Як встановити сервер Graylog на CentOS 7

Передумови

Встановіть Java

Встановіть Elasticsearch

Встановіть MongoDB

Встановіть сервер Graylog

Налаштувати Graylog

Налаштуйте Nginx як зворотний проксі-сервер

Налаштуйте брандмауер і SELinux

Висновок

Сервер Graylog — це корпоративний пакет програмного забезпечення для керування журналами з відкритим вихідним кодом. Він збирає журнали з різних джерел і аналізує їх для виявлення та вирішення проблем. Сервер Graylog в основному є комбінацією Elasticsearch, MongoDB і Graylog. Elasticsearch — це дуже популярна програма з відкритим кодом для зберігання тексту та надання дуже потужних можливостей пошуку. MongoDB — програма з відкритим вихідним кодом для зберігання даних у форматі NoSQL. Graylog збирає журнали з різних джерел і надає веб-інформаційну панель для керування та пошуку в журналах. Graylog також надає REST API як для конфігурації, так і для даних. Він забезпечує конфігуровану інформаційну панель, яку можна використовувати для візуалізації показників і спостереження за тенденціями за допомогою статистики поля, швидких значень та діаграм з одного центрального місця.

У цьому підручнику ви навчитеся інсталювати Graylog Server на CentOS 7. Цей посібник був написаний для Graylog Server 2.3, але може працювати і на новіших версіях. Ви також навчитеся встановлювати Java, Elasticsearch і MongoDB. Ми також захистимо екземпляр MongoDB і налаштуємо зворотний проксі Nginx для веб-інформаційної панелі та API.

Передумови

• Примірник сервера Vultr CentOS 7 із принаймні 4 ГБ оперативної пам’яті.
• Користувач sudo .

У цьому підручнику ми будемо використовувати 192.0.2.1як загальнодоступну IP-адресу сервера та graylog.example.comяк доменне ім’я, яке вказує на сервер. Замініть усі входження на 192.0.2.1вашу публічну IP-адресу Vultr та graylog.example.comна ваше фактичне доменне ім’я.

Оновіть свою базову систему за допомогою посібника Як оновити CentOS 7 . Після оновлення системи перейдіть до встановлення Java.

Встановіть Java

Для роботи Elasticsearch потрібна Java 8. Він підтримує як Oracle Java, так і OpenJDK, але завжди рекомендується використовувати Oracle Java, коли це можливо. Oracle надає готові до встановлення пакети RPM. Завантажте Oracle JDK RPM:

wget --no-cookies --no-check-certificate --header "Cookie:oraclelicense=accept-securebackup-cookie" "http://download.oracle.com/otn-pub/java/jdk/8u144-b01/090f390dda5b47b9b721c7dfaa008135/jdk-8u144-linux-x64.rpm"

Встановіть пакет RPM.

sudo yum -y install jdk-8u144-linux-x64.rpm

Якщо Java встановилася успішно, ви зможете перевірити її версію.

java -version

Ви побачите наступний висновок.

[user@vultr ~]$ java -version
java version "1.8.0_144"
Java(TM) SE Runtime Environment (build 1.8.0_144-b01)
Java HotSpot(TM) 64-Bit Server VM (build 25.144-b01, mixed mode)

Встановити JAVA_HOMEта JRE_HOMEзмінну середовища, запустивши:

echo "export JAVA_HOME=/usr/java/jdk1.8.0_144/" >> ~/.bash_profile
echo "export JRE_HOME=/usr/java/jdk1.8.0_144/jre" >> ~/.bash_profile

Тепер створіть вихідний файл за допомогою наступної команди.

source ~/.bash_profile

Виконайте echo $JAVA_HOMEкоманду, щоб перевірити, чи встановлено змінну середовища чи ні.

[user@vultr ~]$ echo $JAVA_HOME
/usr/java/jdk1.8.0_144/

Встановіть Elasticsearch

Elasticsearch — це розподілений, масштабований і високодоступний додаток у реальному часі, який використовується для зберігання журналів і пошуку в них. Він зберігає дані в індексах, і пошук даних відбувається дуже швидко. Він надає різні набори API, такі як HTTP RESTful API і рідний Java API. Elasticsearch можна встановити безпосередньо через репозиторій Elasticsearch. Створіть новий файл репозиторію для Elasticsearch.

sudo nano /etc/yum.repos.d/elasticsearch.repo

Заповніть файл таким вмістом.

