Hvernig á að setja upp Graylog Server á CentOS 7

Graylog þjónn er hugbúnaðarsvíta sem er tilbúinn fyrir opinn uppspretta annálastjórnunar fyrir fyrirtæki. Það safnar annálum frá ýmsum aðilum og greinir þá til að uppgötva og leysa vandamál. Graylog þjónn er í grundvallaratriðum samsetning Elasticsearch, MongoDB og Graylog. Elasticsearch er mjög vinsælt opið forrit til að geyma texta og veita mjög öfluga leitarmöguleika. MongoDB er opinn hugbúnaður til að geyma gögn á NoSQL sniði. Graylog safnar annálum frá ýmsum aðilum og býður upp á veftengt mælaborð til að stjórna og leita í gegnum annálana. Graylog býður einnig upp á REST API fyrir bæði stillingar og gögn. Það býður upp á stillanlegt mælaborð sem hægt er að nota til að sjá mælikvarða og fylgjast með þróun með því að nota svæðistölfræði, fljótleg gildi og töflur frá einum miðlægum stað.

Í þessari kennslu muntu læra að setja upp Graylog Server á CentOS 7. Þessi handbók var skrifuð fyrir Graylog Server 2.3, en gæti virkað á nýrri útgáfur líka. Þú munt einnig læra að setja upp Java, Elasticsearch og MongoDB. Við munum einnig tryggja MongoDB tilvikið og setja upp Nginx öfugt umboð fyrir veftengt mælaborðið og API.

Forkröfur

• Vultr CentOS 7 netþjónstilvik með að minnsta kosti 4GB vinnsluminni.
• A sudo notandi .

Í þessari kennslu munum við nota 192.0.2.1sem opinbera IP tölu netþjónsins og graylog.example.comsem lénið benti á netþjóninn. Skiptu um öll tilvik fyrir 192.0.2.1Vultr opinbera IP tölu þína og graylog.example.commeð raunverulegu léninu þínu.

Uppfærðu grunnkerfið þitt með því að nota handbókina Hvernig á að uppfæra CentOS 7 . Þegar kerfið þitt hefur verið uppfært skaltu halda áfram að setja upp Java.

Settu upp Java

Elasticsearch krefst Java 8 til að keyra. Það styður bæði Oracle Java og OpenJDK, en það er alltaf mælt með því að þú notir Oracle Java þegar mögulegt er. Oracle veitir tilbúna til að setja upp RPM pakka. Sæktu Oracle JDK RPM:

wget --no-cookies --no-check-certificate --header "Cookie:oraclelicense=accept-securebackup-cookie" "http://download.oracle.com/otn-pub/java/jdk/8u144-b01/090f390dda5b47b9b721c7dfaa008135/jdk-8u144-linux-x64.rpm"

Settu upp RPM pakkann.

sudo yum -y install jdk-8u144-linux-x64.rpm

Ef Java hefur verið sett upp með góðum árangri, þá ættir þú að geta staðfest útgáfu þess.

java -version

Þú munt sjá eftirfarandi úttak.

[user@vultr ~]$ java -version
java version "1.8.0_144"
Java(TM) SE Runtime Environment (build 1.8.0_144-b01)
Java HotSpot(TM) 64-Bit Server VM (build 25.144-b01, mixed mode)

Stilltu JAVA_HOMEog JRE_HOMEumhverfisbreytu með því að keyra:

echo "export JAVA_HOME=/usr/java/jdk1.8.0_144/" >> ~/.bash_profile
echo "export JRE_HOME=/usr/java/jdk1.8.0_144/jre" >> ~/.bash_profile

Nú skaltu fá skrána með því að nota eftirfarandi skipun.

source ~/.bash_profile

Keyrðu echo $JAVA_HOMEskipunina til að athuga hvort umhverfisbreytan sé stillt eða ekki.

[user@vultr ~]$ echo $JAVA_HOME
/usr/java/jdk1.8.0_144/

Settu upp Elasticsearch

Elasticsearch er dreift, rauntíma, stigstærð og mjög fáanlegt forrit sem er notað til að geyma annálana og leita í þeim. Það geymir gögnin í vísitölum og leit í gögnunum er mjög hröð. Það býður upp á ýmis sett af API, svo sem HTTP RESTful API og innfæddur Java API. Hægt er að setja Elasticsearch upp beint í gegnum Elasticsearch geymsluna. Búðu til nýja geymsluskrá fyrir Elasticsearch.

sudo nano /etc/yum.repos.d/elasticsearch.repo

Fylltu skrána með eftirfarandi efni.

