Kako namestiti strežnik Graylog na CentOS 7

Strežnik Graylog je odprtokodna programska oprema za upravljanje dnevnikov, pripravljena za podjetja. Zbira dnevnike iz različnih virov in jih analizira za odkrivanje in reševanje težav. Strežnik Graylog je v bistvu kombinacija Elasticsearch, MongoDB in Graylog. Elasticsearch je zelo priljubljena odprtokodna aplikacija za shranjevanje besedila in zagotavlja zelo zmogljive možnosti iskanja. MongoDB je odprtokodna aplikacija za shranjevanje podatkov v formatu NoSQL. Graylog zbira dnevnike iz različnih virov in ponuja spletno nadzorno ploščo za upravljanje in iskanje po dnevnikih. Graylog ponuja tudi REST API za konfiguracijo in podatke. Zagotavlja nastavljivo nadzorno ploščo, ki jo je mogoče uporabiti za vizualizacijo meritev in opazovanje trendov z uporabo statistike terena, hitrih vrednosti in grafikonov z enega osrednjega mesta.

V tej vadnici se boste naučili namestiti strežnik Graylog na CentOS 7. Ta priročnik je bil napisan za strežnik Graylog 2.3, vendar lahko deluje tudi na novejših različicah. Naučili se boste tudi namestiti Javo, Elasticsearch in MongoDB. Zaščitili bomo tudi primerek MongoDB in nastavili povratni proxy Nginx za spletno nadzorno ploščo in API.

Predpogoji

• Primerek strežnika Vultr CentOS 7 z vsaj 4 GB RAM-a.
• Uporabnik sudo .

V tej vadnici bomo uporabili 192.0.2.1kot javni naslov IP strežnika in graylog.example.comkot ime domene, ki kaže na strežnik. Zamenjajte vse pojavnosti 192.0.2.1z vašim javnim IP naslovom Vultr in graylog.example.comz vašim dejanskim imenom domene.

Posodobite svoj osnovni sistem z uporabo priročnika Kako posodobiti CentOS 7 . Ko je vaš sistem posodobljen, nadaljujte z namestitvijo Jave.

Namesti Java

Elasticsearch za delovanje zahteva Java 8. Podpira tako Oracle Java kot OpenJDK, vendar je vedno priporočljivo, da uporabite Oracle Java, kadar je to mogoče. Oracle ponuja pakete RPM, pripravljene za namestitev. Prenesite Oracle JDK RPM:

wget --no-cookies --no-check-certificate --header "Cookie:oraclelicense=accept-securebackup-cookie" "http://download.oracle.com/otn-pub/java/jdk/8u144-b01/090f390dda5b47b9b721c7dfaa008135/jdk-8u144-linux-x64.rpm"

Namestite paket RPM.

sudo yum -y install jdk-8u144-linux-x64.rpm

Če je Java uspešno nameščena, bi morali imeti možnost preveriti njeno različico.

java -version

Videli boste naslednji izhod.

[user@vultr ~]$ java -version
java version "1.8.0_144"
Java(TM) SE Runtime Environment (build 1.8.0_144-b01)
Java HotSpot(TM) 64-Bit Server VM (build 25.144-b01, mixed mode)

Nastavite JAVA_HOMEin JRE_HOMEspremenljivko okolja z zagonom:

echo "export JAVA_HOME=/usr/java/jdk1.8.0_144/" >> ~/.bash_profile
echo "export JRE_HOME=/usr/java/jdk1.8.0_144/jre" >> ~/.bash_profile

Zdaj z naslednjim ukazom pridobite izvor datoteke.

source ~/.bash_profile

Zaženite echo $JAVA_HOMEukaz, da preverite, ali je spremenljivka okolja nastavljena ali ne.

[user@vultr ~]$ echo $JAVA_HOME
/usr/java/jdk1.8.0_144/

Namestite Elasticsearch

Elasticsearch je porazdeljena, v realnem času, razširljiva in zelo razpoložljiva aplikacija, ki se uporablja za shranjevanje dnevnikov in iskanje po njih. Podatke shranjuje v indekse in iskanje po podatkih je zelo hitro. Zagotavlja različne nabore API-jev, kot sta HTTP RESTful API in domači API Java. Elasticsearch je mogoče namestiti neposredno prek skladišča Elasticsearch. Ustvarite novo datoteko repozitorija za Elasticsearch.

sudo nano /etc/yum.repos.d/elasticsearch.repo

Napolnite datoteko z naslednjo vsebino.