[elasticsearch-5.x]
name=Elasticsearch repository for 5.x packages
baseurl=https://artifacts.elastic.co/packages/5.x/yum
gpgcheck=1
gpgkey=https://artifacts.elastic.co/GPG-KEY-elasticsearch
enabled=1
autorefresh=1
type=rpm-md

Імпортуйте ключ PGP, який використовується для підписання пакетів. Це забезпечить цілісність пакетів.

sudo rpm --import https://artifacts.elastic.co/GPG-KEY-elasticsearch

Встановіть пакет Elasticsearch:

sudo yum -y install elasticsearch

Після встановлення пакета відкрийте файл конфігурації Elasticsearch за замовчуванням.

sudo nano /etc/elasticsearch/elasticsearch.yml

Знайдіть наступний рядок, розкоментуйте його та змініть значення з my-applicationна graylog.

cluster.name: graylog

Ви можете запустити Elasticsearch і ввімкнути його автоматичний запуск під час завантаження:

sudo systemctl enable elasticsearch
sudo systemctl start elasticsearch

Elasticsearch зараз працює на порту 9200. Переконайтеся, що він працює належним чином, запустивши:

curl -XGET 'localhost:9200/?pretty'

Ви повинні побачити вихід, подібний до наведеного нижче.

[user@vultr ~]$ curl -XGET 'localhost:9200/?pretty'
{
  "name" : "-kYzFA9",
  "cluster_name" : "graylog",
  "cluster_uuid" : "T3JQKehzSqmLThlVkEKPKg",
  "version" : {
    "number" : "5.5.1",
    "build_hash" : "19c13d0",
    "build_date" : "2017-07-18T20:44:24.823Z",
    "build_snapshot" : false,
    "lucene_version" : "6.6.0"
  },
  "tagline" : "You Know, for Search"
}

Якщо ви зіткнулися з помилками, зачекайте кілька секунд і повторіть спробу, оскільки Elasticsearch потрібен час, щоб завершити процес запуску. Тепер Elasticsearch встановлено та працює правильно.

Встановіть MongoDB

MongoDB — це безкоштовний сервер баз даних NoSQL з відкритим вихідним кодом. На відміну від традиційної бази даних, яка використовує таблиці для організації своїх даних, MongoDB орієнтована на документи і використовує документи, подібні до JSON, без схем. Graylog використовує MongoDB для зберігання конфігурації та мета інформації. Його можна встановити безпосередньо через репозиторій MongoDB. Створіть новий файл репозиторію для MongoDB.

sudo nano /etc/yum.repos.d/mongodb.repo

Заповніть файл таким вмістом.

[mongodb-org-3.4]
name=MongoDB Repository
baseurl=https://repo.mongodb.org/yum/redhat/$releasever/mongodb-org/3.4/x86_64/
gpgcheck=1
enabled=1
gpgkey=https://www.mongodb.org/static/pgp/server-3.4.asc

Встановіть MongoDB, запустивши:

sudo yum -y install mongodb-org

Запустіть сервер MongoDB та увімкніть його автоматичний запуск.

sudo systemctl start mongod
sudo systemctl enable mongod

Встановіть сервер Graylog

Завантажте найновіший репозиторій для сервера Graylog.

sudo rpm -Uvh https://packages.graylog2.org/repo/packages/graylog-2.3-repository_latest.rpm
sudo yum -y update

Встановіть Graylog, запустивши:

sudo yum -y install graylog-server

Сервер Graylog тепер встановлений на вашому сервері. Перш ніж ви зможете його запустити, вам потрібно буде налаштувати кілька речей.

