Kaip įdiegti „Graylog“ serverį „Ubuntu 16.04“.

„Graylog“ serveris yra įmonėms paruoštas atvirojo kodo žurnalų valdymo programinės įrangos rinkinys. Jis renka žurnalus iš įvairių šaltinių ir juos analizuoja, kad nustatytų ir išspręstų problemas. „Greylog“ serveris iš esmės yra „Elasticsearch“, „MongoDB“ ir „Graylog“ derinys. Elasticsearch yra labai populiari atvirojo kodo programa, skirta saugoti tekstą ir teikti labai galingas paieškos galimybes. MongoDB yra atvirojo kodo programa, skirta duomenims saugoti NoSQL formatu. „Graylog“ renka žurnalus iš įvairių šaltinių ir pateikia žiniatinklio informacijos suvestinę, skirtą žurnalams tvarkyti ir ieškoti. „Graylog“ taip pat teikia REST API konfigūracijai ir duomenims. Jame yra konfigūruojama prietaisų skydelis, kurį galima naudoti norint vizualizuoti metriką ir stebėti tendencijas, naudojant lauko statistiką, greitąsias reikšmes ir diagramas iš vienos centrinės vietos.

Šioje pamokoje išmoksite įdiegti „Graylog Server“ Ubuntu 16.04. Šis vadovas buvo skirtas „Graylog Server 2.3“, bet gali veikti ir su naujesnėmis versijomis. Taip pat išmoksite įdiegti Java, Elasticsearch ir MongoDB. Taip pat apsaugosime „MongoDB“ egzempliorių ir nustatysime „Nginx“ atvirkštinį tarpinį serverį žiniatinklio prietaisų skydelyje ir API.

Būtinos sąlygos

• „Vultr Ubuntu 16.04“ serverio egzempliorius su mažiausiai 4 GB RAM.
• Sudo vartotojas .

Šioje pamokoje naudosime 192.0.2.1kaip viešąjį serverio IP adresą ir graylog.example.comkaip domeno pavadinimą, nukreiptą į serverį. Pakeiskite visus atvejus 192.0.2.1savo Vultr viešuoju IP adresu ir graylog.example.comtikruoju domeno pavadinimu.

Atnaujinkite bazinę sistemą naudodami vadovą Kaip atnaujinti Ubuntu 16.04 . Kai sistema bus atnaujinta, tęskite „Java“ diegimą.

Įdiegti Java

„Elasticsearch“ paleidimui reikalinga „Java 8“. Jis palaiko ir „Oracle Java“, ir „OpenJDK“, tačiau visada rekomenduojama, kai įmanoma, naudoti „Oracle Java“. Pridėti Oracle Java PPA saugyklą:

sudo add-apt-repository ppa:webupd8team/java

Atnaujinkite APT saugyklos metaduomenis:

sudo apt update

Įdiekite naujausią stabilią Java 8 versiją, paleiskite:

sudo apt -y install oracle-java8-installer

Kai būsite paraginti, sutikite su licencijos sutartimi. Jei „Java“ įdiegta sėkmingai, turėtumėte turėti galimybę patikrinti jos versiją.

java -version

Pamatysite tokią išvestį.

user@vultr:~$ java -version
java version "1.8.0_144"
Java(TM) SE Runtime Environment (build 1.8.0_144-b01)
Java HotSpot(TM) 64-Bit Server VM (build 25.144-b01, mixed mode)

Nustatykite JAVA_HOMEir kitus numatytuosius nustatymus įdiegdami oracle-java8-set-default. Vykdyti:

sudo apt -y install oracle-java8-set-default

Paleiskite echo $JAVA_HOMEkomandą, kad patikrintumėte, ar aplinkos kintamasis nustatytas, ar ne.

user@vultr:~$ echo "$JAVA_HOME"
/usr/lib/jvm/java-8-oracle

Jei negaunate aukščiau nurodytos išvesties, gali tekti atsijungti ir vėl prisijungti prie apvalkalo.