[elasticsearch-5.x]
name=Elasticsearch repository for 5.x packages
baseurl=https://artifacts.elastic.co/packages/5.x/yum
gpgcheck=1
gpgkey=https://artifacts.elastic.co/GPG-KEY-elasticsearch
enabled=1
autorefresh=1
type=rpm-md

Uvozite ključ PGP, ki se uporablja za podpisovanje paketov. To bo zagotovilo celovitost paketov.

sudo rpm --import https://artifacts.elastic.co/GPG-KEY-elasticsearch

Namestite paket Elasticsearch:

sudo yum -y install elasticsearch

Ko je paket nameščen, odprite privzeto konfiguracijsko datoteko Elasticsearch.

sudo nano /etc/elasticsearch/elasticsearch.yml

Poiščite naslednjo vrstico, jo odstranite iz komentarja in spremenite vrednost iz my-applicationv graylog.

cluster.name: graylog

Elasticsearch lahko zaženete in omogočite, da se samodejno zažene ob zagonu:

sudo systemctl enable elasticsearch
sudo systemctl start elasticsearch

Elasticsearch zdaj deluje na vratih 9200. Preverite, ali deluje pravilno, tako da zaženete:

curl -XGET 'localhost:9200/?pretty'

Videti bi morali izhod, podoben naslednjemu.

[user@vultr ~]$ curl -XGET 'localhost:9200/?pretty'
{
  "name" : "-kYzFA9",
  "cluster_name" : "graylog",
  "cluster_uuid" : "T3JQKehzSqmLThlVkEKPKg",
  "version" : {
    "number" : "5.5.1",
    "build_hash" : "19c13d0",
    "build_date" : "2017-07-18T20:44:24.823Z",
    "build_snapshot" : false,
    "lucene_version" : "6.6.0"
  },
  "tagline" : "You Know, for Search"
}

Če naletite na napake, počakajte nekaj sekund in poskusite znova, saj je potreben čas, da Elasticsearch dokonča postopek zagona. Elasticsearch je zdaj nameščen in deluje pravilno.

Namestite MongoDB

MongoDB je brezplačen in odprtokodni strežnik baz podatkov NoSQL. Za razliko od tradicionalne baze podatkov, ki uporablja tabele za organiziranje svojih podatkov, je MongoDB usmerjen v dokumente in uporablja dokumente, podobne JSON, brez shem. Graylog uporablja MongoDB za shranjevanje svoje konfiguracije in meta informacij. Namesti se lahko neposredno prek repozitorija MongoDB. Ustvarite novo datoteko repozitorija za MongoDB.

sudo nano /etc/yum.repos.d/mongodb.repo

Napolnite datoteko z naslednjo vsebino.

[mongodb-org-3.4]
name=MongoDB Repository
baseurl=https://repo.mongodb.org/yum/redhat/$releasever/mongodb-org/3.4/x86_64/
gpgcheck=1
enabled=1
gpgkey=https://www.mongodb.org/static/pgp/server-3.4.asc

Namestite MongoDB tako, da zaženete:

sudo yum -y install mongodb-org

Zaženite strežnik MongoDB in omogočite samodejni zagon.

sudo systemctl start mongod
sudo systemctl enable mongod

Namestite strežnik Graylog

Prenesite najnovejše skladišče za strežnik Graylog.

sudo rpm -Uvh https://packages.graylog2.org/repo/packages/graylog-2.3-repository_latest.rpm
sudo yum -y update

Namestite Graylog tako, da zaženete:

sudo yum -y install graylog-server

Strežnik Graylog je zdaj nameščen na vašem strežniku. Preden ga lahko zaženete, boste morali konfigurirati nekaj stvari.

Konfigurirajte Graylog

Namestite pwgenpripomoček za ustvarjanje močnih gesel.

sudo yum -y install pwgen

Zdaj ustvarite močno skrivnost gesla.

pwgen -N 1 -s 96

Izpisal boš podobno:

[user@vultr ~]$ pwgen -N 1 -s 96
pJqhNbdEY9FtNBfFUtq20lG2m9daacmsZQr59FhyoA0Wu3XQyVZcu5FedPZ9eCiDfjdiYWfRcEQ7a36bVqxSyTzcMMx5Rz8v

