Graylog-palvelimen asentaminen CentOS 7:ään

Graylog-palvelin on yritysvalmis avoimen lähdekoodin lokinhallintaohjelmisto. Se kerää lokeja eri lähteistä ja analysoi niitä löytääkseen ja ratkaistakseen ongelmia. Graylog-palvelin on pohjimmiltaan Elasticsearchin, MongoDB:n ja Graylogin yhdistelmä. Elasticsearch on erittäin suosittu avoimen lähdekoodin sovellus tekstin tallentamiseen ja erittäin tehokkaiden hakutoimintojen tarjoamiseen. MongoDB on avoimen lähdekoodin sovellus tietojen tallentamiseen NoSQL-muodossa. Graylog kerää lokeja eri lähteistä ja tarjoaa web-pohjaisen hallintapaneelin lokien hallintaa ja hakuja varten. Graylog tarjoaa myös REST API:n sekä määrityksille että tiedoille. Se tarjoaa konfiguroitavan kojelaudan, jota voidaan käyttää mittareiden visualisointiin ja trendien tarkkailuun käyttämällä kenttätilastoja, pika-arvoja ja kaavioita yhdestä keskeisestä sijainnista.

Tässä opetusohjelmassa opit asentamaan Graylog Serverin CentOS 7:ään. Tämä opas on kirjoitettu Graylog Server 2.3:lle, mutta se voi toimia myös uudemmissa versioissa. Opit myös asentamaan Java, Elasticsearch ja MongoDB. Suojaamme myös MongoDB-esiintymän ja määritämme Nginx-käänteisen välityspalvelimen verkkopohjaiselle kojelautalle ja API:lle.

Edellytykset

• Vultr CentOS 7 -palvelinesiintymä, jossa on vähintään 4 Gt RAM-muistia.
• Sudo käyttäjä .

Tässä opetusohjelmassa käytämme 192.0.2.1palvelimen julkisena IP-osoitteena ja palvelimeen graylog.example.comosoittavana verkkotunnuksena. Korvaa kaikki esiintymät 192.0.2.1Vultr julkisella IP-osoitteellasi ja graylog.example.comtodellisella verkkotunnuksellasi.

Päivitä perusjärjestelmäsi CentOS 7:n päivittäminen -oppaan avulla . Kun järjestelmäsi on päivitetty, jatka Javan asentamista.

Asenna Java

Elasticsearch vaatii Java 8:n toimiakseen. Se tukee sekä Oracle Javaa että OpenJDK:ta, mutta on aina suositeltavaa käyttää Oracle Javaa, jos mahdollista. Oracle tarjoaa asennusvalmiita RPM-paketteja. Lataa Oracle JDK RPM:

wget --no-cookies --no-check-certificate --header "Cookie:oraclelicense=accept-securebackup-cookie" "http://download.oracle.com/otn-pub/java/jdk/8u144-b01/090f390dda5b47b9b721c7dfaa008135/jdk-8u144-linux-x64.rpm"

Asenna RPM-paketti.

sudo yum -y install jdk-8u144-linux-x64.rpm

Jos Java on asennettu onnistuneesti, sinun pitäisi pystyä tarkistamaan sen versio.

java -version

Näet seuraavan tulosteen.

[user@vultr ~]$ java -version
java version "1.8.0_144"
Java(TM) SE Runtime Environment (build 1.8.0_144-b01)
Java HotSpot(TM) 64-Bit Server VM (build 25.144-b01, mixed mode)

Aseta JAVA_HOMEja JRE_HOMEympäristömuuttuja suorittamalla:

echo "export JAVA_HOME=/usr/java/jdk1.8.0_144/" >> ~/.bash_profile
echo "export JRE_HOME=/usr/java/jdk1.8.0_144/jre" >> ~/.bash_profile

Lähde nyt tiedosto seuraavalla komennolla.

source ~/.bash_profile

Suorita echo $JAVA_HOMEkomento tarkistaaksesi, onko ympäristömuuttuja asetettu vai ei.

[user@vultr ~]$ echo $JAVA_HOME
/usr/java/jdk1.8.0_144/

Asenna Elasticsearch

Elasticsearch on hajautettu, reaaliaikainen, skaalautuva ja erittäin saatavilla oleva sovellus, jota käytetään lokien tallentamiseen ja niiden läpi hakemiseen. Se tallentaa tiedot hakemistoihin ja tietojen etsiminen on erittäin nopeaa. Se tarjoaa erilaisia ​​API-sarjoja, kuten HTTP RESTful API ja natiivi Java API. Elasticsearch voidaan asentaa suoraan Elasticsearch-arkiston kautta. Luo uusi arkistotiedosto Elasticsearchille.

sudo nano /etc/yum.repos.d/elasticsearch.repo

Täytä tiedosto seuraavalla sisällöllä.