Įdiekite Elasticsearch

„Elasticsearch“ yra paskirstyta, realiuoju laiku, keičiamo dydžio ir labai prieinama programa, naudojama žurnalams saugoti ir juose ieškoti. Jis saugo duomenis indeksuose ir duomenų paieška yra labai greita. Jame pateikiami įvairūs API rinkiniai, pvz., HTTP RESTful API ir savoji Java API. „Elasticsearch“ galima įdiegti tiesiai per „Elasticsearch“ saugyklą. Pridėkite Elasticsearch APT saugyklą:

echo "deb https://artifacts.elastic.co/packages/5.x/apt stable main" | sudo tee -a /etc/apt/sources.list.d/elastic-5.x.list

Importuokite PGP raktą, naudojamą paketams pasirašyti. Taip bus užtikrintas pakuočių vientisumas.

wget -qO - https://artifacts.elastic.co/GPG-KEY-elasticsearch | sudo apt-key add -

Atnaujinkite APT saugyklos metaduomenis.

sudo apt update

Įdiekite Elasticsearch paketą:

sudo apt -y install elasticsearch

Įdiegę paketą atidarykite Elasticsearch numatytąjį konfigūracijos failą.

sudo nano /etc/elasticsearch/elasticsearch.yml

Raskite šią eilutę, panaikinkite jos komentarą ir pakeiskite reikšmę iš my-applicationį graylog.

cluster.name: graylog

Galite paleisti „Elasticsearch“ ir įjungti, kad ji automatiškai įsijungtų įkrovos metu:

sudo systemctl enable elasticsearch
sudo systemctl start elasticsearch

Elasticsearch dabar veikia 9200 prievade. Patikrinkite, ar jis tinkamai veikia, paleisdami:

curl -XGET 'localhost:9200/?pretty'

Turėtumėte matyti išvestį, panašią į toliau pateiktą.

[user@vultr ~]$ curl -XGET 'localhost:9200/?pretty'
{
  "name" : "-kYzFA9",
  "cluster_name" : "graylog",
  "cluster_uuid" : "T3JQKehzSqmLThlVkEKPKg",
  "version" : {
    "number" : "5.5.1",
    "build_hash" : "19c13d0",
    "build_date" : "2017-07-18T20:44:24.823Z",
    "build_snapshot" : false,
    "lucene_version" : "6.6.0"
  },
  "tagline" : "You Know, for Search"
}

Jei susiduriate su klaidomis, palaukite kelias sekundes ir bandykite dar kartą, nes užtruks, kol Elasticsearch užbaigs paleisties procesą. Elasticsearch dabar įdiegta ir veikia tinkamai.

Įdiekite MongoDB

MongoDB yra nemokamas atvirojo kodo NoSQL duomenų bazės serveris. Skirtingai nuo tradicinės duomenų bazės, kuri naudoja lenteles savo duomenims tvarkyti, MongoDB yra orientuota į dokumentus ir naudoja į JSON panašius dokumentus be schemų. „Graylog“ naudoja „MongoDB“, kad saugotų savo konfigūraciją ir meta informaciją. Jį galima įdiegti tiesiai per MongoDB saugyklą. Importuokite paketui pasirašyti naudotą GPG raktą. Taip bus užtikrintas pakuočių autentiškumas.

sudo apt-key adv --keyserver hkp://keyserver.ubuntu.com:80 --recv 0C49F3730359A14518585931BC711F9BA15703C6

Dabar sukurkite saugyklos failą:

echo "deb [ arch=amd64,arm64 ] http://repo.mongodb.org/apt/ubuntu xenial/mongodb-org/3.4 multiverse" | sudo tee /etc/apt/sources.list.d/mongodb-org-3.4.list

Atnaujinkite APT saugyklos metaduomenis.

sudo apt update

Įdiekite MongoDB paketą:

sudo apt -y install mongodb-org

Paleiskite MongoDB serverį ir įjunkite jį automatiškai.

sudo systemctl start mongod
sudo systemctl enable mongod

Įdiekite „Graylog“ serverį

Atsisiųskite ir naujausią „Graylog“ serverio saugyklą.

wget https://packages.graylog2.org/repo/packages/graylog-2.3-repository_latest.deb
sudo dpkg -i graylog-2.3-repository_latest.deb
sudo apt update

Įdiekite „Graylog“ paketą:

sudo apt install graylog-server

Graylog serveris dabar įdiegtas jūsų serveryje. Prieš pradėdami, turėsite sukonfigūruoti keletą dalykų.

Sukonfigūruokite „Graylog“.

