Hvernig á að setja upp Graylog Server á Ubuntu 16.04

Graylog þjónn er hugbúnaðarsvíta sem er tilbúinn fyrir opinn uppspretta annálastjórnunar fyrir fyrirtæki. Það safnar annálum frá ýmsum aðilum og greinir þá til að uppgötva og leysa vandamál. Greylog þjónn er í grundvallaratriðum samsetning Elasticsearch, MongoDB og Graylog. Elasticsearch er mjög vinsælt opið forrit til að geyma texta og veita mjög öfluga leitarmöguleika. MongoDB er opinn hugbúnaður til að geyma gögn á NoSQL sniði. Graylog safnar annálum frá ýmsum aðilum og býður upp á veftengt mælaborð til að stjórna og leita í gegnum annálana. Graylog býður einnig upp á REST API fyrir bæði stillingar og gögn. Það býður upp á stillanlegt mælaborð sem hægt er að nota til að sjá mælikvarða og fylgjast með þróun með því að nota svæðistölfræði, fljótleg gildi og töflur frá einum miðlægum stað.

Í þessari kennslu muntu læra að setja upp Graylog Server á Ubuntu 16.04. Þessi handbók var skrifuð fyrir Graylog Server 2.3, en gæti virkað á nýrri útgáfur líka. Þú munt einnig læra að setja upp Java, Elasticsearch og MongoDB. Við munum einnig tryggja MongoDB tilvikið og setja upp Nginx öfugt umboð fyrir veftengt mælaborðið og API.

Forkröfur

• Vultr Ubuntu 16.04 netþjónstilvik með að minnsta kosti 4GB vinnsluminni.
• A sudo notandi .

Í þessari kennslu munum við nota 192.0.2.1sem opinbera IP tölu netþjónsins og graylog.example.comsem lénið benti á netþjóninn. Skiptu um öll tilvik fyrir 192.0.2.1Vultr opinbera IP tölu þína og graylog.example.commeð raunverulegu léninu þínu.

Uppfærðu grunnkerfið þitt með því að nota handbókina Hvernig á að uppfæra Ubuntu 16.04 . Þegar kerfið þitt hefur verið uppfært skaltu halda áfram að setja upp Java.

Settu upp Java

Elasticsearch krefst Java 8 til að keyra. Það styður bæði Oracle Java og OpenJDK, en það er alltaf mælt með því að þú notir Oracle Java þegar mögulegt er. Bættu við Oracle Java PPA geymslu:

sudo add-apt-repository ppa:webupd8team/java

Uppfærðu lýsigögn APT geymslunnar:

sudo apt update

Settu upp nýjustu stöðugu útgáfuna af Java 8, keyrðu:

sudo apt -y install oracle-java8-installer

Samþykktu leyfissamninginn þegar beðið er um það. Ef Java hefur verið sett upp með góðum árangri, þá ættir þú að geta staðfest útgáfu þess.

java -version

Þú munt sjá eftirfarandi úttak.

user@vultr:~$ java -version
java version "1.8.0_144"
Java(TM) SE Runtime Environment (build 1.8.0_144-b01)
Java HotSpot(TM) 64-Bit Server VM (build 25.144-b01, mixed mode)

Stilltu JAVA_HOMEog aðrar sjálfgefnar stillingar með því að setja upp oracle-java8-set-default. Hlaupa:

sudo apt -y install oracle-java8-set-default

Keyrðu echo $JAVA_HOMEskipunina til að athuga hvort umhverfisbreytan sé stillt eða ekki.

user@vultr:~$ echo "$JAVA_HOME"
/usr/lib/jvm/java-8-oracle

Ef þú færð ekki úttakið sem sýnt er hér að ofan gætirðu þurft að skrá þig út og inn í skelina aftur.