[elasticsearch-5.x]
name=Elasticsearch repository for 5.x packages
baseurl=https://artifacts.elastic.co/packages/5.x/yum
gpgcheck=1
gpgkey=https://artifacts.elastic.co/GPG-KEY-elasticsearch
enabled=1
autorefresh=1
type=rpm-md

Tuo pakettien allekirjoittamiseen käytetty PGP-avain. Tämä varmistaa pakettien eheyden.

sudo rpm --import https://artifacts.elastic.co/GPG-KEY-elasticsearch

Asenna Elasticsearch-paketti:

sudo yum -y install elasticsearch

Kun paketti on asennettu, avaa Elasticsearchin oletusmääritystiedosto.

sudo nano /etc/elasticsearch/elasticsearch.yml

Etsi seuraava rivi, kommentoinnin ja muuta arvo my-applicationon graylog.

cluster.name: graylog

Voit käynnistää Elasticsearchin ja ottaa sen käyttöön automaattisesti käynnistyksen yhteydessä:

sudo systemctl enable elasticsearch
sudo systemctl start elasticsearch

Elasticsearch on nyt käynnissä portissa 9200. Varmista, että se toimii oikein suorittamalla:

curl -XGET 'localhost:9200/?pretty'

Sinun pitäisi nähdä seuraavanlainen tulos.

[user@vultr ~]$ curl -XGET 'localhost:9200/?pretty'
{
  "name" : "-kYzFA9",
  "cluster_name" : "graylog",
  "cluster_uuid" : "T3JQKehzSqmLThlVkEKPKg",
  "version" : {
    "number" : "5.5.1",
    "build_hash" : "19c13d0",
    "build_date" : "2017-07-18T20:44:24.823Z",
    "build_snapshot" : false,
    "lucene_version" : "6.6.0"
  },
  "tagline" : "You Know, for Search"
}

Jos kohtaat virheitä, odota muutama sekunti ja yritä uudelleen, sillä Elasticsearchin käynnistysprosessi kestää jonkin aikaa. Elasticsearch on nyt asennettu ja toimii oikein.

Asenna MongoDB

MongoDB on ilmainen ja avoimen lähdekoodin NoSQL-tietokantapalvelin. Toisin kuin perinteinen tietokanta, joka käyttää taulukoita tietojen järjestämiseen, MongoDB on dokumenttisuuntautunut ja käyttää JSON-tyyppisiä asiakirjoja ilman skeemoja. Graylog käyttää MongoDB:tä konfiguraatioiden ja metatietojen tallentamiseen. Se voidaan asentaa suoraan MongoDB-arkiston kautta. Luo uusi arkistotiedosto MongoDB:lle.

sudo nano /etc/yum.repos.d/mongodb.repo

Täytä tiedosto seuraavalla sisällöllä.

[mongodb-org-3.4]
name=MongoDB Repository
baseurl=https://repo.mongodb.org/yum/redhat/$releasever/mongodb-org/3.4/x86_64/
gpgcheck=1
enabled=1
gpgkey=https://www.mongodb.org/static/pgp/server-3.4.asc

Asenna MongoDB suorittamalla:

sudo yum -y install mongodb-org

Käynnistä MongoDB-palvelin ja ota se käyttöön automaattisesti.

sudo systemctl start mongod
sudo systemctl enable mongod

Asenna Graylog-palvelin

Lataa uusin arkisto Graylog-palvelimelle.

sudo rpm -Uvh https://packages.graylog2.org/repo/packages/graylog-2.3-repository_latest.rpm
sudo yum -y update

Asenna Graylog suorittamalla:

sudo yum -y install graylog-server

Graylog-palvelin on nyt asennettu palvelimellesi. Ennen kuin voit aloittaa sen, sinun on määritettävä muutamia asioita.

