Kā instalēt Graylog serveri sistēmā CentOS 7

Graylog serveris ir uzņēmumam gatavs atvērtā koda žurnālu pārvaldības programmatūras komplekts. Tā apkopo žurnālus no dažādiem avotiem un analizē tos, lai atklātu un atrisinātu problēmas. Graylog serveris būtībā ir Elasticsearch, MongoDB un Graylog kombinācija. Elasticsearch ir ļoti populāra atvērtā pirmkoda lietojumprogramma teksta glabāšanai un ļoti jaudīgu meklēšanas iespēju nodrošināšanai. MongoDB ir atvērtā pirmkoda lietojumprogramma datu glabāšanai NoSQL formātā. Graylog apkopo žurnālus no dažādiem avotiem un nodrošina tīmekļa informācijas paneli, lai pārvaldītu un meklētu žurnālus. Graylog nodrošina arī REST API gan konfigurācijai, gan datiem. Tas nodrošina konfigurējamu informācijas paneli, ko var izmantot, lai vizualizētu metriku un novērotu tendences, izmantojot lauka statistiku, ātrās vērtības un diagrammas no vienas centrālās vietas.

Šajā apmācībā jūs iemācīsities instalēt Graylog Server operētājsistēmā CentOS 7. Šī rokasgrāmata tika rakstīta Graylog Server 2.3, taču tā var darboties arī jaunākās versijās. Jūs arī iemācīsities instalēt Java, Elasticsearch un MongoDB. Mēs arī nodrošināsim MongoDB gadījumu un iestatīsim Nginx reverso starpniekserveri tīmekļa informācijas panelim un API.

Priekšnoteikumi

• Vultr CentOS 7 servera gadījums ar vismaz 4 GB RAM.
• Sudo lietotāju .

Šajā apmācībā mēs izmantosim 192.0.2.1kā servera publisko IP adresi un graylog.example.comkā domēna nosaukumu, kas norādīja uz serveri. Aizstājiet visus gadījumus 192.0.2.1ar savu Vultr publisko IP adresi un graylog.example.comsavu faktisko domēna nosaukumu.

Atjauniniet savu bāzes sistēmu, izmantojot rokasgrāmatu Kā atjaunināt CentOS 7 . Kad sistēma ir atjaunināta, turpiniet instalēt Java.

Instalējiet Java

Lai palaistu Elasticsearch, nepieciešama Java 8. Tā atbalsta gan Oracle Java, gan OpenJDK, taču vienmēr ir ieteicams izmantot Oracle Java, kad iespējams. Oracle nodrošina instalēšanai gatavas RPM pakotnes. Lejupielādējiet Oracle JDK RPM:

wget --no-cookies --no-check-certificate --header "Cookie:oraclelicense=accept-securebackup-cookie" "http://download.oracle.com/otn-pub/java/jdk/8u144-b01/090f390dda5b47b9b721c7dfaa008135/jdk-8u144-linux-x64.rpm"

Instalējiet RPM pakotni.

sudo yum -y install jdk-8u144-linux-x64.rpm

Ja Java ir veiksmīgi instalēta, jums vajadzētu būt iespējai pārbaudīt tās versiju.

java -version

Jūs redzēsit šādu izvadi.

[user@vultr ~]$ java -version
java version "1.8.0_144"
Java(TM) SE Runtime Environment (build 1.8.0_144-b01)
Java HotSpot(TM) 64-Bit Server VM (build 25.144-b01, mixed mode)

Iestatiet JAVA_HOMEun JRE_HOMEvides mainīgo, palaižot:

echo "export JAVA_HOME=/usr/java/jdk1.8.0_144/" >> ~/.bash_profile
echo "export JRE_HOME=/usr/java/jdk1.8.0_144/jre" >> ~/.bash_profile

Tagad iegūstiet failu, izmantojot šo komandu.

source ~/.bash_profile

Palaidiet echo $JAVA_HOMEkomandu, lai pārbaudītu, vai vides mainīgais ir iestatīts vai nav.

[user@vultr ~]$ echo $JAVA_HOME
/usr/java/jdk1.8.0_144/

Instalējiet Elasticsearch

Elasticsearch ir izplatīta, reāllaika, mērogojama un ļoti pieejama lietojumprogramma, ko izmanto žurnālu glabāšanai un meklēšanai tajos. Tas saglabā datus indeksos, un datu meklēšana notiek ļoti ātri. Tas nodrošina dažādas API kopas, piemēram, HTTP RESTful API un vietējo Java API. Elasticsearch var instalēt tieši caur Elasticsearch repozitoriju. Izveidojiet jaunu Elasticsearch repozitorija failu.

sudo nano /etc/yum.repos.d/elasticsearch.repo

Aizpildiet failu ar šādu saturu.

