Hur man installerar Graylog Server på CentOS 7

Graylog-servern är en företagsklar programvara för logghantering med öppen källkod. Den samlar in loggar från olika källor och analyserar dem för att upptäcka och lösa problem. Graylog-servern är i grunden en kombination av Elasticsearch, MongoDB och Graylog. Elasticsearch är ett mycket populärt program med öppen källkod för att lagra text och ge mycket kraftfulla sökmöjligheter. MongoDB är en öppen källkodsapplikation för att lagra data i NoSQL-format. Graylog samlar in loggar från olika källor och tillhandahåller en webbaserad instrumentpanel för att hantera och söka igenom loggarna. Graylog tillhandahåller också ett REST API för både konfiguration och data. Den tillhandahåller en konfigurerbar instrumentpanel som kan användas för att visualisera mätvärden och observera trender genom att använda fältstatistik, snabba värden och diagram från en central plats.

I den här handledningen lär du dig att installera Graylog Server på CentOS 7. Den här guiden skrevs för Graylog Server 2.3, men kan även fungera på nyare versioner. Du får även lära dig att installera Java, Elasticsearch och MongoDB. Vi kommer också att säkra MongoDB-instansen och ställa in en Nginx omvänd proxy för den webbaserade instrumentpanelen och API.

Förutsättningar

• En Vultr CentOS 7-serverinstans med minst 4 GB RAM.
• En sudo-användare .

I den här handledningen kommer vi att använda 192.0.2.1som serverns offentliga IP-adress och graylog.example.comsom domännamnet pekade på servern. Ersätt alla förekomster av 192.0.2.1med din Vultr offentliga IP-adress och graylog.example.commed ditt faktiska domännamn.

Uppdatera ditt bassystem med hjälp av guiden Hur man uppdaterar CentOS 7 . När ditt system har uppdaterats, fortsätt att installera Java.

Installera Java

Elasticsearch kräver Java 8 för att köras. Den stöder både Oracle Java och OpenJDK, men det rekommenderas alltid att du använder Oracle Java när det är möjligt. Oracle tillhandahåller färdiga att installera RPM-paket. Ladda ner Oracle JDK RPM:

wget --no-cookies --no-check-certificate --header "Cookie:oraclelicense=accept-securebackup-cookie" "http://download.oracle.com/otn-pub/java/jdk/8u144-b01/090f390dda5b47b9b721c7dfaa008135/jdk-8u144-linux-x64.rpm"

Installera RPM-paketet.

sudo yum -y install jdk-8u144-linux-x64.rpm

Om Java har installerats framgångsrikt bör du kunna verifiera dess version.

java -version

Du kommer att se följande utdata.

[user@vultr ~]$ java -version
java version "1.8.0_144"
Java(TM) SE Runtime Environment (build 1.8.0_144-b01)
Java HotSpot(TM) 64-Bit Server VM (build 25.144-b01, mixed mode)

Ställ in JAVA_HOMEoch JRE_HOMEmiljövariabel genom att köra:

echo "export JAVA_HOME=/usr/java/jdk1.8.0_144/" >> ~/.bash_profile
echo "export JRE_HOME=/usr/java/jdk1.8.0_144/jre" >> ~/.bash_profile

Källkod nu filen med följande kommando.

source ~/.bash_profile

Kör echo $JAVA_HOMEkommandot för att kontrollera om miljövariabeln är inställd eller inte.

[user@vultr ~]$ echo $JAVA_HOME
/usr/java/jdk1.8.0_144/

Installera Elasticsearch

Elasticsearch är en distribuerad, skalbar och högtillgänglig applikation i realtid som används för att lagra loggarna och söka igenom dem. Den lagrar data i index och det går mycket snabbt att söka igenom datan. Den tillhandahåller olika uppsättningar av API:er, såsom HTTP RESTful API och inbyggt Java API. Elasticsearch kan installeras direkt genom Elasticsearch-förrådet. Skapa en ny förvarsfil för Elasticsearch.

sudo nano /etc/yum.repos.d/elasticsearch.repo

Fyll filen med följande innehåll.