Määritä Graylog

Asenna pwgenapuohjelma vahvojen salasanojen luomiseksi.

sudo yum -y install pwgen

Luo nyt vahva salasanasalaisuus.

pwgen -N 1 -s 96

Tulostat samankaltaisia ​​tuloksia:

[user@vultr ~]$ pwgen -N 1 -s 96
pJqhNbdEY9FtNBfFUtq20lG2m9daacmsZQr59FhyoA0Wu3XQyVZcu5FedPZ9eCiDfjdiYWfRcEQ7a36bVqxSyTzcMMx5Rz8v

Luo myös 256-bittinen hash pääkäyttäjän salasanalle admin:

echo -n StrongPassword | sha256sum

Korvaa StrongPasswordsalasanalla, jonka haluat asettaa adminkäyttäjälle. Tulet näkemään:

[user@vultr ~]$ echo -n StrongPassword | sha256sum
05a181f00c157f70413d33701778a6ee7d2747ac18b9c0fbb8bd71a62dd7a223  -

Avaa Graylog-määritystiedosto:

sudo nano /etc/graylog/server/server.conf

Etsi password_secret =, kopioi ja liitä pwgenkomennon kautta luotu salasana . Etsi root_password_sha2 =, kopioi ja liitä järjestelmänvalvojan salasanasi muunnettu 256-bittinen SHA-tiiviste. Etsi #root_email =, poista kommentti ja anna sähköpostiosoitteesi. Poista kommentti ja aseta aikavyöhykkeeksi root_timezone. Esimerkiksi:

password_secret = pJqhNbdEY9FtNBfFUtq20lG2m9daacmsZQr59FhyoA0Wu3XQyVZcu5FedPZ9eCiDfjdiYWfRcEQ7a36bVqxSyTzcMMx5Rz8v
root_password_sha2 = 05a181f00c157f70413d33701778a6ee7d2747ac18b9c0fbb8bd71a62dd7a223
root_email = [email protected]
root_timezone = Asia/Kolkata

Ota web-pohjainen Graylog-käyttöliittymä käyttöön poistamalla kommentit #web_enable = falseja asettamalla arvoksi true. Poista myös kommentit ja muuta seuraavat rivit määritetyllä tavalla.

rest_listen_uri = http://0.0.0.0:9000/api/
rest_transport_uri = http://45.76.214.19:9000/api/
web_enable = true
web_listen_uri = http://0.0.0.0:9000/

Tallenna tiedosto ja poistu tekstieditorista.

Käynnistä Graylog-palvelu uudelleen suorittamalla:

sudo systemctl restart graylog-server

Määritä Nginx käänteiseksi välityspalvelimeksi

Oletuksena Graylog-verkkokäyttöliittymä kuuntelee localhostporttia 9000 ja API kuuntelee porttia 9000 URL-osoitteella /api. Tässä opetusohjelmassa käytämme Nginxiä käänteisenä välityspalvelimena, jotta sovellusta voidaan käyttää tavallisen HTTP-portin kautta. Asenna Nginx-verkkopalvelin suorittamalla:

sudo yum -y install nginx

Avaa oletusarvoinen virtuaalinen isäntä kirjoittamalla.

sudo nano /etc/nginx/nginx.conf

Etsi serverlohko alta httpja korvaa koko serverlohko seuraavilla riveillä.

server
{
    listen 80 default_server;
    listen [::]:80 default_server ipv6only=on;
    server_name graylog.example.com 192.0.2.1;

    location / {
      proxy_set_header Host $http_host;
      proxy_set_header X-Forwarded-Host $host;
      proxy_set_header X-Forwarded-Server $host;
      proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
      proxy_set_header X-Graylog-Server-URL http://$server_name/api;
      proxy_pass       http://127.0.0.1:9000;
    }
}

Käynnistä Nginx ja ota se käyttöön automaattisesti käynnistyksen yhteydessä:

sudo systemctl start nginx
sudo systemctl enable nginx

Määritä palomuuri ja SELinux

Jos käytät palomuuria palvelimellasi, sinun on määritettävä palomuuri asettamaan poikkeus tietyille porteille. Salli Elasticsearch-palvelun ja Nginx-käänteisen välityspalvelimen muodostaa yhteys verkon ulkopuolelta.

sudo firewall-cmd --zone=public --permanent --add-service=http
sudo firewall-cmd --zone=public --permanent --add-port=9200/tcp
sudo firewall-cmd --reload

Jos SELinux on käytössä järjestelmässäsi, sinun on lisättävä muutama poikkeus SELinux-käytäntöihin.

sudo setsebool -P httpd_can_network_connect 1
sudo semanage port -a -t http_port_t -p tcp 9000
sudo semanage port -a -t http_port_t -p tcp 9200
sudo semanage port -a -t mongod_port_t -p tcp 27017

Johtopäätös

Graylog-palvelimen asennus ja peruskonfigurointi on nyt valmis. Voit nyt käyttää Graylog palvelinta http://192.0.2.1tai http://graylog.example.comjos olet DNS määritetty. Kirjaudu sisään käyttäjätunnuksella adminja root_password_sha2aiemmin määrittämäsi salasanan tekstiversiolla .

Onnittelut – CentOS 7 -palvelimellesi on asennettu täysin toimiva Graylog-palvelin.