Kā instalēt Graylog serveri Ubuntu 16.04

Graylog serveris ir uzņēmumam gatavs atvērtā koda žurnālu pārvaldības programmatūras komplekts. Tā apkopo žurnālus no dažādiem avotiem un analizē tos, lai atklātu un atrisinātu problēmas. Greylog serveris būtībā ir Elasticsearch, MongoDB un Graylog kombinācija. Elasticsearch ir ļoti populāra atvērtā pirmkoda lietojumprogramma teksta glabāšanai un ļoti jaudīgu meklēšanas iespēju nodrošināšanai. MongoDB ir atvērtā pirmkoda lietojumprogramma datu glabāšanai NoSQL formātā. Graylog apkopo žurnālus no dažādiem avotiem un nodrošina tīmekļa informācijas paneli, lai pārvaldītu un meklētu žurnālus. Graylog nodrošina arī REST API gan konfigurācijai, gan datiem. Tas nodrošina konfigurējamu informācijas paneli, ko var izmantot, lai vizualizētu metriku un novērotu tendences, izmantojot lauka statistiku, ātrās vērtības un diagrammas no vienas centrālās vietas.

Šajā apmācībā jūs uzzināsit, kā instalēt Graylog Server Ubuntu 16.04. Šī rokasgrāmata tika rakstīta Graylog Server 2.3, taču tā var darboties arī jaunākās versijās. Jūs arī iemācīsities instalēt Java, Elasticsearch un MongoDB. Mēs arī nodrošināsim MongoDB gadījumu un iestatīsim Nginx reverso starpniekserveri tīmekļa informācijas panelim un API.

Priekšnoteikumi

• Vultr Ubuntu 16.04 servera gadījums ar vismaz 4 GB RAM.
• Sudo lietotāju .

Šajā apmācībā mēs izmantosim 192.0.2.1kā servera publisko IP adresi un graylog.example.comkā domēna nosaukumu, kas norādīja uz serveri. Aizstājiet visus gadījumus 192.0.2.1ar savu Vultr publisko IP adresi un graylog.example.comsavu faktisko domēna nosaukumu.

Atjauniniet savu bāzes sistēmu, izmantojot rokasgrāmatu Kā atjaunināt Ubuntu 16.04 . Kad sistēma ir atjaunināta, turpiniet instalēt Java.

Instalējiet Java

Lai palaistu Elasticsearch, nepieciešama Java 8. Tā atbalsta gan Oracle Java, gan OpenJDK, taču vienmēr ir ieteicams izmantot Oracle Java, kad iespējams. Pievienojiet Oracle Java PPA repozitoriju:

sudo add-apt-repository ppa:webupd8team/java

Atjauniniet APT repozitorija metadatus:

sudo apt update

Instalējiet jaunāko stabilo Java 8 versiju, palaidiet:

sudo apt -y install oracle-java8-installer

Pieņemiet licences līgumu, kad tas tiek prasīts. Ja Java ir veiksmīgi instalēta, jums vajadzētu būt iespējai pārbaudīt tās versiju.

java -version

Jūs redzēsit šādu izvadi.

user@vultr:~$ java -version
java version "1.8.0_144"
Java(TM) SE Runtime Environment (build 1.8.0_144-b01)
Java HotSpot(TM) 64-Bit Server VM (build 25.144-b01, mixed mode)

Iestatiet JAVA_HOMEun citus noklusējuma iestatījumus, instalējot oracle-java8-set-default. Palaist:

sudo apt -y install oracle-java8-set-default

Palaidiet echo $JAVA_HOMEkomandu, lai pārbaudītu, vai vides mainīgais ir iestatīts vai nav.

user@vultr:~$ echo "$JAVA_HOME"
/usr/lib/jvm/java-8-oracle

Ja nesaņemat iepriekš parādīto izvadi, iespējams, jums būs jāatsakās un vēlreiz jāpiesakās čaulā.

