date" : "2017-07-18T20:44:24.823Z",
    "build_snapshot" : false,
    "lucene_version" : "6.6.0"
  },
  "tagline" : "You Know, for Search"
}

Hvis du støder på fejl, skal du vente et par sekunder og prøve igen, da det tager tid for Elasticsearch at fuldføre opstartsprocessen. Elasticsearch er nu installeret og fungerer korrekt.

Installer MongoDB

MongoDB er gratis og open source NoSQL-databaseserver. I modsætning til traditionel database, der bruger tabeller til at organisere deres data, er MongoDB dokumentorienteret og bruger JSON-lignende dokumenter uden skemaer. Graylog bruger MongoDB til at gemme sin konfiguration og metainformation. Det kan installeres direkte gennem MongoDB-depotet. Importer GPG-nøglen, der blev brugt til at signere pakken. Dette vil sikre ægtheden af ​​pakkerne.

sudo apt-key adv --keyserver hkp://keyserver.ubuntu.com:80 --recv 0C49F3730359A14518585931BC711F9BA15703C6

Opret nu Repository-filen:

echo "deb [ arch=amd64,arm64 ] http://repo.mongodb.org/apt/ubuntu xenial/mongodb-org/3.4 multiverse" | sudo tee /etc/apt/sources.list.d/mongodb-org-3.4.list

Opdater APT-lagerets metadata.

sudo apt update

Installer MongoDB-pakken:

sudo apt -y install mongodb-org

Start MongoDB-serveren og aktiver den til at starte automatisk.

sudo systemctl start mongod
sudo systemctl enable mongod

Installer Graylog-serveren

Download og det seneste lager til Graylog-serveren.

wget https://packages.graylog2.org/repo/packages/graylog-2.3-repository_latest.deb
sudo dpkg -i graylog-2.3-repository_latest.deb
sudo apt update

Installer Graylog-pakken:

sudo apt install graylog-server

Graylog server er nu installeret på din server. Før du kan starte det, skal du konfigurere et par ting.

Konfigurer Graylog

Installer pwgenværktøj til at generere stærke adgangskoder.

sudo apt -y install pwgen

Generer nu en stærk adgangskodehemmelighed.

pwgen -N 1 -s 96

Du vil output svarende til:

[user@vultr ~]$ pwgen -N 1 -s 96
pJqhNbdEY9FtNBfFUtq20lG2m9daacmsZQr59FhyoA0Wu3XQyVZcu5FedPZ9eCiDfjdiYWfRcEQ7a36bVqxSyTzcMMx5Rz8v

Generer også en 256-bit hash til adgangskoden for root- adminbrugeren:

echo -n StrongPassword | sha256sum

Erstat StrongPasswordmed den adgangskode, du ønsker at indstille for adminbrugeren. Du vil se:

[user@vultr ~]$ echo -n StrongPassword | sha256sum
05a181f00c157f70413d33701778a6ee7d2747ac18b9c0fbb8bd71a62dd7a223  -

Åbn Graylog-konfigurationsfilen:

sudo nano /etc/graylog/server/server.conf

Find password_secret =, kopier og indsæt adgangskoden genereret via pwgenkommando. Find root_password_sha2 =, kopier og indsæt den konverterede SHA 256-bit hash af din administratoradgangskode. Find #root_email =, fjern kommentarer og angiv din e-mailadresse. Fjern kommentarer og indstil din tidszone til root_timezone. For eksempel:

password_secret = pJqhNbdEY9FtNBfFUtq20lG2m9daacmsZQr59FhyoA0Wu3XQyVZcu5FedPZ9eCiDfjdiYWfRcEQ7a36bVqxSyTzcMMx5Rz8v
root_password_sha2 = 05a181f00c157f70413d33701778a6ee7d2747ac18b9c0fbb8bd71a62dd7a223
root_email = [email protected]
root_timezone = Asia/Kolkata

Aktiver den webbaserede Graylog-grænseflade ved at fjerne kommentarer #web_enable = falseog indstille dens værdi til true. Fjern også kommentarer og skift følgende linjer som angivet.

rest_listen_uri = http://0.0.0.0:9000/api/
rest_transport_uri = http://192.0.2.1:9000/api/
web_enable = true
web_listen_uri = http://0.0.0.0:9000/

Gem filen og afslut din teksteditor.

Genstart og aktiver Graylog-tjenesten ved at køre:

sudo systemctl restart graylog-server
sudo systemctl enable graylog-server

Konfigurer Nginx som en omvendt proxy

Som standard lytter Graylog-webgrænsefladen til localhostpå port 9000, og API'en lytter på port 9000 med URL /api. I denne vejledning vil vi bruge Nginx som omvendt proxy, så applikationen kan fås via standard HTTP-port. Installer Nginx webserver ved at køre:

sudo apt -y install nginx

Åbn den virtuelle standardværtsfil ved at skrive.

sudo nano /etc/nginx/sites-available/default

Erstat det eksisterende indhold med følgende linjer:

server
{
    listen 80 default_server;
    listen [::]:80 default_server ipv6only=on;
    server_name 192.0.2.1 graylog.example.com;

    location / {
      proxy_set_header Host $http_host;
      proxy_set_header X-Forwarded-Host $host;
      proxy_set_header X-Forwarded-Server $host;
      proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
      proxy_set_header X-Graylog-Server-URL http://$server_name/api;
      proxy_pass       http://127.0.0.1:9000;
    }
}

Start Nginx og aktiver den til at starte automatisk ved opstart:

sudo systemctl restart nginx
sudo systemctl enable nginx

Konklusion

Installationen og den grundlæggende konfiguration af Graylog-serveren er nu færdig. Du kan nu få adgang til Graylog-serveren på http://192.0.2.1eller http://graylog.example.comhvis du har DNS konfigureret. Log på med brugernavnet adminog den almindelige tekstversion af den adgangskode, du har angivet til root_password_sha2tidligere.

Tillykke - du har en fuldt fungerende Graylog-server installeret på din Ubuntu 16.04-server.