A Graylog Server telepítése Ubuntu 16.04-re

A Graylog szerver egy vállalati használatra kész nyílt forráskódú naplókezelő szoftvercsomag. Naplókat gyűjt különböző forrásokból, és elemzi azokat a problémák felfedezése és megoldása érdekében. A Greylog szerver alapvetően az Elasticsearch, a MongoDB és a Graylog kombinációja. Az Elasticsearch egy nagyon népszerű nyílt forráskódú alkalmazás szöveg tárolására és nagyon hatékony keresési lehetőségek biztosítására. A MongoDB egy nyílt forráskódú alkalmazás, amely NoSQL formátumban tárolja az adatokat. A Graylog különféle forrásokból gyűjti a naplókat, és webalapú irányítópultot biztosít a naplók kezeléséhez és kereséséhez. A Graylog REST API-t is biztosít mind a konfigurációhoz, mind az adatokhoz. Konfigurálható irányítópultot biztosít, amely használható mutatók megjelenítésére és trendek megfigyelésére a helyszíni statisztikák, gyorsértékek és diagramok egy központi helyről történő használatával.

Ebből az oktatóanyagból megtudhatja, hogyan telepítheti a Graylog Servert Ubuntu 16.04-re. Ez az útmutató a Graylog Server 2.3-hoz készült, de működhet az újabb verziókon is. Megtanulja a Java, az Elasticsearch és a MongoDB telepítését is. Ezenkívül biztosítjuk a MongoDB példányt, és beállítunk egy Nginx fordított proxyt a webalapú irányítópulthoz és API-hoz.

Előfeltételek

• Vultr Ubuntu 16.04 szerverpéldány legalább 4 GB RAM-mal.
• Egy sudo felhasználó .

Ebben az oktatóanyagban 192.0.2.1a szerver nyilvános IP-címeként és a szerverre graylog.example.commutató domain névként fogjuk használni . Cserélje le az összes előfordulását 192.0.2.1a Vultr nyilvános IP-címére és graylog.example.coma tényleges domain nevére.

Frissítse alaprendszerét az Ubuntu 16.04 frissítése útmutató segítségével . A rendszer frissítése után folytassa a Java telepítésével.

Java telepítése

Az Elasticsearch futtatásához Java 8 szükséges. Támogatja az Oracle Java-t és az OpenJDK-t is, de mindig ajánlott az Oracle Java használata, ha lehetséges. Oracle Java PPA tár hozzáadása:

sudo add-apt-repository ppa:webupd8team/java

Frissítse az APT-lerakat metaadatait:

sudo apt update

Telepítse a Java 8 legújabb stabil verzióját, futtassa:

sudo apt -y install oracle-java8-installer

Amikor a rendszer kéri, fogadja el a licencszerződést. Ha a Java telepítése sikeres volt, akkor ellenőrizni kell a verzióját.

java -version

A következő kimenetet fogja látni.

user@vultr:~$ java -version
java version "1.8.0_144"
Java(TM) SE Runtime Environment (build 1.8.0_144-b01)
Java HotSpot(TM) 64-Bit Server VM (build 25.144-b01, mixed mode)

A JAVA_HOMEtelepítéssel állítsa be a és a többi alapértelmezett értéket oracle-java8-set-default. Fuss:

sudo apt -y install oracle-java8-set-default

Futtassa a echo $JAVA_HOMEparancsot, hogy ellenőrizze, hogy a környezeti változó be van-e állítva vagy sem.

user@vultr:~$ echo "$JAVA_HOME"
/usr/lib/jvm/java-8-oracle

Ha nem kapja meg a fent látható kimenetet, előfordulhat, hogy ki kell jelentkeznie, és újra be kell jelentkeznie a rendszerhéjba.