Instalējiet Elasticsearch

Elasticsearch ir izplatīta, reāllaika, mērogojama un ļoti pieejama lietojumprogramma, ko izmanto žurnālu glabāšanai un meklēšanai tajos. Tas saglabā datus indeksos, un datu meklēšana notiek ļoti ātri. Tas nodrošina dažādas API kopas, piemēram, HTTP RESTful API un vietējo Java API. Elasticsearch var instalēt tieši caur Elasticsearch repozitoriju. Pievienojiet Elasticsearch APT repozitoriju:

echo "deb https://artifacts.elastic.co/packages/5.x/apt stable main" | sudo tee -a /etc/apt/sources.list.d/elastic-5.x.list

Importējiet pakotņu parakstīšanai izmantoto PGP atslēgu. Tas nodrošinās iepakojumu integritāti.

wget -qO - https://artifacts.elastic.co/GPG-KEY-elasticsearch | sudo apt-key add -

Atjauniniet APT repozitorija metadatus.

sudo apt update

Instalējiet Elasticsearch pakotni:

sudo apt -y install elasticsearch

Kad pakotne ir instalēta, atveriet Elasticsearch noklusējuma konfigurācijas failu.

sudo nano /etc/elasticsearch/elasticsearch.yml

Atrodiet nākamo rindiņu, izņemiet tās komentāru un mainiet vērtību no my-applicationuz graylog.

cluster.name: graylog

Varat palaist Elasticsearch un iespējot tā automātisku palaišanu sāknēšanas laikā:

sudo systemctl enable elasticsearch
sudo systemctl start elasticsearch

Elasticsearch tagad darbojas portā 9200. Pārbaudiet, vai tas darbojas pareizi, izpildot:

curl -XGET 'localhost:9200/?pretty'

Jums vajadzētu redzēt izvadi, kas ir līdzīga tālāk norādītajai.

[user@vultr ~]$ curl -XGET 'localhost:9200/?pretty'
{
  "name" : "-kYzFA9",
  "cluster_name" : "graylog",
  "cluster_uuid" : "T3JQKehzSqmLThlVkEKPKg",
  "version" : {
    "number" : "5.5.1",
    "build_hash" : "19c13d0",
    "build_date" : "2017-07-18T20:44:24.823Z",
    "build_snapshot" : false,
    "lucene_version" : "6.6.0"
  },
  "tagline" : "You Know, for Search"
}

Ja rodas kļūdas, uzgaidiet dažas sekundes un mēģiniet vēlreiz, jo ir nepieciešams laiks, lai Elasticsearch pabeigtu palaišanas procesu. Elasticsearch tagad ir instalēts un darbojas pareizi.

Instalējiet MongoDB

MongoDB ir bezmaksas un atvērtā koda NoSQL datu bāzes serveris. Atšķirībā no tradicionālās datu bāzes, kas izmanto tabulas, lai sakārtotu savus datus, MongoDB ir orientēta uz dokumentiem un izmanto JSON līdzīgus dokumentus bez shēmām. Graylog izmanto MongoDB, lai saglabātu savu konfigurāciju un meta informāciju. To var instalēt tieši caur MongoDB repozitoriju. Importējiet paketes parakstīšanai izmantoto GPG atslēgu. Tas nodrošinās paku autentiskumu.

sudo apt-key adv --keyserver hkp://keyserver.ubuntu.com:80 --recv 0C49F3730359A14518585931BC711F9BA15703C6

Tagad izveidojiet repozitorija failu:

echo "deb [ arch=amd64,arm64 ] http://repo.mongodb.org/apt/ubuntu xenial/mongodb-org/3.4 multiverse" | sudo tee /etc/apt/sources.list.d/mongodb-org-3.4.list

Atjauniniet APT repozitorija metadatus.

sudo apt update

Instalējiet MongoDB pakotni:

sudo apt -y install mongodb-org

Startējiet MongoDB serveri un iespējojiet tā automātisku startēšanu.

sudo systemctl start mongod
sudo systemctl enable mongod

Instalējiet Graylog serveri

Lejupielādējiet un jaunāko Graylog servera repozitoriju.

wget https://packages.graylog2.org/repo/packages/graylog-2.3-repository_latest.deb
sudo dpkg -i graylog-2.3-repository_latest.deb
sudo apt update

Instalējiet Graylog pakotni:

sudo apt install graylog-server

Graylog serveris tagad ir instalēts jūsu serverī. Lai to varētu sākt, jums būs jākonfigurē dažas lietas.

