Як встановити сервер Graylog на Ubuntu 16.04

Сервер Graylog — це корпоративний пакет програмного забезпечення для керування журналами з відкритим вихідним кодом. Він збирає журнали з різних джерел і аналізує їх для виявлення та вирішення проблем. Сервер Greylog в основному є комбінацією Elasticsearch, MongoDB і Graylog. Elasticsearch — це дуже популярна програма з відкритим кодом для зберігання тексту та надання дуже потужних можливостей пошуку. MongoDB — програма з відкритим вихідним кодом для зберігання даних у форматі NoSQL. Graylog збирає журнали з різних джерел і надає веб-інформаційну панель для керування та пошуку в журналах. Graylog також надає REST API як для конфігурації, так і для даних. Він забезпечує конфігуровану інформаційну панель, яку можна використовувати для візуалізації показників і спостереження за тенденціями за допомогою статистики поля, швидких значень та діаграм з одного центрального місця.

У цьому підручнику ви навчитеся інсталювати Graylog Server на Ubuntu 16.04. Цей посібник був написаний для Graylog Server 2.3, але може працювати і на новіших версіях. Ви також навчитеся встановлювати Java, Elasticsearch і MongoDB. Ми також захистимо екземпляр MongoDB і налаштуємо зворотний проксі Nginx для веб-інформаційної панелі та API.

Передумови

• Примірник сервера Vultr Ubuntu 16.04 з принаймні 4 ГБ оперативної пам’яті.
• Користувач sudo .

У цьому підручнику ми будемо використовувати 192.0.2.1як загальнодоступну IP-адресу сервера та graylog.example.comяк доменне ім’я, яке вказує на сервер. Замініть усі входження на 192.0.2.1вашу публічну IP-адресу Vultr та graylog.example.comна ваше фактичне доменне ім’я.

Оновіть свою базову систему за допомогою посібника Як оновити Ubuntu 16.04 . Після оновлення системи перейдіть до встановлення Java.

Встановіть Java

Для роботи Elasticsearch потрібна Java 8. Він підтримує як Oracle Java, так і OpenJDK, але завжди рекомендується використовувати Oracle Java, коли це можливо. Додайте репозиторій Oracle Java PPA:

sudo add-apt-repository ppa:webupd8team/java

Оновіть метадані репозиторію APT:

sudo apt update

Встановіть останню стабільну версію Java 8, запустіть:

sudo apt -y install oracle-java8-installer

Прийміть ліцензійну угоду, коли з’явиться відповідний запит. Якщо Java встановилася успішно, ви зможете перевірити її версію.

java -version

Ви побачите наступний висновок.

user@vultr:~$ java -version
java version "1.8.0_144"
Java(TM) SE Runtime Environment (build 1.8.0_144-b01)
Java HotSpot(TM) 64-Bit Server VM (build 25.144-b01, mixed mode)

Установіть JAVA_HOMEта інші параметри за замовчуванням, встановивши oracle-java8-set-default. Виконати:

sudo apt -y install oracle-java8-set-default

Виконайте echo $JAVA_HOMEкоманду, щоб перевірити, чи встановлено змінну середовища чи ні.

user@vultr:~$ echo "$JAVA_HOME"
/usr/lib/jvm/java-8-oracle

Якщо ви не отримуєте результат, показаний вище, вам може знадобитися вийти з системи та знову ввійти в оболонку.