Telepítse az Elasticsearch programot

Az Elasticsearch egy elosztott, valós idejű, méretezhető és magasan elérhető alkalmazás, amely a naplók tárolására és a bennük való keresésre szolgál. Az adatokat indexekben tárolja, és nagyon gyors az adatok közötti keresés. Különféle API-készleteket biztosít, például HTTP RESTful API-t és natív Java API-t. Az Elasticsearch közvetlenül az Elasticsearch adattáron keresztül telepíthető. Adja hozzá az Elasticsearch APT adattárat:

echo "deb https://artifacts.elastic.co/packages/5.x/apt stable main" | sudo tee -a /etc/apt/sources.list.d/elastic-5.x.list

Importálja a csomagok aláírásához használt PGP-kulcsot. Ez biztosítja a csomagok integritását.

wget -qO - https://artifacts.elastic.co/GPG-KEY-elasticsearch | sudo apt-key add -

Frissítse az APT-lerakat metaadatait.

sudo apt update

Telepítse az Elasticsearch csomagot:

sudo apt -y install elasticsearch

A csomag telepítése után nyissa meg az Elasticsearch alapértelmezett konfigurációs fájlját.

sudo nano /etc/elasticsearch/elasticsearch.yml

Keresse meg a következő sort, megjegyzésből, és változtassa meg az értéket my-applicationa graylog.

cluster.name: graylog

Elindíthatja az Elasticsearch programot, és engedélyezheti, hogy rendszerindításkor automatikusan elinduljon:

sudo systemctl enable elasticsearch
sudo systemctl start elasticsearch

Az Elasticsearch jelenleg a 9200-as porton fut. Ellenőrizze, hogy megfelelően működik-e a következő futtatásával:

curl -XGET 'localhost:9200/?pretty'

A következőhöz hasonló kimenetet kell látnia.

[user@vultr ~]$ curl -XGET 'localhost:9200/?pretty'
{
  "name" : "-kYzFA9",
  "cluster_name" : "graylog",
  "cluster_uuid" : "T3JQKehzSqmLThlVkEKPKg",
  "version" : {
    "number" : "5.5.1",
    "build_hash" : "19c13d0",
    "build_date" : "2017-07-18T20:44:24.823Z",
    "build_snapshot" : false,
    "lucene_version" : "6.6.0"
  },
  "tagline" : "You Know, for Search"
}

Ha hibákat észlel, várjon néhány másodpercet, és próbálkozzon újra, mivel időbe telik, amíg az Elasticsearch befejezi az indítási folyamatot. Az Elasticsearch telepítve van, és megfelelően működik.

Telepítse a MongoDB-t

A MongoDB egy ingyenes és nyílt forráskódú NoSQL adatbázis-kiszolgáló. A hagyományos adatbázisokkal ellentétben, amelyek táblákat használnak adataik rendszerezésére, a MongoDB dokumentum-orientált, és JSON-szerű dokumentumokat használ sémák nélkül. A Graylog a MongoDB-t használja konfigurációi és metainformációinak tárolására. Közvetlenül a MongoDB adattáron keresztül telepíthető. Importálja a csomag aláírásához használt GPG kulcsot. Ez biztosítja a csomagok hitelességét.

sudo apt-key adv --keyserver hkp://keyserver.ubuntu.com:80 --recv 0C49F3730359A14518585931BC711F9BA15703C6

Most hozza létre a Repository fájlt:

echo "deb [ arch=amd64,arm64 ] http://repo.mongodb.org/apt/ubuntu xenial/mongodb-org/3.4 multiverse" | sudo tee /etc/apt/sources.list.d/mongodb-org-3.4.list

Frissítse az APT-lerakat metaadatait.

sudo apt update

MongoDB csomag telepítése:

sudo apt -y install mongodb-org

Indítsa el a MongoDB kiszolgálót, és engedélyezze az automatikus indítást.

sudo systemctl start mongod
sudo systemctl enable mongod

Graylog szerver telepítése

Töltse le és a Graylog szerver legújabb tárházát.

wget https://packages.graylog2.org/repo/packages/graylog-2.3-repository_latest.deb
sudo dpkg -i graylog-2.3-repository_latest.deb
sudo apt update

Graylog csomag telepítése:

sudo apt install graylog-server

A Graylog szerver most telepítve van a szerverére. Mielőtt elindítaná, be kell állítania néhány dolgot.