Settu upp Elasticsearch

Elasticsearch er dreift, rauntíma, stigstærð og mjög fáanlegt forrit sem er notað til að geyma annálana og leita í þeim. Það geymir gögnin í vísitölum og leit í gögnunum er mjög hröð. Það býður upp á ýmis sett af API, svo sem HTTP RESTful API og innfæddur Java API. Hægt er að setja Elasticsearch upp beint í gegnum Elasticsearch geymsluna. Bættu við Elasticsearch APT geymslunni:

echo "deb https://artifacts.elastic.co/packages/5.x/apt stable main" | sudo tee -a /etc/apt/sources.list.d/elastic-5.x.list

Flyttu inn PGP lykilinn sem notaður var til að undirrita pakkana. Þetta mun tryggja heilleika pakkana.

wget -qO - https://artifacts.elastic.co/GPG-KEY-elasticsearch | sudo apt-key add -

Uppfærðu lýsigögn APT geymslunnar.

sudo apt update

Settu upp Elasticsearch pakkann:

sudo apt -y install elasticsearch

Þegar pakkinn hefur verið settur upp skaltu opna Elasticsearch sjálfgefna stillingarskrá.

sudo nano /etc/elasticsearch/elasticsearch.yml

Finndu eftirfarandi línu, taktu hana úr athugasemdum og breyttu gildinu úr my-applicationí graylog.

cluster.name: graylog

Þú getur ræst Elasticsearch og gert það kleift að byrja sjálfkrafa við ræsingu:

sudo systemctl enable elasticsearch
sudo systemctl start elasticsearch

Elasticsearch er nú í gangi á tengi 9200. Staðfestu að það virki rétt með því að keyra:

curl -XGET 'localhost:9200/?pretty'

Þú ættir að sjá framleiðsla svipað og eftirfarandi.

[user@vultr ~]$ curl -XGET 'localhost:9200/?pretty'
{
  "name" : "-kYzFA9",
  "cluster_name" : "graylog",
  "cluster_uuid" : "T3JQKehzSqmLThlVkEKPKg",
  "version" : {
    "number" : "5.5.1",
    "build_hash" : "19c13d0",
    "build_date" : "2017-07-18T20:44:24.823Z",
    "build_snapshot" : false,
    "lucene_version" : "6.6.0"
  },
  "tagline" : "You Know, for Search"
}

Ef þú lendir í villum skaltu bíða í nokkrar sekúndur og reyna aftur, þar sem það tekur tíma fyrir Elasticsearch að klára ræsingarferlið. Elasticsearch er nú uppsett og virkar rétt.

Settu upp MongoDB

MongoDB er ókeypis og opinn uppspretta NoSQL gagnagrunnsþjónn. Ólíkt hefðbundnum gagnagrunni sem notar töflur til að skipuleggja gögn sín, er MongoDB skjalamiðað og notar JSON-lík skjöl án skemas. Graylog notar MongoDB til að geyma stillingar og meta upplýsingar. Það er hægt að setja það upp beint í gegnum MongoDB geymsluna. Flyttu inn GPG lykilinn sem notaður var til að undirrita pakkann. Þetta mun tryggja áreiðanleika pakkana.

sudo apt-key adv --keyserver hkp://keyserver.ubuntu.com:80 --recv 0C49F3730359A14518585931BC711F9BA15703C6

Búðu til geymsluskrána:

echo "deb [ arch=amd64,arm64 ] http://repo.mongodb.org/apt/ubuntu xenial/mongodb-org/3.4 multiverse" | sudo tee /etc/apt/sources.list.d/mongodb-org-3.4.list

Uppfærðu lýsigögn APT geymslunnar.

sudo apt update

Settu upp MongoDB pakka:

sudo apt -y install mongodb-org

Ræstu MongoDB miðlara og gerðu það kleift að ræsast sjálfkrafa.

sudo systemctl start mongod
sudo systemctl enable mongod

Settu upp Graylog miðlara

Hlaða niður og nýjustu geymslunni fyrir Graylog miðlara.

wget https://packages.graylog2.org/repo/packages/graylog-2.3-repository_latest.deb
sudo dpkg -i graylog-2.3-repository_latest.deb
sudo apt update

Settu upp Graylog pakkann:

sudo apt install graylog-server

Graylog þjónninn er nú settur upp á þjóninum þínum. Áður en þú getur byrjað það þarftu að stilla nokkra hluti.