Įdiekite pwgenprogramą, kad sukurtumėte stiprius slaptažodžius.

sudo apt -y install pwgen

Dabar sukurkite tvirtą slaptažodžio paslaptį.

pwgen -N 1 -s 96

Išvesite panašiai kaip:

[user@vultr ~]$ pwgen -N 1 -s 96
pJqhNbdEY9FtNBfFUtq20lG2m9daacmsZQr59FhyoA0Wu3XQyVZcu5FedPZ9eCiDfjdiYWfRcEQ7a36bVqxSyTzcMMx5Rz8v

Taip pat sugeneruokite 256 bitų maišą pagrindinio adminvartotojo slaptažodžiui :

echo -n StrongPassword | sha256sum

Pakeiskite StrongPasswordslaptažodžiu, kurį norite nustatyti adminvartotojui. Pamatysi:

[user@vultr ~]$ echo -n StrongPassword | sha256sum
05a181f00c157f70413d33701778a6ee7d2747ac18b9c0fbb8bd71a62dd7a223  -

Atidarykite „Graylog“ konfigūracijos failą:

sudo nano /etc/graylog/server/server.conf

Raskite password_secret =, nukopijuokite ir įklijuokite slaptažodį, sugeneruotą naudojant pwgenkomandą. Raskite root_password_sha2 =, nukopijuokite ir įklijuokite administratoriaus slaptažodžio konvertuotą 256 bitų SHA maišą. Raskite #root_email =, panaikinkite komentarus ir pateikite savo el. pašto adresą. Atšaukite komentarą ir nustatykite laiko juostą root_timezone. Pavyzdžiui:

password_secret = pJqhNbdEY9FtNBfFUtq20lG2m9daacmsZQr59FhyoA0Wu3XQyVZcu5FedPZ9eCiDfjdiYWfRcEQ7a36bVqxSyTzcMMx5Rz8v
root_password_sha2 = 05a181f00c157f70413d33701778a6ee7d2747ac18b9c0fbb8bd71a62dd7a223
root_email = [email protected]
root_timezone = Asia/Kolkata

Įgalinkite žiniatinklio „Graylog“ sąsają panaikindami komentarus #web_enable = falseir nustatydami jos vertę į true. Taip pat panaikinkite komentarus ir pakeiskite šias eilutes, kaip nurodyta.

rest_listen_uri = http://0.0.0.0:9000/api/
rest_transport_uri = http://192.0.2.1:9000/api/
web_enable = true
web_listen_uri = http://0.0.0.0:9000/

Išsaugokite failą ir išeikite iš teksto rengyklės.

Iš naujo paleiskite ir įgalinkite „Graylog“ paslaugą paleisdami:

sudo systemctl restart graylog-server
sudo systemctl enable graylog-server

Sukonfigūruokite „Nginx“ kaip atvirkštinį tarpinį serverį

Pagal numatytuosius nustatymus „Graylog“ žiniatinklio sąsaja klausosi localhostper 9000 prievadą, o API – per 9000 prievadą su URL /api. Šiame vadove naudosime Nginx kaip atvirkštinį tarpinį serverį, kad programą būtų galima pasiekti per standartinį HTTP prievadą. Įdiekite „Nginx“ žiniatinklio serverį paleisdami:

sudo apt -y install nginx

Įvesdami atidarykite numatytąjį virtualaus pagrindinio kompiuterio failą.

sudo nano /etc/nginx/sites-available/default

Pakeiskite esamą turinį šiomis eilutėmis:

server
{
    listen 80 default_server;
    listen [::]:80 default_server ipv6only=on;
    server_name 192.0.2.1 graylog.example.com;

    location / {
      proxy_set_header Host $http_host;
      proxy_set_header X-Forwarded-Host $host;
      proxy_set_header X-Forwarded-Server $host;
      proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
      proxy_set_header X-Graylog-Server-URL http://$server_name/api;
      proxy_pass       http://127.0.0.1:9000;
    }
}

Paleiskite „Nginx“ ir įgalinkite jį automatiškai paleisti įkrovos metu:

sudo systemctl restart nginx
sudo systemctl enable nginx

Išvada

Dabar „Graylog“ serverio diegimas ir pagrindinė konfigūracija baigta. Dabar galite pasiekti „Graylog“ serverį naudodami http://192.0.2.1arba http://graylog.example.comsukonfigūruotą DNS. Prisijunkite naudodami vartotojo vardą adminir slaptažodžio, kurį nustatėte root_password_sha2anksčiau, paprastą teksto versiją .

Sveikiname – Ubuntu 16.04 serveryje įdiegtas visiškai veikiantis Graylog serveris.