Встановіть Elasticsearch

Elasticsearch — це розподілений, масштабований і високодоступний додаток у реальному часі, який використовується для зберігання журналів і пошуку в них. Він зберігає дані в індексах, і пошук даних відбувається дуже швидко. Він надає різні набори API, такі як HTTP RESTful API і рідний Java API. Elasticsearch можна встановити безпосередньо через репозиторій Elasticsearch. Додайте репозиторій Elasticsearch APT:

echo "deb https://artifacts.elastic.co/packages/5.x/apt stable main" | sudo tee -a /etc/apt/sources.list.d/elastic-5.x.list

Імпортуйте ключ PGP, який використовується для підписання пакетів. Це забезпечить цілісність пакетів.

wget -qO - https://artifacts.elastic.co/GPG-KEY-elasticsearch | sudo apt-key add -

Оновіть метадані репозиторію APT.

sudo apt update

Встановіть пакет Elasticsearch:

sudo apt -y install elasticsearch

Після встановлення пакета відкрийте файл конфігурації Elasticsearch за замовчуванням.

sudo nano /etc/elasticsearch/elasticsearch.yml

Знайдіть наступний рядок, розкоментуйте його та змініть значення з my-applicationна graylog.

cluster.name: graylog

Ви можете запустити Elasticsearch і ввімкнути його автоматичний запуск під час завантаження:

sudo systemctl enable elasticsearch
sudo systemctl start elasticsearch

Elasticsearch зараз працює на порту 9200. Переконайтеся, що він працює належним чином, запустивши:

curl -XGET 'localhost:9200/?pretty'

Ви повинні побачити вихід, подібний до наведеного нижче.

[user@vultr ~]$ curl -XGET 'localhost:9200/?pretty'
{
  "name" : "-kYzFA9",
  "cluster_name" : "graylog",
  "cluster_uuid" : "T3JQKehzSqmLThlVkEKPKg",
  "version" : {
    "number" : "5.5.1",
    "build_hash" : "19c13d0",
    "build_date" : "2017-07-18T20:44:24.823Z",
    "build_snapshot" : false,
    "lucene_version" : "6.6.0"
  },
  "tagline" : "You Know, for Search"
}

Якщо ви зіткнулися з помилками, зачекайте кілька секунд і повторіть спробу, оскільки Elasticsearch потрібен час, щоб завершити процес запуску. Тепер Elasticsearch встановлено та працює правильно.

Встановіть MongoDB

MongoDB — це безкоштовний сервер баз даних NoSQL з відкритим вихідним кодом. На відміну від традиційної бази даних, яка використовує таблиці для організації своїх даних, MongoDB орієнтована на документи і використовує документи, подібні до JSON, без схем. Graylog використовує MongoDB для зберігання конфігурації та мета інформації. Його можна встановити безпосередньо через репозиторій MongoDB. Імпортуйте ключ GPG, який використовується для підписання пакета. Це забезпечить автентичність упаковок.

sudo apt-key adv --keyserver hkp://keyserver.ubuntu.com:80 --recv 0C49F3730359A14518585931BC711F9BA15703C6

Тепер створіть файл репозиторію:

echo "deb [ arch=amd64,arm64 ] http://repo.mongodb.org/apt/ubuntu xenial/mongodb-org/3.4 multiverse" | sudo tee /etc/apt/sources.list.d/mongodb-org-3.4.list

Оновіть метадані репозиторію APT.

sudo apt update

Встановіть пакет MongoDB:

sudo apt -y install mongodb-org

Запустіть сервер MongoDB та увімкніть його автоматичний запуск.

sudo systemctl start mongod
sudo systemctl enable mongod

Встановіть сервер Graylog

Завантажте найновіший репозиторій для сервера Graylog.

wget https://packages.graylog2.org/repo/packages/graylog-2.3-repository_latest.deb
sudo dpkg -i graylog-2.3-repository_latest.deb
sudo apt update

Встановіть пакет Graylog:

sudo apt install graylog-server

Сервер Graylog тепер встановлений на вашому сервері. Перш ніж ви зможете його запустити, вам потрібно буде налаштувати кілька речей.