[elasticsearch-5.x]
name=Elasticsearch repository for 5.x packages
baseurl=https://artifacts.elastic.co/packages/5.x/yum
gpgcheck=1
gpgkey=https://artifacts.elastic.co/GPG-KEY-elasticsearch
enabled=1
autorefresh=1
type=rpm-md

Flyttu inn PGP lykilinn sem notaður var til að undirrita pakkana. Þetta mun tryggja heilleika pakkana.

sudo rpm --import https://artifacts.elastic.co/GPG-KEY-elasticsearch

Settu upp Elasticsearch pakkann:

sudo yum -y install elasticsearch

Þegar pakkinn hefur verið settur upp skaltu opna Elasticsearch sjálfgefna stillingarskrá.

sudo nano /etc/elasticsearch/elasticsearch.yml

Finndu eftirfarandi línu, taktu hana úr athugasemdum og breyttu gildinu úr my-applicationí graylog.

cluster.name: graylog

Þú getur ræst Elasticsearch og gert það kleift að byrja sjálfkrafa við ræsingu:

sudo systemctl enable elasticsearch
sudo systemctl start elasticsearch

Elasticsearch er nú í gangi á tengi 9200. Staðfestu að það virki rétt með því að keyra:

curl -XGET 'localhost:9200/?pretty'

Þú ættir að sjá framleiðsla svipað og eftirfarandi.

[user@vultr ~]$ curl -XGET 'localhost:9200/?pretty'
{
  "name" : "-kYzFA9",
  "cluster_name" : "graylog",
  "cluster_uuid" : "T3JQKehzSqmLThlVkEKPKg",
  "version" : {
    "number" : "5.5.1",
    "build_hash" : "19c13d0",
    "build_date" : "2017-07-18T20:44:24.823Z",
    "build_snapshot" : false,
    "lucene_version" : "6.6.0"
  },
  "tagline" : "You Know, for Search"
}

Ef þú lendir í villum skaltu bíða í nokkrar sekúndur og reyna aftur, þar sem það tekur tíma fyrir Elasticsearch að klára ræsingarferlið. Elasticsearch er nú uppsett og virkar rétt.

Settu upp MongoDB

MongoDB er ókeypis og opinn uppspretta NoSQL gagnagrunnsþjónn. Ólíkt hefðbundnum gagnagrunni sem notar töflur til að skipuleggja gögn sín, er MongoDB skjalamiðað og notar JSON-lík skjöl án skemas. Graylog notar MongoDB til að geyma stillingar og meta upplýsingar. Það er hægt að setja það upp beint í gegnum MongoDB geymsluna. Búðu til nýja geymsluskrá fyrir MongoDB.

sudo nano /etc/yum.repos.d/mongodb.repo

Fylltu skrána með eftirfarandi efni.

[mongodb-org-3.4]
name=MongoDB Repository
baseurl=https://repo.mongodb.org/yum/redhat/$releasever/mongodb-org/3.4/x86_64/
gpgcheck=1
enabled=1
gpgkey=https://www.mongodb.org/static/pgp/server-3.4.asc

Settu upp MongoDB með því að keyra:

sudo yum -y install mongodb-org

Ræstu MongoDB miðlara og gerðu það kleift að ræsast sjálfkrafa.

sudo systemctl start mongod
sudo systemctl enable mongod

Settu upp Graylog miðlara

Sæktu nýjustu geymsluna fyrir Graylog miðlara.

sudo rpm -Uvh https://packages.graylog2.org/repo/packages/graylog-2.3-repository_latest.rpm
sudo yum -y update

Settu upp Graylog með því að keyra:

sudo yum -y install graylog-server

Graylog þjónninn er nú settur upp á þjóninum þínum. Áður en þú getur byrjað það þarftu að stilla nokkra hluti.

Stilla Graylog

Settu upp pwgentól til að búa til sterk lykilorð.

sudo yum -y install pwgen

Búðu til sterkt lykilorð leyndarmál.

pwgen -N 1 -s 96

Þú munt framleiða svipað og:

[user@vultr ~]$ pwgen -N 1 -s 96
pJqhNbdEY9FtNBfFUtq20lG2m9daacmsZQr59FhyoA0Wu3XQyVZcu5FedPZ9eCiDfjdiYWfRcEQ7a36bVqxSyTzcMMx5Rz8v

Búðu líka til 256 bita kjötkássa fyrir lykilorð rótarnotandans admin:

echo -n StrongPassword | sha256sum

Skiptu út StrongPasswordfyrir lykilorðið sem þú vilt stilla fyrir adminnotanda. Þú munt sjá:

[user@vultr ~]$ echo -n StrongPassword | sha256sum
05a181f00c157f70413d33701778a6ee7d2747ac18b9c0fbb8bd71a62dd7a223  -

Opnaðu Graylog stillingarskrána:

sudo nano /etc/graylog/server/server.conf

Finndu password_secret =, afritaðu og límdu lykilorðið sem er búið til með pwgenskipun. Finndu root_password_sha2 =, afritaðu og límdu breytta SHA 256 bita kjötkássa af stjórnanda lykilorðinu þínu. Finndu #root_email =, afskrifaðu og gefðu upp netfangið þitt. Taktu úr athugasemdum og stilltu tímabeltið þitt á root_timezone. Til dæmis:

password_secret = pJqhNbdEY9FtNBfFUtq20lG2m9daacmsZQr59FhyoA0Wu3XQyVZcu5FedPZ9eCiDfjdiYWfRcEQ7a36bVqxSyTzcMMx5Rz8v
root_password_sha2 = 05a181f00c157f70413d33701778a6ee7d2747ac18b9c0fbb8bd71a62dd7a223
root_email = [email protected]
root_timezone = Asia/Kolkata

Virkjaðu Graylog viðmótið á netinu með því að hætta að skrifa athugasemdir #web_enable = falseog stilla gildið á true. Taktu einnig úr athugasemdum og breyttu eftirfarandi línum eins og tilgreint er.

rest_listen_uri = http://0.0.0.0:9000/api/
rest_transport_uri = http://45.76.214.19:9000/api/
web_enable = true
web_listen_uri = http://0.0.0.0:9000/

Vistaðu skrána og farðu úr textaritlinum þínum.

Endurræstu Graylog þjónustuna með því að keyra:

sudo systemctl restart graylog-server

Stilltu Nginx sem öfugt umboð

Sjálfgefið er að Graylog vefviðmótið hlustar localhostá gátt 9000 og API hlustar á gátt 9000 með URL /api. Í þessari kennslu munum við nota Nginx sem andstæða umboð svo hægt sé að nálgast forritið í gegnum venjulegt HTTP tengi. Settu upp Nginx vefþjón með því að keyra:

sudo yum -y install nginx

Opnaðu sjálfgefna sýndarhýsilinn með því að slá inn.

sudo nano /etc/nginx/nginx.conf

Finndu serverkubbinn undir httpog skiptu öllum serverkubbnum út fyrir eftirfarandi línur.

server
{
    listen 80 default_server;
    listen [::]:80 default_server ipv6only=on;
    server_name graylog.example.com 192.0.2.1;

    location / {
      proxy_set_header Host $http_host;
      proxy_set_header X-Forwarded-Host $host;
      proxy_set_header X-Forwarded-Server $host;
      proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
      proxy_set_header X-Graylog-Server-URL http://$server_name/api;
      proxy_pass       http://127.0.0.1:9000;
    }
}

Ræstu Nginx og gerðu það kleift að byrja sjálfkrafa við ræsingu:

sudo systemctl start nginx
sudo systemctl enable nginx

Stilltu eldvegg og SELinux

Ef þú ert að keyra eldvegg á þjóninum þínum þarftu að stilla eldvegginn til að setja undantekningu fyrir ákveðnar höfn. Leyfðu Elasticsearch þjónustu og Nginx öfugum proxy að tengjast utan netkerfisins.

sudo firewall-cmd --zone=public --permanent --add-service=http
sudo firewall-cmd --zone=public --permanent --add-port=9200/tcp
sudo firewall-cmd --reload

Ef þú ert með SELinux virkt á kerfinu þínu, þá þarftu að bæta við nokkrum undantekningum í SELinux reglum.

sudo setsebool -P httpd_can_network_connect 1
sudo semanage port -a -t http_port_t -p tcp 9000
sudo semanage port -a -t http_port_t -p tcp 9200
sudo semanage port -a -t mongod_port_t -p tcp 27017

Niðurstaða

Uppsetningu og grunnstillingu Graylog miðlara er nú lokið. Þú getur nú fengið aðgang að Graylog þjóninum á http://192.0.2.1eða http://graylog.example.comef þú ert með DNS stillt. Skráðu þig inn með því að nota notandanafnið adminog textaútgáfu lykilorðsins sem þú hefur stillt á root_password_sha2áður.

Til hamingju - þú ert með fullvirkan Graylog netþjón uppsettan á CentOS 7 þjóninum þínum.