Hur man installerar Graylog Server på Ubuntu 16.04

Graylog-servern är en företagsklar programvara för logghantering med öppen källkod. Den samlar in loggar från olika källor och analyserar dem för att upptäcka och lösa problem. Greylog-servern är i grunden en kombination av Elasticsearch, MongoDB och Graylog. Elasticsearch är ett mycket populärt program med öppen källkod för att lagra text och ge mycket kraftfulla sökmöjligheter. MongoDB är en öppen källkodsapplikation för att lagra data i NoSQL-format. Graylog samlar in loggar från olika källor och tillhandahåller en webbaserad instrumentpanel för att hantera och söka igenom loggarna. Graylog tillhandahåller också ett REST API för både konfiguration och data. Den tillhandahåller en konfigurerbar instrumentpanel som kan användas för att visualisera mätvärden och observera trender genom att använda fältstatistik, snabba värden och diagram från en central plats.

I den här handledningen lär du dig att installera Graylog Server på Ubuntu 16.04. Den här guiden skrevs för Graylog Server 2.3, men kan även fungera på nyare versioner. Du får även lära dig att installera Java, Elasticsearch och MongoDB. Vi kommer också att säkra MongoDB-instansen och ställa in en Nginx omvänd proxy för den webbaserade instrumentpanelen och API.

Förutsättningar

• En Vultr Ubuntu 16.04-serverinstans med minst 4 GB RAM.
• En sudo-användare .

I den här handledningen kommer vi att använda 192.0.2.1som serverns offentliga IP-adress och graylog.example.comsom domännamnet pekade på servern. Ersätt alla förekomster av 192.0.2.1med din Vultr offentliga IP-adress och graylog.example.commed ditt faktiska domännamn.

Uppdatera ditt bassystem med hjälp av guiden Hur man uppdaterar Ubuntu 16.04 . När ditt system har uppdaterats, fortsätt att installera Java.

Installera Java

Elasticsearch kräver Java 8 för att köras. Den stöder både Oracle Java och OpenJDK, men det rekommenderas alltid att du använder Oracle Java när det är möjligt. Lägg till Oracle Java PPA-förråd:

sudo add-apt-repository ppa:webupd8team/java

Uppdatera APT-förvarets metadata:

sudo apt update

Installera den senaste stabila versionen av Java 8, kör:

sudo apt -y install oracle-java8-installer

Acceptera licensavtalet när du uppmanas. Om Java har installerats framgångsrikt bör du kunna verifiera dess version.

java -version

Du kommer att se följande utdata.

user@vultr:~$ java -version
java version "1.8.0_144"
Java(TM) SE Runtime Environment (build 1.8.0_144-b01)
Java HotSpot(TM) 64-Bit Server VM (build 25.144-b01, mixed mode)

Ställ in JAVA_HOMEoch andra standardinställningar genom att installera oracle-java8-set-default. Springa:

sudo apt -y install oracle-java8-set-default

Kör echo $JAVA_HOMEkommandot för att kontrollera om miljövariabeln är inställd eller inte.

user@vultr:~$ echo "$JAVA_HOME"
/usr/lib/jvm/java-8-oracle

Om du inte får utdata som visas ovan kan du behöva logga ut och logga in på skalet igen.

Installera Elasticsearch

Elasticsearch är en distribuerad, skalbar och högtillgänglig applikation i realtid som används för att lagra loggarna och söka igenom dem. Den lagrar data i index och det går mycket snabbt att söka igenom datan. Den tillhandahåller olika uppsättningar av API:er, såsom HTTP RESTful API och inbyggt Java API. Elasticsearch kan installeras direkt genom Elasticsearch-förrådet. Lägg till Elasticsearch APT-förvaret:

echo "deb https://artifacts.elastic.co/packages/5.x/apt stable main" | sudo tee -a /etc/apt/sources.list.d/elastic-5.x.list

Importera PGP-nyckeln som användes för att signera paketen. Detta kommer att säkerställa paketens integritet.

wget -qO - https://artifacts.elastic.co/GPG-KEY-elasticsearch | sudo apt-key add -

Uppdatera APT-förvarets metadata.

sudo apt update

Installera Elasticsearch-paketet:

sudo apt -y install elasticsearch

När paketet är installerat, öppna Elasticsearchs standardkonfigurationsfil.

sudo nano /etc/elasticsearch/elasticsearch.yml

Hitta följande rad, avkommentera den och ändra värdet från my-applicationtill graylog.

cluster.name: graylog

Du kan starta Elasticsearch och aktivera den för att starta automatiskt vid uppstart:

sudo systemctl enable elasticsearch
sudo systemctl start elasticsearch

Elasticsearch körs nu på port 9200. Kontrollera att det fungerar korrekt genom att köra:

curl -XGET 'localhost:9200/?pretty'

Du bör se utdata som liknar följande.

[user@vultr ~]$ curl -XGET 'localhost:9200/?pretty'
{
  "name" : "-kYzFA9",
  "cluster_name" : "graylog",
  "cluster_uuid" : "T3JQKehzSqmLThlVkEKPKg",
  "version" : {
    "number" : "5.5.1",
    "build_hash" : "19c13d0",
    "build_date" : "2017-07-18T20:44:24.823Z",
    "build_snapshot" : false,
    "lucene_version" : "6.6.0"
  },
  "tagline" : "You Know, for Search"
}

Om du stöter på fel, vänta i några sekunder och försök igen, eftersom det tar tid för Elasticsearch att slutföra sin startprocess. Elasticsearch är nu installerat och fungerar korrekt.

