Kako namestiti strežnik Graylog na Ubuntu 16.04

Strežnik Graylog je odprtokodna programska oprema za upravljanje dnevnikov, pripravljena za podjetja. Zbira dnevnike iz različnih virov in jih analizira za odkrivanje in reševanje težav. Strežnik Greylog je v bistvu kombinacija Elasticsearch, MongoDB in Graylog. Elasticsearch je zelo priljubljena odprtokodna aplikacija za shranjevanje besedila in zagotavlja zelo zmogljive možnosti iskanja. MongoDB je odprtokodna aplikacija za shranjevanje podatkov v formatu NoSQL. Graylog zbira dnevnike iz različnih virov in ponuja spletno nadzorno ploščo za upravljanje in iskanje po dnevnikih. Graylog ponuja tudi REST API za konfiguracijo in podatke. Zagotavlja nastavljivo nadzorno ploščo, ki jo je mogoče uporabiti za vizualizacijo meritev in opazovanje trendov z uporabo statistike terena, hitrih vrednosti in grafikonov z enega osrednjega mesta.

V tej vadnici se boste naučili namestiti strežnik Graylog na Ubuntu 16.04. Ta priročnik je bil napisan za strežnik Graylog 2.3, vendar lahko deluje tudi na novejših različicah. Naučili se boste tudi namestiti Javo, Elasticsearch in MongoDB. Zaščitili bomo tudi primerek MongoDB in nastavili povratni proxy Nginx za spletno nadzorno ploščo in API.

Predpogoji

• Primerek strežnika Vultr Ubuntu 16.04 z vsaj 4 GB RAM-a.
• Uporabnik sudo .

V tej vadnici bomo uporabili 192.0.2.1kot javni naslov IP strežnika in graylog.example.comkot ime domene, ki kaže na strežnik. Zamenjajte vse pojavnosti 192.0.2.1z vašim javnim IP naslovom Vultr in graylog.example.comz vašim dejanskim imenom domene.

Posodobite svoj osnovni sistem z uporabo priročnika Kako posodobiti Ubuntu 16.04 . Ko je vaš sistem posodobljen, nadaljujte z namestitvijo Jave.

Namesti Java

Elasticsearch za delovanje zahteva Java 8. Podpira tako Oracle Java kot OpenJDK, vendar je vedno priporočljivo, da uporabite Oracle Java, kadar je to mogoče. Dodajte repozitorij Oracle Java PPA:

sudo add-apt-repository ppa:webupd8team/java

Posodobite metapodatke skladišča APT:

sudo apt update

Namestite najnovejšo stabilno različico Jave 8, zaženite:

sudo apt -y install oracle-java8-installer

Ob pozivu sprejmite licenčno pogodbo. Če je Java uspešno nameščena, bi morali imeti možnost preveriti njeno različico.

java -version

Videli boste naslednji izhod.

user@vultr:~$ java -version
java version "1.8.0_144"
Java(TM) SE Runtime Environment (build 1.8.0_144-b01)
Java HotSpot(TM) 64-Bit Server VM (build 25.144-b01, mixed mode)

Nastavite JAVA_HOMEin druge privzete nastavitve z namestitvijo oracle-java8-set-default. teci:

sudo apt -y install oracle-java8-set-default

Zaženite echo $JAVA_HOMEukaz, da preverite, ali je spremenljivka okolja nastavljena ali ne.

user@vultr:~$ echo "$JAVA_HOME"
/usr/lib/jvm/java-8-oracle

Če ne dobite zgoraj prikazanega rezultata, se boste morda morali odjaviti in znova prijaviti v lupino.

