Kaip įdiegti „Graylog“ serverį „CentOS 7“.

„Graylog“ serveris yra įmonėms paruoštas atvirojo kodo žurnalų valdymo programinės įrangos rinkinys. Jis renka žurnalus iš įvairių šaltinių ir juos analizuoja, kad nustatytų ir išspręstų problemas. „Graylog“ serveris iš esmės yra „Elasticsearch“, „MongoDB“ ir „Graylog“ derinys. Elasticsearch yra labai populiari atvirojo kodo programa, skirta saugoti tekstą ir teikti labai galingas paieškos galimybes. MongoDB yra atvirojo kodo programa, skirta duomenims saugoti NoSQL formatu. „Graylog“ renka žurnalus iš įvairių šaltinių ir pateikia žiniatinklio informacijos suvestinę, skirtą žurnalams tvarkyti ir ieškoti. „Graylog“ taip pat teikia REST API konfigūracijai ir duomenims. Jame yra konfigūruojama prietaisų skydelis, kurį galima naudoti norint vizualizuoti metriką ir stebėti tendencijas, naudojant lauko statistiką, greitąsias reikšmes ir diagramas iš vienos centrinės vietos.

Šiame vadove išmokysite įdiegti „Graylog Server“ „CentOS 7“. Šis vadovas buvo skirtas „Graylog Server 2.3“, bet gali veikti ir su naujesnėmis versijomis. Taip pat išmoksite įdiegti Java, Elasticsearch ir MongoDB. Taip pat apsaugosime „MongoDB“ egzempliorių ir nustatysime „Nginx“ atvirkštinį tarpinį serverį žiniatinklio prietaisų skydelyje ir API.

Būtinos sąlygos

• „Vultr CentOS 7“ serverio egzempliorius su mažiausiai 4 GB RAM.
• Sudo vartotojas .

Šioje pamokoje naudosime 192.0.2.1kaip viešąjį serverio IP adresą ir graylog.example.comkaip domeno pavadinimą, nukreiptą į serverį. Pakeiskite visus atvejus 192.0.2.1savo Vultr viešuoju IP adresu ir graylog.example.comtikruoju domeno pavadinimu.

Atnaujinkite bazinę sistemą naudodami vadovą Kaip atnaujinti CentOS 7 . Kai sistema bus atnaujinta, tęskite „Java“ diegimą.

Įdiegti Java

„Elasticsearch“ paleidimui reikalinga „Java 8“. Jis palaiko ir „Oracle Java“, ir „OpenJDK“, tačiau visada rekomenduojama, kai įmanoma, naudoti „Oracle Java“. „Oracle“ teikia paruoštus įdiegti RPM paketus. Atsisiųskite „Oracle JDK RPM“:

wget --no-cookies --no-check-certificate --header "Cookie:oraclelicense=accept-securebackup-cookie" "http://download.oracle.com/otn-pub/java/jdk/8u144-b01/090f390dda5b47b9b721c7dfaa008135/jdk-8u144-linux-x64.rpm"

Įdiekite RPM paketą.

sudo yum -y install jdk-8u144-linux-x64.rpm

Jei „Java“ įdiegta sėkmingai, turėtumėte turėti galimybę patikrinti jos versiją.

java -version

Pamatysite tokią išvestį.

[user@vultr ~]$ java -version
java version "1.8.0_144"
Java(TM) SE Runtime Environment (build 1.8.0_144-b01)
Java HotSpot(TM) 64-Bit Server VM (build 25.144-b01, mixed mode)

Nustatykite JAVA_HOMEir JRE_HOMEaplinkos kintamąjį paleisdami:

echo "export JAVA_HOME=/usr/java/jdk1.8.0_144/" >> ~/.bash_profile
echo "export JRE_HOME=/usr/java/jdk1.8.0_144/jre" >> ~/.bash_profile

Dabar gaukite failą naudodami šią komandą.

source ~/.bash_profile

Paleiskite echo $JAVA_HOMEkomandą, kad patikrintumėte, ar aplinkos kintamasis nustatytas, ar ne.

[user@vultr ~]$ echo $JAVA_HOME
/usr/java/jdk1.8.0_144/

Įdiekite Elasticsearch

„Elasticsearch“ yra paskirstyta, realiuoju laiku, keičiamo dydžio ir labai prieinama programa, naudojama žurnalams saugoti ir juose ieškoti. Jis saugo duomenis indeksuose ir duomenų paieška yra labai greita. Jame pateikiami įvairūs API rinkiniai, pvz., HTTP RESTful API ir savoji Java API. „Elasticsearch“ galima įdiegti tiesiai per „Elasticsearch“ saugyklą. Sukurkite naują Elasticsearch saugyklos failą.

sudo nano /etc/yum.repos.d/elasticsearch.repo

Užpildykite failą tokiu turiniu.