Graylog konfigurēšana

Instalējiet pwgenutilītu, lai ģenerētu spēcīgas paroles.

sudo apt -y install pwgen

Tagad ģenerējiet spēcīgu paroles noslēpumu.

pwgen -N 1 -s 96

Jūs izvadīsit līdzīgi kā:

[user@vultr ~]$ pwgen -N 1 -s 96
pJqhNbdEY9FtNBfFUtq20lG2m9daacmsZQr59FhyoA0Wu3XQyVZcu5FedPZ9eCiDfjdiYWfRcEQ7a36bVqxSyTzcMMx5Rz8v

Tāpat ģenerējiet 256 bitu jaucējkodu saknes adminlietotāja parolei :

echo -n StrongPassword | sha256sum

Aizstāt StrongPasswordar paroli, kuru vēlaties iestatīt adminlietotājam. Tu redzēsi:

[user@vultr ~]$ echo -n StrongPassword | sha256sum
05a181f00c157f70413d33701778a6ee7d2747ac18b9c0fbb8bd71a62dd7a223  -

Atveriet Graylog konfigurācijas failu:

sudo nano /etc/graylog/server/server.conf

Atrodiet password_secret =, kopējiet un ielīmējiet paroli, kas ģenerēta, izmantojot pwgenkomandu. Atrodiet root_password_sha2 =, kopējiet un ielīmējiet administratora paroles konvertēto SHA 256 bitu jaucējfailu. Atrodiet #root_email =, noņemiet komentārus un norādiet savu e-pasta adresi. Atceliet komentāru un iestatiet savu laika joslu uz root_timezone. Piemēram:

password_secret = pJqhNbdEY9FtNBfFUtq20lG2m9daacmsZQr59FhyoA0Wu3XQyVZcu5FedPZ9eCiDfjdiYWfRcEQ7a36bVqxSyTzcMMx5Rz8v
root_password_sha2 = 05a181f00c157f70413d33701778a6ee7d2747ac18b9c0fbb8bd71a62dd7a223
root_email = [email protected]
root_timezone = Asia/Kolkata

Iespējojiet tīmekļa Graylog saskarni, atceļot komentārus #web_enable = falseun iestatot tās vērtību uz true. Atceliet komentārus un mainiet tālāk norādītās rindiņas.

rest_listen_uri = http://0.0.0.0:9000/api/
rest_transport_uri = http://192.0.2.1:9000/api/
web_enable = true
web_listen_uri = http://0.0.0.0:9000/

Saglabājiet failu un izejiet no teksta redaktora.

Restartējiet un iespējojiet Graylog pakalpojumu, palaižot:

sudo systemctl restart graylog-server
sudo systemctl enable graylog-server

Konfigurējiet Nginx kā apgriezto starpniekserveri

Pēc noklusējuma Graylog tīmekļa saskarne klausās localhostportā 9000 un API klausās portā 9000 ar URL /api. Šajā apmācībā mēs izmantosim Nginx kā apgriezto starpniekserveri, lai lietojumprogrammai varētu piekļūt, izmantojot standarta HTTP portu. Instalējiet Nginx tīmekļa serveri, palaižot:

sudo apt -y install nginx

Atveriet noklusējuma virtuālās resursdatora failu, ierakstot.

sudo nano /etc/nginx/sites-available/default

Aizstāt esošo saturu ar šādām rindām:

server
{
    listen 80 default_server;
    listen [::]:80 default_server ipv6only=on;
    server_name 192.0.2.1 graylog.example.com;

    location / {
      proxy_set_header Host $http_host;
      proxy_set_header X-Forwarded-Host $host;
      proxy_set_header X-Forwarded-Server $host;
      proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
      proxy_set_header X-Graylog-Server-URL http://$server_name/api;
      proxy_pass       http://127.0.0.1:9000;
    }
}

Palaidiet Nginx un iespējojiet to automātiski palaist sāknēšanas laikā:

sudo systemctl restart nginx
sudo systemctl enable nginx

Secinājums

Graylog servera instalēšana un pamata konfigurēšana tagad ir pabeigta. Tagad varat piekļūt Graylog serverim, izmantojot http://192.0.2.1vai http://graylog.example.comja jums ir konfigurēts DNS. Piesakieties, izmantojot lietotājvārdu adminun paroles teksta versiju, kuru iepriekš iestatījāt root_password_sha2.

Apsveicam — jūsu Ubuntu 16.04 serverī ir instalēts pilnībā strādājošs Graylog serveris.