Stilla Graylog

Settu upp pwgentól til að búa til sterk lykilorð.

sudo apt -y install pwgen

Búðu til sterkt lykilorð leyndarmál.

pwgen -N 1 -s 96

Þú munt framleiða svipað og:

[user@vultr ~]$ pwgen -N 1 -s 96
pJqhNbdEY9FtNBfFUtq20lG2m9daacmsZQr59FhyoA0Wu3XQyVZcu5FedPZ9eCiDfjdiYWfRcEQ7a36bVqxSyTzcMMx5Rz8v

Búðu líka til 256 bita kjötkássa fyrir lykilorð rótarnotandans admin:

echo -n StrongPassword | sha256sum

Skiptu út StrongPasswordfyrir lykilorðið sem þú vilt stilla fyrir adminnotanda. Þú munt sjá:

[user@vultr ~]$ echo -n StrongPassword | sha256sum
05a181f00c157f70413d33701778a6ee7d2747ac18b9c0fbb8bd71a62dd7a223  -

Opnaðu Graylog stillingarskrána:

sudo nano /etc/graylog/server/server.conf

Finndu password_secret =, afritaðu og límdu lykilorðið sem er búið til með pwgenskipun. Finndu root_password_sha2 =, afritaðu og límdu breytta SHA 256 bita kjötkássa af stjórnanda lykilorðinu þínu. Finndu #root_email =, afskrifaðu og gefðu upp netfangið þitt. Taktu úr athugasemdum og stilltu tímabeltið þitt á root_timezone. Til dæmis:

password_secret = pJqhNbdEY9FtNBfFUtq20lG2m9daacmsZQr59FhyoA0Wu3XQyVZcu5FedPZ9eCiDfjdiYWfRcEQ7a36bVqxSyTzcMMx5Rz8v
root_password_sha2 = 05a181f00c157f70413d33701778a6ee7d2747ac18b9c0fbb8bd71a62dd7a223
root_email = [email protected]
root_timezone = Asia/Kolkata

Virkjaðu Graylog viðmótið á netinu með því að hætta að skrifa athugasemdir #web_enable = falseog stilla gildi þess á true. Taktu einnig úr athugasemdum og breyttu eftirfarandi línum eins og tilgreint er.

rest_listen_uri = http://0.0.0.0:9000/api/
rest_transport_uri = http://192.0.2.1:9000/api/
web_enable = true
web_listen_uri = http://0.0.0.0:9000/

Vistaðu skrána og farðu úr textaritlinum þínum.

Endurræstu og virkjaðu Graylog þjónustuna með því að keyra:

sudo systemctl restart graylog-server
sudo systemctl enable graylog-server

Stilltu Nginx sem öfugt umboð

Sjálfgefið er að Graylog vefviðmótið hlustar localhostá gátt 9000 og API hlustar á gátt 9000 með URL /api. Í þessari kennslu munum við nota Nginx sem andstæða umboð svo hægt sé að nálgast forritið í gegnum venjulegt HTTP tengi. Settu upp Nginx vefþjón með því að keyra:

sudo apt -y install nginx

Opnaðu sjálfgefna sýndarhýsingarskrána með því að slá inn.

sudo nano /etc/nginx/sites-available/default

Skiptu út fyrirliggjandi efni með eftirfarandi línum:

server
{
    listen 80 default_server;
    listen [::]:80 default_server ipv6only=on;
    server_name 192.0.2.1 graylog.example.com;

    location / {
      proxy_set_header Host $http_host;
      proxy_set_header X-Forwarded-Host $host;
      proxy_set_header X-Forwarded-Server $host;
      proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
      proxy_set_header X-Graylog-Server-URL http://$server_name/api;
      proxy_pass       http://127.0.0.1:9000;
    }
}

Ræstu Nginx og gerðu það kleift að byrja sjálfkrafa við ræsingu:

sudo systemctl restart nginx
sudo systemctl enable nginx

Niðurstaða

Uppsetningu og grunnstillingu Graylog miðlara er nú lokið. Þú getur nú fengið aðgang að Graylog þjóninum á http://192.0.2.1eða http://graylog.example.comef þú ert með DNS stillt. Skráðu þig inn með því að nota notandanafnið adminog textaútgáfu lykilorðsins sem þú hefur stillt á root_password_sha2áður.

Til hamingju - þú ert með fullvirkan Graylog netþjón uppsettan á Ubuntu 16.04 þjóninum þínum.