[elasticsearch-5.x]
name=Elasticsearch repository for 5.x packages
baseurl=https://artifacts.elastic.co/packages/5.x/yum
gpgcheck=1
gpgkey=https://artifacts.elastic.co/GPG-KEY-elasticsearch
enabled=1
autorefresh=1
type=rpm-md

Importējiet pakotņu parakstīšanai izmantoto PGP atslēgu. Tas nodrošinās iepakojumu integritāti.

sudo rpm --import https://artifacts.elastic.co/GPG-KEY-elasticsearch

Instalējiet Elasticsearch pakotni:

sudo yum -y install elasticsearch

Kad pakotne ir instalēta, atveriet Elasticsearch noklusējuma konfigurācijas failu.

sudo nano /etc/elasticsearch/elasticsearch.yml

Atrodiet nākamo rindiņu, izņemiet tās komentāru un mainiet vērtību no my-applicationuz graylog.

cluster.name: graylog

Varat palaist Elasticsearch un iespējot tā automātisku palaišanu sāknēšanas laikā:

sudo systemctl enable elasticsearch
sudo systemctl start elasticsearch

Elasticsearch tagad darbojas portā 9200. Pārbaudiet, vai tas darbojas pareizi, izpildot:

curl -XGET 'localhost:9200/?pretty'

Jums vajadzētu redzēt izvadi, kas ir līdzīga tālāk norādītajai.

[user@vultr ~]$ curl -XGET 'localhost:9200/?pretty'
{
  "name" : "-kYzFA9",
  "cluster_name" : "graylog",
  "cluster_uuid" : "T3JQKehzSqmLThlVkEKPKg",
  "version" : {
    "number" : "5.5.1",
    "build_hash" : "19c13d0",
    "build_date" : "2017-07-18T20:44:24.823Z",
    "build_snapshot" : false,
    "lucene_version" : "6.6.0"
  },
  "tagline" : "You Know, for Search"
}

Ja rodas kļūdas, uzgaidiet dažas sekundes un mēģiniet vēlreiz, jo ir nepieciešams laiks, lai Elasticsearch pabeigtu palaišanas procesu. Elasticsearch tagad ir instalēts un darbojas pareizi.

Instalējiet MongoDB

MongoDB ir bezmaksas un atvērtā koda NoSQL datu bāzes serveris. Atšķirībā no tradicionālās datu bāzes, kas izmanto tabulas, lai sakārtotu savus datus, MongoDB ir orientēta uz dokumentiem un izmanto JSON līdzīgus dokumentus bez shēmām. Graylog izmanto MongoDB, lai saglabātu savu konfigurāciju un meta informāciju. To var instalēt tieši caur MongoDB repozitoriju. Izveidojiet jaunu MongoDB repozitorija failu.

sudo nano /etc/yum.repos.d/mongodb.repo

Aizpildiet failu ar šādu saturu.

[mongodb-org-3.4]
name=MongoDB Repository
baseurl=https://repo.mongodb.org/yum/redhat/$releasever/mongodb-org/3.4/x86_64/
gpgcheck=1
enabled=1
gpgkey=https://www.mongodb.org/static/pgp/server-3.4.asc

Instalējiet MongoDB, palaižot:

sudo yum -y install mongodb-org

Startējiet MongoDB serveri un iespējojiet tā automātisku startēšanu.

sudo systemctl start mongod
sudo systemctl enable mongod

Instalējiet Graylog serveri

Lejupielādējiet jaunāko Graylog servera repozitoriju.

sudo rpm -Uvh https://packages.graylog2.org/repo/packages/graylog-2.3-repository_latest.rpm
sudo yum -y update

Instalējiet Graylog, palaižot:

sudo yum -y install graylog-server

Graylog serveris tagad ir instalēts jūsu serverī. Lai to varētu sākt, jums būs jākonfigurē dažas lietas.