Налаштувати Graylog

Встановіть pwgenутиліту для створення надійних паролів.

sudo apt -y install pwgen

Тепер створіть надійний секретний пароль.

pwgen -N 1 -s 96

Ви виведете подібне до:

[user@vultr ~]$ pwgen -N 1 -s 96
pJqhNbdEY9FtNBfFUtq20lG2m9daacmsZQr59FhyoA0Wu3XQyVZcu5FedPZ9eCiDfjdiYWfRcEQ7a36bVqxSyTzcMMx5Rz8v

Також згенеруйте 256-бітовий хеш для пароля користувача root admin:

echo -n StrongPassword | sha256sum

Замініть StrongPasswordпароль, який ви хочете встановити для adminкористувача. Ти побачиш:

[user@vultr ~]$ echo -n StrongPassword | sha256sum
05a181f00c157f70413d33701778a6ee7d2747ac18b9c0fbb8bd71a62dd7a223  -

Відкрийте файл конфігурації Graylog:

sudo nano /etc/graylog/server/server.conf

Знайдіть password_secret =, скопіюйте та вставте пароль, згенерований за допомогою pwgenкоманди. Знайдіть root_password_sha2 =, скопіюйте та вставте перетворений 256-бітний хеш SHA вашого пароля адміністратора. Знайдіть #root_email =, розкоментуйте та вкажіть свою адресу електронної пошти. Розкоментуйте та встановіть свій часовий пояс на root_timezone. Наприклад:

password_secret = pJqhNbdEY9FtNBfFUtq20lG2m9daacmsZQr59FhyoA0Wu3XQyVZcu5FedPZ9eCiDfjdiYWfRcEQ7a36bVqxSyTzcMMx5Rz8v
root_password_sha2 = 05a181f00c157f70413d33701778a6ee7d2747ac18b9c0fbb8bd71a62dd7a223
root_email = [email protected]
root_timezone = Asia/Kolkata

Увімкніть веб-інтерфейс Graylog, розкоментувавши #web_enable = falseта встановивши для нього значення true. Також розкоментуйте та змініть наступні рядки, як зазначено.

rest_listen_uri = http://0.0.0.0:9000/api/
rest_transport_uri = http://192.0.2.1:9000/api/
web_enable = true
web_listen_uri = http://0.0.0.0:9000/

Збережіть файл і вийдіть із текстового редактора.

Перезапустіть та увімкніть службу Graylog, виконавши:

sudo systemctl restart graylog-server
sudo systemctl enable graylog-server

Налаштуйте Nginx як зворотний проксі-сервер

За замовчуванням веб-інтерфейс Graylog прослуховує localhostпорт 9000, а API слухає порт 9000 з URL-адресою /api. У цьому підручнику ми будемо використовувати Nginx як зворотний проксі, щоб програма могла отримати доступ через стандартний порт HTTP. Встановіть веб-сервер Nginx, виконавши:

sudo apt -y install nginx

Відкрийте файл віртуального хоста за замовчуванням, ввівши.

sudo nano /etc/nginx/sites-available/default

Замініть наявний вміст такими рядками:

server
{
    listen 80 default_server;
    listen [::]:80 default_server ipv6only=on;
    server_name 192.0.2.1 graylog.example.com;

    location / {
      proxy_set_header Host $http_host;
      proxy_set_header X-Forwarded-Host $host;
      proxy_set_header X-Forwarded-Server $host;
      proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
      proxy_set_header X-Graylog-Server-URL http://$server_name/api;
      proxy_pass       http://127.0.0.1:9000;
    }
}

Запустіть Nginx і ввімкніть його автоматичний запуск під час завантаження:

sudo systemctl restart nginx
sudo systemctl enable nginx

Висновок

Встановлення та базова конфігурація сервера Graylog завершено. Тепер ви можете отримати доступ до сервера Graylog на http://192.0.2.1або http://graylog.example.comякщо у вас налаштовано DNS. Увійдіть, використовуючи ім’я користувача adminта текстову версію пароля, яку ви встановили root_password_sha2раніше.

Вітаємо – на вашому сервері Ubuntu 16.04 встановлено повністю робочий сервер Graylog.