Namestite Elasticsearch

Elasticsearch je porazdeljena, v realnem času, razširljiva in zelo razpoložljiva aplikacija, ki se uporablja za shranjevanje dnevnikov in iskanje po njih. Podatke shranjuje v indekse in iskanje po podatkih je zelo hitro. Zagotavlja različne nabore API-jev, kot sta HTTP RESTful API in domači API Java. Elasticsearch je mogoče namestiti neposredno prek skladišča Elasticsearch. Dodajte skladišče Elasticsearch APT:

echo "deb https://artifacts.elastic.co/packages/5.x/apt stable main" | sudo tee -a /etc/apt/sources.list.d/elastic-5.x.list

Uvozite ključ PGP, ki se uporablja za podpisovanje paketov. To bo zagotovilo celovitost paketov.

wget -qO - https://artifacts.elastic.co/GPG-KEY-elasticsearch | sudo apt-key add -

Posodobite metapodatke repozitorija APT.

sudo apt update

Namestite paket Elasticsearch:

sudo apt -y install elasticsearch

Ko je paket nameščen, odprite privzeto konfiguracijsko datoteko Elasticsearch.

sudo nano /etc/elasticsearch/elasticsearch.yml

Poiščite naslednjo vrstico, jo odstranite iz komentarja in spremenite vrednost iz my-applicationv graylog.

cluster.name: graylog

Elasticsearch lahko zaženete in omogočite, da se samodejno zažene ob zagonu:

sudo systemctl enable elasticsearch
sudo systemctl start elasticsearch

Elasticsearch zdaj deluje na vratih 9200. Preverite, ali deluje pravilno, tako da zaženete:

curl -XGET 'localhost:9200/?pretty'

Videti bi morali izhod, podoben naslednjemu.

[user@vultr ~]$ curl -XGET 'localhost:9200/?pretty'
{
  "name" : "-kYzFA9",
  "cluster_name" : "graylog",
  "cluster_uuid" : "T3JQKehzSqmLThlVkEKPKg",
  "version" : {
    "number" : "5.5.1",
    "build_hash" : "19c13d0",
    "build_date" : "2017-07-18T20:44:24.823Z",
    "build_snapshot" : false,
    "lucene_version" : "6.6.0"
  },
  "tagline" : "You Know, for Search"
}

Če naletite na napake, počakajte nekaj sekund in poskusite znova, saj je potreben čas, da Elasticsearch dokonča postopek zagona. Elasticsearch je zdaj nameščen in deluje pravilno.

Namestite MongoDB

MongoDB je brezplačen in odprtokodni strežnik baz podatkov NoSQL. Za razliko od tradicionalne baze podatkov, ki uporablja tabele za organiziranje svojih podatkov, je MongoDB usmerjen v dokumente in uporablja dokumente, podobne JSON, brez shem. Graylog uporablja MongoDB za shranjevanje svoje konfiguracije in meta informacij. Namesti se lahko neposredno prek repozitorija MongoDB. Uvozite ključ GPG, ki se uporablja za podpis paketa. To bo zagotovilo pristnost paketov.

sudo apt-key adv --keyserver hkp://keyserver.ubuntu.com:80 --recv 0C49F3730359A14518585931BC711F9BA15703C6

Zdaj ustvarite datoteko repozitorija:

echo "deb [ arch=amd64,arm64 ] http://repo.mongodb.org/apt/ubuntu xenial/mongodb-org/3.4 multiverse" | sudo tee /etc/apt/sources.list.d/mongodb-org-3.4.list

Posodobite metapodatke repozitorija APT.

sudo apt update

Namestite paket MongoDB:

sudo apt -y install mongodb-org

Zaženite strežnik MongoDB in omogočite samodejni zagon.

sudo systemctl start mongod
sudo systemctl enable mongod

Namestite strežnik Graylog

Prenesite in najnovejše skladišče za strežnik Graylog.

wget https://packages.graylog2.org/repo/packages/graylog-2.3-repository_latest.deb
sudo dpkg -i graylog-2.3-repository_latest.deb
sudo apt update

Namesti paket Graylog:

sudo apt install graylog-server

Strežnik Graylog je zdaj nameščen na vašem strežniku. Preden ga lahko zaženete, boste morali konfigurirati nekaj stvari.