Ustvarite tudi 256-bitni hash za geslo root adminuporabnika:

echo -n StrongPassword | sha256sum

Zamenjajte StrongPasswordz geslom, ki ga želite nastaviti za adminuporabnika. Boš videl:

[user@vultr ~]$ echo -n StrongPassword | sha256sum
05a181f00c157f70413d33701778a6ee7d2747ac18b9c0fbb8bd71a62dd7a223  -

Odprite konfiguracijsko datoteko Graylog:

sudo nano /etc/graylog/server/server.conf

Poiščite password_secret =, kopirajte in prilepite geslo, ustvarjeno z pwgenukazom. Poiščite root_password_sha2 =, kopirajte in prilepite pretvorjeni SHA 256-bitni hash vašega skrbniškega gesla. Poiščite #root_email =, odstranite komentar in navedite svoj e-poštni naslov. Odpravite komentarje in nastavite svoj časovni pas na root_timezone. Na primer:

password_secret = pJqhNbdEY9FtNBfFUtq20lG2m9daacmsZQr59FhyoA0Wu3XQyVZcu5FedPZ9eCiDfjdiYWfRcEQ7a36bVqxSyTzcMMx5Rz8v
root_password_sha2 = 05a181f00c157f70413d33701778a6ee7d2747ac18b9c0fbb8bd71a62dd7a223
root_email = [email protected]
root_timezone = Asia/Kolkata

Omogočite spletni vmesnik Graylog tako, da odstranite komentarje #web_enable = falsein nastavite vrednost na true. Prav tako razkomentirajte in spremenite naslednje vrstice, kot je navedeno.

rest_listen_uri = http://0.0.0.0:9000/api/
rest_transport_uri = http://45.76.214.19:9000/api/
web_enable = true
web_listen_uri = http://0.0.0.0:9000/

Shranite datoteko in zapustite urejevalnik besedil.

Znova zaženite storitev Graylog tako, da zaženete:

sudo systemctl restart graylog-server

Konfigurirajte Nginx kot povratni proxy

Spletni vmesnik Graylog privzeto posluša localhostna vratih 9000, API pa na vratih 9000 z URL /api. V tej vadnici bomo uporabili Nginx kot povratni proxy, tako da bo aplikacija lahko dostopna prek standardnih vrat HTTP. Namestite spletni strežnik Nginx tako, da zaženete:

sudo yum -y install nginx

Odprite privzeti virtualni gostitelj tako, da vnesete.

sudo nano /etc/nginx/nginx.conf

Poiščite serverblok pod httpin zamenjajte celoten serverblok z naslednjimi vrsticami.

server
{
    listen 80 default_server;
    listen [::]:80 default_server ipv6only=on;
    server_name graylog.example.com 192.0.2.1;

    location / {
      proxy_set_header Host $http_host;
      proxy_set_header X-Forwarded-Host $host;
      proxy_set_header X-Forwarded-Server $host;
      proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
      proxy_set_header X-Graylog-Server-URL http://$server_name/api;
      proxy_pass       http://127.0.0.1:9000;
    }
}

Zaženite Nginx in omogočite, da se samodejno zažene ob zagonu:

sudo systemctl start nginx
sudo systemctl enable nginx

Konfigurirajte požarni zid in SELinux

Če na strežniku uporabljate požarni zid, boste morali požarni zid konfigurirati tako, da nastavi izjemo za določena vrata. Dovolite, da se storitev Elasticsearch in povratni proxy Nginx povežeta izven omrežja.

sudo firewall-cmd --zone=public --permanent --add-service=http
sudo firewall-cmd --zone=public --permanent --add-port=9200/tcp
sudo firewall-cmd --reload

Če imate v sistemu omogočen SELinux, boste morali v pravilnike SELinux dodati nekaj izjem.

sudo setsebool -P httpd_can_network_connect 1
sudo semanage port -a -t http_port_t -p tcp 9000
sudo semanage port -a -t http_port_t -p tcp 9200
sudo semanage port -a -t mongod_port_t -p tcp 27017

Zaključek

Namestitev in osnovna konfiguracija strežnika Graylog je zdaj končana. Zdaj lahko dostopate do strežnika Graylog na http://192.0.2.1ali http://graylog.example.comče imate konfiguriran DNS. Prijavite se z uporabniškim imenom adminin različico gesla z navadnim besedilom, ki ste ga nastavili root_password_sha2prej.

Čestitamo - na vašem strežniku CentOS 7 imate nameščen popolnoma delujoč strežnik Graylog.