Налаштувати Graylog

Встановіть pwgenутиліту для створення надійних паролів.

sudo yum -y install pwgen

Тепер створіть надійний секретний пароль.

pwgen -N 1 -s 96

Ви виведете подібне до:

[user@vultr ~]$ pwgen -N 1 -s 96
pJqhNbdEY9FtNBfFUtq20lG2m9daacmsZQr59FhyoA0Wu3XQyVZcu5FedPZ9eCiDfjdiYWfRcEQ7a36bVqxSyTzcMMx5Rz8v

Також згенеруйте 256-бітовий хеш для пароля користувача root admin:

echo -n StrongPassword | sha256sum

Замініть StrongPasswordпароль, який ви хочете встановити для adminкористувача. Ти побачиш:

[user@vultr ~]$ echo -n StrongPassword | sha256sum
05a181f00c157f70413d33701778a6ee7d2747ac18b9c0fbb8bd71a62dd7a223  -

Відкрийте файл конфігурації Graylog:

sudo nano /etc/graylog/server/server.conf

Знайдіть password_secret =, скопіюйте та вставте пароль, згенерований за допомогою pwgenкоманди. Знайдіть root_password_sha2 =, скопіюйте та вставте перетворений 256-бітний хеш SHA вашого пароля адміністратора. Знайдіть #root_email =, розкоментуйте та вкажіть свою адресу електронної пошти. Розкоментуйте та встановіть свій часовий пояс на root_timezone. Наприклад:

password_secret = pJqhNbdEY9FtNBfFUtq20lG2m9daacmsZQr59FhyoA0Wu3XQyVZcu5FedPZ9eCiDfjdiYWfRcEQ7a36bVqxSyTzcMMx5Rz8v
root_password_sha2 = 05a181f00c157f70413d33701778a6ee7d2747ac18b9c0fbb8bd71a62dd7a223
root_email = mail@example.com
root_timezone = Asia/Kolkata

Увімкніть веб-інтерфейс Graylog, розкоментувавши #web_enable = falseта встановивши значення true. Також розкоментуйте та змініть наступні рядки, як зазначено.

rest_listen_uri = http://0.0.0.0:9000/api/
rest_transport_uri = http://45.76.214.19:9000/api/
web_enable = true
web_listen_uri = http://0.0.0.0:9000/

Збережіть файл і вийдіть із текстового редактора.

Перезапустіть службу Graylog, виконавши:

sudo systemctl restart graylog-server

Налаштуйте Nginx як зворотний проксі-сервер

За замовчуванням веб-інтерфейс Graylog прослуховує localhostпорт 9000, а API слухає порт 9000 з URL-адресою /api. У цьому підручнику ми будемо використовувати Nginx як зворотний проксі, щоб програма могла отримати доступ через стандартний порт HTTP. Встановіть веб-сервер Nginx, виконавши:

sudo yum -y install nginx

Відкрийте віртуальний хост за замовчуванням, ввівши.

sudo nano /etc/nginx/nginx.conf

Знайдіть serverблок під httpі замініть весь serverблок наступними рядками.

server
{
    listen 80 default_server;
    listen [::]:80 default_server ipv6only=on;
    server_name graylog.example.com 192.0.2.1;

    location / {
      proxy_set_header Host $http_host;
      proxy_set_header X-Forwarded-Host $host;
      proxy_set_header X-Forwarded-Server $host;
      proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
      proxy_set_header X-Graylog-Server-URL http://$server_name/api;
      proxy_pass       http://127.0.0.1:9000;
    }
}

Запустіть Nginx і ввімкніть його автоматичний запуск під час завантаження:

sudo systemctl start nginx
sudo systemctl enable nginx

Налаштуйте брандмауер і SELinux

Якщо ви використовуєте брандмауер на своєму сервері, вам потрібно буде налаштувати брандмауер, щоб встановити виняток для певних портів. Дозволити службі Elasticsearch і зворотному проксі-серверу Nginx підключатися поза мережею.

sudo firewall-cmd --zone=public --permanent --add-service=http
sudo firewall-cmd --zone=public --permanent --add-port=9200/tcp
sudo firewall-cmd --reload

Якщо у вашій системі ввімкнено SELinux, вам потрібно буде додати кілька винятків у політику SELinux.

sudo setsebool -P httpd_can_network_connect 1
sudo semanage port -a -t http_port_t -p tcp 9000
sudo semanage port -a -t http_port_t -p tcp 9200
sudo semanage port -a -t mongod_port_t -p tcp 27017

Висновок

Встановлення та базова конфігурація сервера Graylog завершено. Тепер ви можете отримати доступ до сервера Graylog на http://192.0.2.1або http://graylog.example.comякщо у вас налаштовано DNS. Увійдіть, використовуючи ім’я користувача adminта текстову версію пароля, яку ви встановили root_password_sha2раніше.

Вітаємо – на вашому сервері CentOS 7 встановлено повністю робочий сервер Graylog.