[elasticsearch-5.x]
name=Elasticsearch repository for 5.x packages
baseurl=https://artifacts.elastic.co/packages/5.x/yum
gpgcheck=1
gpgkey=https://artifacts.elastic.co/GPG-KEY-elasticsearch
enabled=1
autorefresh=1
type=rpm-md

Importera PGP-nyckeln som användes för att signera paketen. Detta kommer att säkerställa paketens integritet.

sudo rpm --import https://artifacts.elastic.co/GPG-KEY-elasticsearch

Installera Elasticsearch-paketet:

sudo yum -y install elasticsearch

När paketet är installerat, öppna Elasticsearchs standardkonfigurationsfil.

sudo nano /etc/elasticsearch/elasticsearch.yml

Hitta följande rad, avkommentera den och ändra värdet från my-applicationtill graylog.

cluster.name: graylog

Du kan starta Elasticsearch och aktivera den för att starta automatiskt vid uppstart:

sudo systemctl enable elasticsearch
sudo systemctl start elasticsearch

Elasticsearch körs nu på port 9200. Kontrollera att det fungerar korrekt genom att köra:

curl -XGET 'localhost:9200/?pretty'

Du bör se utdata som liknar följande.

[user@vultr ~]$ curl -XGET 'localhost:9200/?pretty'
{
  "name" : "-kYzFA9",
  "cluster_name" : "graylog",
  "cluster_uuid" : "T3JQKehzSqmLThlVkEKPKg",
  "version" : {
    "number" : "5.5.1",
    "build_hash" : "19c13d0",
    "build_date" : "2017-07-18T20:44:24.823Z",
    "build_snapshot" : false,
    "lucene_version" : "6.6.0"
  },
  "tagline" : "You Know, for Search"
}

Om du stöter på fel, vänta i några sekunder och försök igen, eftersom det tar tid för Elasticsearch att slutföra sin startprocess. Elasticsearch är nu installerat och fungerar korrekt.

Installera MongoDB

MongoDB är en gratis NoSQL-databasserver med öppen källkod. Till skillnad från traditionell databas som använder tabeller för att organisera sina data, är MongoDB dokumentorienterad och använder JSON-liknande dokument utan scheman. Graylog använder MongoDB för att lagra sin konfiguration och metainformation. Det kan installeras direkt genom MongoDB-förvaret. Skapa en ny förvarsfil för MongoDB.

sudo nano /etc/yum.repos.d/mongodb.repo

Fyll filen med följande innehåll.

[mongodb-org-3.4]
name=MongoDB Repository
baseurl=https://repo.mongodb.org/yum/redhat/$releasever/mongodb-org/3.4/x86_64/
gpgcheck=1
enabled=1
gpgkey=https://www.mongodb.org/static/pgp/server-3.4.asc

Installera MongoDB genom att köra:

sudo yum -y install mongodb-org

Starta MongoDB-servern och låt den starta automatiskt.

sudo systemctl start mongod
sudo systemctl enable mongod

Installera Graylog-servern

Ladda ner det senaste arkivet för Graylog-servern.

sudo rpm -Uvh https://packages.graylog2.org/repo/packages/graylog-2.3-repository_latest.rpm
sudo yum -y update

Installera Graylog genom att köra:

sudo yum -y install graylog-server

Graylog-servern är nu installerad på din server. Innan du kan starta den måste du konfigurera några saker.

Konfigurera Graylog

Installera pwgenverktyg för att skapa starka lösenord.

sudo yum -y install pwgen

Skapa nu en stark lösenordshemlighet.

pwgen -N 1 -s 96

Du kommer att skriva ut liknande:

[user@vultr ~]$ pwgen -N 1 -s 96
pJqhNbdEY9FtNBfFUtq20lG2m9daacmsZQr59FhyoA0Wu3XQyVZcu5FedPZ9eCiDfjdiYWfRcEQ7a36bVqxSyTzcMMx5Rz8v

Generera också en 256-bitars hash för lösenordet för rootanvändaren admin:

echo -n StrongPassword | sha256sum

Ersätt StrongPasswordmed lösenordet du vill ställa in för adminanvändaren. Du får se:

[user@vultr ~]$ echo -n StrongPassword | sha256sum
05a181f00c157f70413d33701778a6ee7d2747ac18b9c0fbb8bd71a62dd7a223  -

Öppna Graylog-konfigurationsfilen:

sudo nano /etc/graylog/server/server.conf

Hitta password_secret =, kopiera och klistra in lösenordet som skapats genom pwgenkommandot. Hitta root_password_sha2 =, kopiera och klistra in den konverterade SHA 256-bitars hashen för ditt administratörslösenord. Hitta #root_email =, avkommentera och ange din e-postadress. Avkommentera och ställ in din tidszon på root_timezone. Till exempel:

password_secret = pJqhNbdEY9FtNBfFUtq20lG2m9daacmsZQr59FhyoA0Wu3XQyVZcu5FedPZ9eCiDfjdiYWfRcEQ7a36bVqxSyTzcMMx5Rz8v
root_password_sha2 = 05a181f00c157f70413d33701778a6ee7d2747ac18b9c0fbb8bd71a62dd7a223
root_email = [email protected]
root_timezone = Asia/Kolkata

Aktivera det webbaserade Graylog-gränssnittet genom att avkommentera #web_enable = falseoch ställa in värdet på true. Avkommentera och ändra även följande rader enligt specifikation.

rest_listen_uri = http://0.0.0.0:9000/api/
rest_transport_uri = http://45.76.214.19:9000/api/
web_enable = true
web_listen_uri = http://0.0.0.0:9000/

Spara filen och avsluta din textredigerare.

Starta om Graylog-tjänsten genom att köra:

sudo systemctl restart graylog-server

Konfigurera Nginx som en omvänd proxy

Som standard lyssnar Graylog webbgränssnitt localhostpå port 9000 och API lyssnar på port 9000 med URL /api. I den här handledningen kommer vi att använda Nginx som omvänd proxy så att applikationen kan nås via standard HTTP-port. Installera Nginx webbserver genom att köra:

sudo yum -y install nginx

Öppna den virtuella standardvärden genom att skriva.

sudo nano /etc/nginx/nginx.conf

Hitta serverblocket under httpoch ersätt hela serverblocket med följande rader.

server
{
    listen 80 default_server;
    listen [::]:80 default_server ipv6only=on;
    server_name graylog.example.com 192.0.2.1;

    location / {
      proxy_set_header Host $http_host;
      proxy_set_header X-Forwarded-Host $host;
      proxy_set_header X-Forwarded-Server $host;
      proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
      proxy_set_header X-Graylog-Server-URL http://$server_name/api;
      proxy_pass       http://127.0.0.1:9000;
    }
}

Starta Nginx och låt den starta automatiskt vid uppstart:

sudo systemctl start nginx
sudo systemctl enable nginx

Konfigurera brandvägg och SELinux

Om du kör en brandvägg på din server måste du konfigurera brandväggen för att ställa in ett undantag för vissa portar. Tillåt Elasticsearch-tjänsten och Nginx omvänd proxy att ansluta utanför nätverket.

sudo firewall-cmd --zone=public --permanent --add-service=http
sudo firewall-cmd --zone=public --permanent --add-port=9200/tcp
sudo firewall-cmd --reload

Om du har SELinux aktiverat på ditt system, måste du lägga till några undantag i SELinux policyer.

sudo setsebool -P httpd_can_network_connect 1
sudo semanage port -a -t http_port_t -p tcp 9000
sudo semanage port -a -t http_port_t -p tcp 9200
sudo semanage port -a -t mongod_port_t -p tcp 27017

Slutsats

Installationen och den grundläggande konfigurationen av Graylog-servern är nu klar. Du kan nu komma åt Graylog-servern på http://192.0.2.1eller http://graylog.example.comom du har DNS-konfigurerad. Logga in med användarnamnet adminoch vanlig textversion av lösenordet som du har angett för root_password_sha2tidigare.

Grattis - du har en fullt fungerande Graylog-server installerad på din CentOS 7-server.