Konfigurirajte Graylog

Namestite pwgenpripomoček za ustvarjanje močnih gesel.

sudo apt -y install pwgen

Zdaj ustvarite močno skrivnost gesla.

pwgen -N 1 -s 96

Izpisal boš podobno:

[user@vultr ~]$ pwgen -N 1 -s 96
pJqhNbdEY9FtNBfFUtq20lG2m9daacmsZQr59FhyoA0Wu3XQyVZcu5FedPZ9eCiDfjdiYWfRcEQ7a36bVqxSyTzcMMx5Rz8v

Ustvarite tudi 256-bitni hash za geslo root adminuporabnika:

echo -n StrongPassword | sha256sum

Zamenjajte StrongPasswordz geslom, ki ga želite nastaviti za adminuporabnika. Boš videl:

[user@vultr ~]$ echo -n StrongPassword | sha256sum
05a181f00c157f70413d33701778a6ee7d2747ac18b9c0fbb8bd71a62dd7a223  -

Odprite konfiguracijsko datoteko Graylog:

sudo nano /etc/graylog/server/server.conf

Poiščite password_secret =, kopirajte in prilepite geslo, ustvarjeno z pwgenukazom. Poiščite root_password_sha2 =, kopirajte in prilepite pretvorjeni SHA 256-bitni hash vašega skrbniškega gesla. Poiščite #root_email =, odstranite komentar in navedite svoj e-poštni naslov. Odpravite komentarje in nastavite svoj časovni pas na root_timezone. Na primer:

password_secret = pJqhNbdEY9FtNBfFUtq20lG2m9daacmsZQr59FhyoA0Wu3XQyVZcu5FedPZ9eCiDfjdiYWfRcEQ7a36bVqxSyTzcMMx5Rz8v
root_password_sha2 = 05a181f00c157f70413d33701778a6ee7d2747ac18b9c0fbb8bd71a62dd7a223
root_email = [email protected]
root_timezone = Asia/Kolkata

Omogočite spletni vmesnik Graylog tako, da odstranite komentarje #web_enable = falsein nastavite njegovo vrednost na true. Prav tako razkomentirajte in spremenite naslednje vrstice, kot je navedeno.

rest_listen_uri = http://0.0.0.0:9000/api/
rest_transport_uri = http://192.0.2.1:9000/api/
web_enable = true
web_listen_uri = http://0.0.0.0:9000/

Shranite datoteko in zapustite urejevalnik besedil.

Znova zaženite in omogočite storitev Graylog tako, da zaženete:

sudo systemctl restart graylog-server
sudo systemctl enable graylog-server

Konfigurirajte Nginx kot povratni proxy

Spletni vmesnik Graylog privzeto posluša localhostna vratih 9000, API pa na vratih 9000 z URL /api. V tej vadnici bomo uporabili Nginx kot povratni proxy, tako da bo aplikacija lahko dostopna prek standardnih vrat HTTP. Namestite spletni strežnik Nginx tako, da zaženete:

sudo apt -y install nginx

Odprite privzeto datoteko navideznega gostitelja tako, da vnesete.

sudo nano /etc/nginx/sites-available/default

Zamenjajte obstoječo vsebino z naslednjimi vrsticami:

server
{
    listen 80 default_server;
    listen [::]:80 default_server ipv6only=on;
    server_name 192.0.2.1 graylog.example.com;

    location / {
      proxy_set_header Host $http_host;
      proxy_set_header X-Forwarded-Host $host;
      proxy_set_header X-Forwarded-Server $host;
      proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
      proxy_set_header X-Graylog-Server-URL http://$server_name/api;
      proxy_pass       http://127.0.0.1:9000;
    }
}

Zaženite Nginx in omogočite, da se samodejno zažene ob zagonu:

sudo systemctl restart nginx
sudo systemctl enable nginx

Zaključek

Namestitev in osnovna konfiguracija strežnika Graylog je zdaj končana. Zdaj lahko dostopate do strežnika Graylog na http://192.0.2.1ali http://graylog.example.comče imate konfiguriran DNS. Prijavite se z uporabniškim imenom adminin različico gesla z navadnim besedilom, ki ste ga nastavili root_password_sha2prej.

Čestitamo - na vašem strežniku Ubuntu 16.04 imate nameščen popolnoma delujoč strežnik Graylog.