Installera MongoDB

MongoDB är en gratis NoSQL-databasserver med öppen källkod. Till skillnad från traditionell databas som använder tabeller för att organisera sina data, är MongoDB dokumentorienterad och använder JSON-liknande dokument utan scheman. Graylog använder MongoDB för att lagra sin konfiguration och metainformation. Det kan installeras direkt genom MongoDB-förvaret. Importera GPG-nyckeln som användes för att signera paketet. Detta kommer att säkerställa äktheten av paketen.

sudo apt-key adv --keyserver hkp://keyserver.ubuntu.com:80 --recv 0C49F3730359A14518585931BC711F9BA15703C6

Skapa nu arkivfilen:

echo "deb [ arch=amd64,arm64 ] http://repo.mongodb.org/apt/ubuntu xenial/mongodb-org/3.4 multiverse" | sudo tee /etc/apt/sources.list.d/mongodb-org-3.4.list

Uppdatera APT-förvarets metadata.

sudo apt update

Installera MongoDB-paketet:

sudo apt -y install mongodb-org

Starta MongoDB-servern och låt den starta automatiskt.

sudo systemctl start mongod
sudo systemctl enable mongod

Installera Graylog-servern

Ladda ner och det senaste arkivet för Graylog-servern.

wget https://packages.graylog2.org/repo/packages/graylog-2.3-repository_latest.deb
sudo dpkg -i graylog-2.3-repository_latest.deb
sudo apt update

Installera Graylog-paketet:

sudo apt install graylog-server

Graylog-servern är nu installerad på din server. Innan du kan starta den måste du konfigurera några saker.

Konfigurera Graylog

Installera pwgenverktyg för att skapa starka lösenord.

sudo apt -y install pwgen

Skapa nu en stark lösenordshemlighet.

pwgen -N 1 -s 96

Du kommer att skriva ut liknande:

[user@vultr ~]$ pwgen -N 1 -s 96
pJqhNbdEY9FtNBfFUtq20lG2m9daacmsZQr59FhyoA0Wu3XQyVZcu5FedPZ9eCiDfjdiYWfRcEQ7a36bVqxSyTzcMMx5Rz8v

Generera också en 256-bitars hash för lösenordet för rootanvändaren admin:

echo -n StrongPassword | sha256sum

Ersätt StrongPasswordmed lösenordet du vill ställa in för adminanvändaren. Du får se:

[user@vultr ~]$ echo -n StrongPassword | sha256sum
05a181f00c157f70413d33701778a6ee7d2747ac18b9c0fbb8bd71a62dd7a223  -

Öppna Graylog-konfigurationsfilen:

sudo nano /etc/graylog/server/server.conf

Hitta password_secret =, kopiera och klistra in lösenordet som skapats genom pwgenkommandot. Hitta root_password_sha2 =, kopiera och klistra in den konverterade SHA 256-bitars hashen för ditt administratörslösenord. Hitta #root_email =, avkommentera och ange din e-postadress. Avkommentera och ställ in din tidszon på root_timezone. Till exempel:

password_secret = pJqhNbdEY9FtNBfFUtq20lG2m9daacmsZQr59FhyoA0Wu3XQyVZcu5FedPZ9eCiDfjdiYWfRcEQ7a36bVqxSyTzcMMx5Rz8v
root_password_sha2 = 05a181f00c157f70413d33701778a6ee7d2747ac18b9c0fbb8bd71a62dd7a223
root_email = [email protected]
root_timezone = Asia/Kolkata

Aktivera det webbaserade Graylog-gränssnittet genom att avkommentera #web_enable = falseoch ställa in dess värde till true. Avkommentera och ändra även följande rader enligt specifikation.

rest_listen_uri = http://0.0.0.0:9000/api/
rest_transport_uri = http://192.0.2.1:9000/api/
web_enable = true
web_listen_uri = http://0.0.0.0:9000/

Spara filen och avsluta din textredigerare.

Starta om och aktivera Graylog-tjänsten genom att köra:

sudo systemctl restart graylog-server
sudo systemctl enable graylog-server

Konfigurera Nginx som en omvänd proxy

Som standard lyssnar Graylog webbgränssnitt localhostpå port 9000 och API lyssnar på port 9000 med URL /api. I den här handledningen kommer vi att använda Nginx som omvänd proxy så att applikationen kan nås via standard HTTP-port. Installera Nginx webbserver genom att köra:

sudo apt -y install nginx

Öppna standardfilen för virtuell värd genom att skriva.

sudo nano /etc/nginx/sites-available/default

Ersätt det befintliga innehållet med följande rader:

server
{
    listen 80 default_server;
    listen [::]:80 default_server ipv6only=on;
    server_name 192.0.2.1 graylog.example.com;

    location / {
      proxy_set_header Host $http_host;
      proxy_set_header X-Forwarded-Host $host;
      proxy_set_header X-Forwarded-Server $host;
      proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
      proxy_set_header X-Graylog-Server-URL http://$server_name/api;
      proxy_pass       http://127.0.0.1:9000;
    }
}

Starta Nginx och låt den starta automatiskt vid uppstart:

sudo systemctl restart nginx
sudo systemctl enable nginx

Slutsats

Installationen och den grundläggande konfigurationen av Graylog-servern är nu klar. Du kan nu komma åt Graylog-servern på http://192.0.2.1eller http://graylog.example.comom du har DNS-konfigurerad. Logga in med användarnamnet adminoch vanlig textversion av lösenordet som du har angett för root_password_sha2tidigare.

Grattis - du har en fullt fungerande Graylog-server installerad på din Ubuntu 16.04-server.