Graylog konfigurálása

Telepítse a pwgensegédprogramot erős jelszavak generálásához.

sudo apt -y install pwgen

Most generáljon egy erős jelszótitkot.

pwgen -N 1 -s 96

Hasonló kimenetet fog adni:

[user@vultr ~]$ pwgen -N 1 -s 96
pJqhNbdEY9FtNBfFUtq20lG2m9daacmsZQr59FhyoA0Wu3XQyVZcu5FedPZ9eCiDfjdiYWfRcEQ7a36bVqxSyTzcMMx5Rz8v

Ezenkívül hozzon létre egy 256 bites hash-t a root adminfelhasználó jelszavához :

echo -n StrongPassword | sha256sum

Cserélje StrongPasswordki a adminfelhasználóhoz beállítani kívánt jelszót . Meglátod:

[user@vultr ~]$ echo -n StrongPassword | sha256sum
05a181f00c157f70413d33701778a6ee7d2747ac18b9c0fbb8bd71a62dd7a223  -

Nyissa meg a Graylog konfigurációs fájlt:

sudo nano /etc/graylog/server/server.conf

Keresse meg password_secret =, másolja és illessze be a pwgenparancs segítségével generált jelszót . Keresse meg root_password_sha2 =, másolja és illessze be a rendszergazdai jelszó konvertált SHA 256 bites kivonatát. Keresse meg #root_email =, törölje a megjegyzéseket, és adja meg e-mail címét. Törölje a megjegyzéseket, és állítsa be az időzónát a következőre: root_timezone. Például:

password_secret = pJqhNbdEY9FtNBfFUtq20lG2m9daacmsZQr59FhyoA0Wu3XQyVZcu5FedPZ9eCiDfjdiYWfRcEQ7a36bVqxSyTzcMMx5Rz8v
root_password_sha2 = 05a181f00c157f70413d33701778a6ee7d2747ac18b9c0fbb8bd71a62dd7a223
root_email = [email protected]
root_timezone = Asia/Kolkata

Engedélyezze a webalapú Graylog felületet a megjegyzések törlésével #web_enable = falseés értékének beállításával true. Szintén törölje a megjegyzéseket és módosítsa a következő sorokat a megadottak szerint.

rest_listen_uri = http://0.0.0.0:9000/api/
rest_transport_uri = http://192.0.2.1:9000/api/
web_enable = true
web_listen_uri = http://0.0.0.0:9000/

Mentse el a fájlt, és lépjen ki a szövegszerkesztőből.

Indítsa újra és engedélyezze a Graylog szolgáltatást a következő futtatásával:

sudo systemctl restart graylog-server
sudo systemctl enable graylog-server

Konfigurálja az Nginx-et fordított proxyként

Alapértelmezés szerint a Graylog webes felülete localhosta 9000-es porton, az API pedig a 9000-es porton figyel az URL-lel /api. Ebben az oktatóanyagban az Nginx-et fogjuk használni fordított proxyként, így az alkalmazás szabványos HTTP-porton keresztül érhető el. Telepítse az Nginx webszervert a következő futtatásával:

sudo apt -y install nginx

Nyissa meg az alapértelmezett virtuális gazdagép fájlt gépeléssel.

sudo nano /etc/nginx/sites-available/default

Cserélje ki a meglévő tartalmat a következő sorokkal:

server
{
    listen 80 default_server;
    listen [::]:80 default_server ipv6only=on;
    server_name 192.0.2.1 graylog.example.com;

    location / {
      proxy_set_header Host $http_host;
      proxy_set_header X-Forwarded-Host $host;
      proxy_set_header X-Forwarded-Server $host;
      proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
      proxy_set_header X-Graylog-Server-URL http://$server_name/api;
      proxy_pass       http://127.0.0.1:9000;
    }
}

Indítsa el az Nginx-et, és engedélyezze, hogy rendszerindításkor automatikusan elinduljon:

sudo systemctl restart nginx
sudo systemctl enable nginx

Következtetés

A Graylog szerver telepítése és alapkonfigurációja ezzel befejeződött. Most már elérheti a Graylog-kiszolgálót, http://192.0.2.1vagy http://graylog.example.comha beállította a DNS-t. Jelentkezzen be a felhasználónévvel adminés a root_password_sha2korábban beállított jelszó egyszerű szöveges verziójával .

Gratulálunk – egy teljesen működő Graylog-kiszolgálót telepített az Ubuntu 16.04-es szerverére.