Graylog konfigurēšana

Instalējiet pwgenutilītu, lai ģenerētu spēcīgas paroles.

sudo yum -y install pwgen

Tagad ģenerējiet spēcīgu paroles noslēpumu.

pwgen -N 1 -s 96

Jūs izvadīsit līdzīgi kā:

[user@vultr ~]$ pwgen -N 1 -s 96
pJqhNbdEY9FtNBfFUtq20lG2m9daacmsZQr59FhyoA0Wu3XQyVZcu5FedPZ9eCiDfjdiYWfRcEQ7a36bVqxSyTzcMMx5Rz8v

Tāpat ģenerējiet 256 bitu jaucējkodu saknes adminlietotāja parolei :

echo -n StrongPassword | sha256sum

Aizstāt StrongPasswordar paroli, kuru vēlaties iestatīt adminlietotājam. Tu redzēsi:

[user@vultr ~]$ echo -n StrongPassword | sha256sum
05a181f00c157f70413d33701778a6ee7d2747ac18b9c0fbb8bd71a62dd7a223  -

Atveriet Graylog konfigurācijas failu:

sudo nano /etc/graylog/server/server.conf

Atrodiet password_secret =, kopējiet un ielīmējiet paroli, kas ģenerēta, izmantojot pwgenkomandu. Atrodiet root_password_sha2 =, kopējiet un ielīmējiet administratora paroles konvertēto SHA 256 bitu jaucējfailu. Atrodiet #root_email =, noņemiet komentārus un norādiet savu e-pasta adresi. Atceliet komentāru un iestatiet savu laika joslu uz root_timezone. Piemēram:

password_secret = pJqhNbdEY9FtNBfFUtq20lG2m9daacmsZQr59FhyoA0Wu3XQyVZcu5FedPZ9eCiDfjdiYWfRcEQ7a36bVqxSyTzcMMx5Rz8v
root_password_sha2 = 05a181f00c157f70413d33701778a6ee7d2747ac18b9c0fbb8bd71a62dd7a223
root_email = [email protected]
root_timezone = Asia/Kolkata

Iespējojiet tīmekļa Graylog saskarni, atceļot komentārus #web_enable = falseun iestatot vērtību uz true. Atceliet komentārus un mainiet tālāk norādītās rindiņas.

rest_listen_uri = http://0.0.0.0:9000/api/
rest_transport_uri = http://45.76.214.19:9000/api/
web_enable = true
web_listen_uri = http://0.0.0.0:9000/

Saglabājiet failu un izejiet no teksta redaktora.

Restartējiet pakalpojumu Graylog, palaižot:

sudo systemctl restart graylog-server

Konfigurējiet Nginx kā reverso starpniekserveri

Pēc noklusējuma Graylog tīmekļa saskarne klausās localhostportā 9000 un API klausās portā 9000 ar URL /api. Šajā apmācībā mēs izmantosim Nginx kā apgriezto starpniekserveri, lai lietojumprogrammai varētu piekļūt, izmantojot standarta HTTP portu. Instalējiet Nginx tīmekļa serveri, palaižot:

sudo yum -y install nginx

Atveriet noklusējuma virtuālo resursdatoru, ierakstot.

sudo nano /etc/nginx/nginx.conf

Atrodiet serverbloku zem httpun aizstājiet visu serverbloku ar šādām rindām.

server
{
    listen 80 default_server;
    listen [::]:80 default_server ipv6only=on;
    server_name graylog.example.com 192.0.2.1;

    location / {
      proxy_set_header Host $http_host;
      proxy_set_header X-Forwarded-Host $host;
      proxy_set_header X-Forwarded-Server $host;
      proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
      proxy_set_header X-Graylog-Server-URL http://$server_name/api;
      proxy_pass       http://127.0.0.1:9000;
    }
}

Palaidiet Nginx un iespējojiet to automātiski palaist sāknēšanas laikā:

sudo systemctl start nginx
sudo systemctl enable nginx

Konfigurējiet ugunsmūri un SELinux

Ja serverī darbojas ugunsmūris, jums būs jākonfigurē ugunsmūris, lai noteiktiem portiem iestatītu izņēmumu. Ļaujiet pakalpojumam Elasticsearch un Nginx reversajam starpniekserveram izveidot savienojumu ārpus tīkla.

sudo firewall-cmd --zone=public --permanent --add-service=http
sudo firewall-cmd --zone=public --permanent --add-port=9200/tcp
sudo firewall-cmd --reload

Ja jūsu sistēmā ir iespējots SELinux, SELinux politikās būs jāpievieno daži izņēmumi.

sudo setsebool -P httpd_can_network_connect 1
sudo semanage port -a -t http_port_t -p tcp 9000
sudo semanage port -a -t http_port_t -p tcp 9200
sudo semanage port -a -t mongod_port_t -p tcp 27017

Secinājums

Graylog servera instalēšana un pamata konfigurēšana tagad ir pabeigta. Tagad varat piekļūt Graylog serverim, izmantojot http://192.0.2.1vai http://graylog.example.comja jums ir konfigurēts DNS. Piesakieties, izmantojot lietotājvārdu adminun paroles teksta versiju, kuru iepriekš iestatījāt root_password_sha2.

Apsveicam! CentOS 7 serverī ir instalēts pilnībā strādājošs Graylog serveris.