[elasticsearch-5.x]
name=Elasticsearch repository for 5.x packages
baseurl=https://artifacts.elastic.co/packages/5.x/yum
gpgcheck=1
gpgkey=https://artifacts.elastic.co/GPG-KEY-elasticsearch
enabled=1
autorefresh=1
type=rpm-md

Importuokite PGP raktą, naudojamą paketams pasirašyti. Taip bus užtikrintas pakuočių vientisumas.

sudo rpm --import https://artifacts.elastic.co/GPG-KEY-elasticsearch

Įdiekite Elasticsearch paketą:

sudo yum -y install elasticsearch

Įdiegę paketą atidarykite Elasticsearch numatytąjį konfigūracijos failą.

sudo nano /etc/elasticsearch/elasticsearch.yml

Raskite šią eilutę, panaikinkite jos komentarą ir pakeiskite reikšmę iš my-applicationį graylog.

cluster.name: graylog

Galite paleisti „Elasticsearch“ ir įjungti, kad ji automatiškai įsijungtų įkrovos metu:

sudo systemctl enable elasticsearch
sudo systemctl start elasticsearch

Elasticsearch dabar veikia 9200 prievade. Patikrinkite, ar jis tinkamai veikia, paleisdami:

curl -XGET 'localhost:9200/?pretty'

Turėtumėte matyti išvestį, panašią į toliau pateiktą.

[user@vultr ~]$ curl -XGET 'localhost:9200/?pretty'
{
  "name" : "-kYzFA9",
  "cluster_name" : "graylog",
  "cluster_uuid" : "T3JQKehzSqmLThlVkEKPKg",
  "version" : {
    "number" : "5.5.1",
    "build_hash" : "19c13d0",
    "build_date" : "2017-07-18T20:44:24.823Z",
    "build_snapshot" : false,
    "lucene_version" : "6.6.0"
  },
  "tagline" : "You Know, for Search"
}

Jei susiduriate su klaidomis, palaukite kelias sekundes ir bandykite dar kartą, nes užtruks, kol Elasticsearch užbaigs paleisties procesą. Elasticsearch dabar įdiegta ir veikia tinkamai.

Įdiekite MongoDB

MongoDB yra nemokamas atvirojo kodo NoSQL duomenų bazės serveris. Skirtingai nuo tradicinės duomenų bazės, kuri naudoja lenteles savo duomenims tvarkyti, MongoDB yra orientuota į dokumentus ir naudoja į JSON panašius dokumentus be schemų. „Graylog“ naudoja „MongoDB“, kad saugotų savo konfigūraciją ir meta informaciją. Jį galima įdiegti tiesiai per MongoDB saugyklą. Sukurkite naują MongoDB saugyklos failą.

sudo nano /etc/yum.repos.d/mongodb.repo

Užpildykite failą tokiu turiniu.

[mongodb-org-3.4]
name=MongoDB Repository
baseurl=https://repo.mongodb.org/yum/redhat/$releasever/mongodb-org/3.4/x86_64/
gpgcheck=1
enabled=1
gpgkey=https://www.mongodb.org/static/pgp/server-3.4.asc

Įdiekite „MongoDB“ paleisdami:

sudo yum -y install mongodb-org

Paleiskite MongoDB serverį ir įjunkite jį automatiškai.

sudo systemctl start mongod
sudo systemctl enable mongod

Įdiekite „Graylog“ serverį

Atsisiųskite naujausią „Graylog“ serverio saugyklą.

sudo rpm -Uvh https://packages.graylog2.org/repo/packages/graylog-2.3-repository_latest.rpm
sudo yum -y update

Įdiekite „Graylog“ paleisdami:

sudo yum -y install graylog-server

Graylog serveris dabar įdiegtas jūsų serveryje. Prieš pradėdami, turėsite sukonfigūruoti keletą dalykų.

Sukonfigūruokite „Graylog“.

Įdiekite pwgenprogramą, kad sukurtumėte stiprius slaptažodžius.

sudo yum -y install pwgen

Dabar sukurkite tvirtą slaptažodžio paslaptį.

pwgen -N 1 -s 96

Išvesite panašiai kaip:

[user@vultr ~]$ pwgen -N 1 -s 96
pJqhNbdEY9FtNBfFUtq20lG2m9daacmsZQr59FhyoA0Wu3XQyVZcu5FedPZ9eCiDfjdiYWfRcEQ7a36bVqxSyTzcMMx5Rz8v

Taip pat sugeneruokite 256 bitų maišą pagrindinio adminvartotojo slaptažodžiui :

echo -n StrongPassword | sha256sum

Pakeiskite StrongPasswordslaptažodžiu, kurį norite nustatyti adminvartotojui. Pamatysi:

[user@vultr ~]$ echo -n StrongPassword | sha256sum
05a181f00c157f70413d33701778a6ee7d2747ac18b9c0fbb8bd71a62dd7a223  -

Atidarykite „Graylog“ konfigūracijos failą:

sudo nano /etc/graylog/server/server.conf

Raskite password_secret =, nukopijuokite ir įklijuokite slaptažodį, sugeneruotą naudojant pwgenkomandą. Raskite root_password_sha2 =, nukopijuokite ir įklijuokite administratoriaus slaptažodžio konvertuotą 256 bitų SHA maišą. Raskite #root_email =, panaikinkite komentarus ir pateikite savo el. pašto adresą. Atšaukite komentarą ir nustatykite laiko juostą root_timezone. Pavyzdžiui:

password_secret = pJqhNbdEY9FtNBfFUtq20lG2m9daacmsZQr59FhyoA0Wu3XQyVZcu5FedPZ9eCiDfjdiYWfRcEQ7a36bVqxSyTzcMMx5Rz8v
root_password_sha2 = 05a181f00c157f70413d33701778a6ee7d2747ac18b9c0fbb8bd71a62dd7a223
root_email = [email protected]
root_timezone = Asia/Kolkata

Įgalinkite žiniatinklio „Graylog“ sąsają panaikindami komentarus #web_enable = falseir nustatydami reikšmę į true. Taip pat panaikinkite komentarus ir pakeiskite šias eilutes, kaip nurodyta.

rest_listen_uri = http://0.0.0.0:9000/api/
rest_transport_uri = http://45.76.214.19:9000/api/
web_enable = true
web_listen_uri = http://0.0.0.0:9000/

Išsaugokite failą ir išeikite iš teksto rengyklės.

Iš naujo paleiskite „Graylog“ paslaugą paleisdami:

sudo systemctl restart graylog-server

Sukonfigūruokite „Nginx“ kaip atvirkštinį tarpinį serverį

Pagal numatytuosius nustatymus „Graylog“ žiniatinklio sąsaja klausosi localhostper 9000 prievadą, o API – per 9000 prievadą su URL /api. Šiame vadove naudosime Nginx kaip atvirkštinį tarpinį serverį, kad programą būtų galima pasiekti per standartinį HTTP prievadą. Įdiekite „Nginx“ žiniatinklio serverį paleisdami:

sudo yum -y install nginx

Įvesdami atidarykite numatytąjį virtualųjį pagrindinį kompiuterį.

sudo nano /etc/nginx/nginx.conf

Raskite serverbloką po http, ir pakeiskite visą serverbloką šiomis eilutėmis.

server
{
    listen 80 default_server;
    listen [::]:80 default_server ipv6only=on;
    server_name graylog.example.com 192.0.2.1;

    location / {
      proxy_set_header Host $http_host;
      proxy_set_header X-Forwarded-Host $host;
      proxy_set_header X-Forwarded-Server $host;
      proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
      proxy_set_header X-Graylog-Server-URL http://$server_name/api;
      proxy_pass       http://127.0.0.1:9000;
    }
}

Paleiskite „Nginx“ ir įgalinkite jį automatiškai paleisti įkrovos metu:

sudo systemctl start nginx
sudo systemctl enable nginx

Sukonfigūruokite ugniasienę ir SELinux

Jei savo serveryje naudojate ugniasienę, turėsite sukonfigūruoti užkardą, kad nustatytumėte išimtį tam tikriems prievadams. Leiskite „Elasticsearch“ paslaugai ir „Nginx“ atvirkštiniam tarpiniam serveriui prisijungti iš tinklo ribų.

sudo firewall-cmd --zone=public --permanent --add-service=http
sudo firewall-cmd --zone=public --permanent --add-port=9200/tcp
sudo firewall-cmd --reload

Jei jūsų sistemoje įjungtas SELinux, turėsite įtraukti keletą išimčių į SELinux politiką.

sudo setsebool -P httpd_can_network_connect 1
sudo semanage port -a -t http_port_t -p tcp 9000
sudo semanage port -a -t http_port_t -p tcp 9200
sudo semanage port -a -t mongod_port_t -p tcp 27017

Išvada

Dabar „Graylog“ serverio diegimas ir pagrindinė konfigūracija baigta. Dabar galite pasiekti „Graylog“ serverį naudodami http://192.0.2.1arba http://graylog.example.comsukonfigūruotą DNS. Prisijunkite naudodami vartotojo vardą adminir slaptažodžio, kurį nustatėte root_password_sha2anksčiau, paprastą teksto versiją .

Sveikiname – jūsų CentOS 7 serveryje įdiegtas visiškai veikiantis Graylog serveris.