Jak zainstalować Graylog na Ubuntu 18.04 | 16.04

  • Vovich Masterovich
  • 0
  • 3096
  • 694

Ten krótki samouczek pokazuje studentom i nowym użytkownikom, jak zainstalować Graylog na Ubuntu 18.04 | 16.04.

Graylog to oprogramowanie do zarządzania dziennikami typu open source, które zapewnia monitorowanie i analizę systemów sieciowych z poziomu scentralizowanego serwera. Pomaga monitorować, wyszukiwać i analizować ogromną ilość danych (szczególnie w większych środowiskach) w prostym formacie, który można łatwo odczytać i przetrawić.

Poniższe kroki pokazują, jak zainstalować MongoDB do przechowywania swoich danych, Elasticsearch, aby włączyć funkcję wyszukiwania przechowywanych danych oraz serwer Graylog, aby przeanalizować dzienniki, aby można je było łatwo odczytać i przetrawić.

Aby dowiedzieć się więcej o Graylog, odwiedź jego stronę główną.

Aby rozpocząć instalację Graylog, wykonaj poniższe czynności:

Krok 1: Zainstaluj OpenJDK

Aby uruchomić Elasticsearch, musisz mieć zainstalowaną Javę. To dlatego, że jest to oprogramowanie oparte na Javie.

Aby zainstalować wersję Java typu open source, uruchom poniższe polecenia:

sudo apt update sudo apt-get install openjdk-8-jre-headless apt-transport-https uuid-runtime dirmngr

Po zainstalowaniu środowiska Java można użyć poniższych poleceń, aby sprawdzić, czy Java jest zainstalowana.

java -version

Powinieneś zobaczyć podobne wyniki, jak poniżej:

Wynik: openjdk wersja „1.8.0_242” OpenJDK Runtime Environment (kompilacja 1.8.0_242-8u242-b08-0ubuntu3 ~ 18.04-b08) OpenJDK 64-bitowa maszyna wirtualna serwera (kompilacja 25.242-b08, tryb mieszany)

Oto jak zainstalować OpenJDK na Ubuntu.

Krok 2: Zainstaluj Elasticsearch

Aby uruchomić Graylog, musisz zainstalować Elasticsearch.

Po zainstalowaniu OpenJDK 8 uruchom poniższe polecenia, aby dodać klucz Elasticsearch GPG, importując go…

wget -qO - https://artifacts.elastic.co/GPG-KEY-elasticsearch | sudo apt-key add -

Po zaimportowaniu klucza GPG uruchom poniższe polecenia, aby dodać repozytorium pakietów do Ubuntu…

sudo sh -c 'echo "deb https://artifacts.elastic.co/packages/6.x/apt stabilny main"> /etc/apt/sources.list.d/elastic-6.x.list'

W chwili pisania tego posta wersja Elasticsearch 6.6.1 jest najnowszą… Jeśli wolisz poprzednie wersje, będziesz musiał zaktualizować listę pakietów repozytorium, aby zawierała poprzednie pakiety…

Po dodaniu i włączeniu repozytorium Elasticsearch uruchom poniższe polecenia, aby zaktualizować listę pakietów apt i zainstalować Elasticsearch…

sudo apt update sudo apt install flexiblesearch

Po zainstalowaniu pakietu Elasticsearch możesz użyć poniższych poleceń, aby upewnić się, że uruchamia się on automatycznie po uruchomieniu serwera i natychmiast go uruchomić…

sudo systemctl start flexiblesearch.service sudo systemctl włącz flexiblesearch.service

Aby sprawdzić stan Elasticsearch, uruchom poniższe polecenia:

sudo systemctl status flexiblesearch.service

Powinien wyświetlić coś podobnego do poniższych linii:

flexiblesearch.service - Elasticsearch Loaded: załadowano (/usr/lib/systemd/system/elasticsearch.service; włączone; ustawienie dostawcy: włączone) Aktywne: aktywny (bieganie) od czwartku 2020-02-27 18:03:04 CST; 20 s temu Dokumenty: http://www.elastic.co Główny PID: 4524 (java) Zadania: 52 (limit: 4666) CGroup: /system.slice/elasticsearch.service ├─4524 / usr / bin / java -Xms1g - Xmx1g -XX: + UseConcMarkSweepGC -XX: CMSInitiatingOccupancyFraction = 75 -XX: + UseCMSInitiatingOccupancyOnly -Des.networkaddres └─4588 / usr / share / flexiblesearch / modules / x-pack-ml / platform / linux-x86_64 / bin / controller Luty 27 18:03:04 ubuntu1804 systemd [1]: uruchomiono Elasticsearch. 27 lutego 18:03:04 ubuntu1804 flexiblesearch [4524]: ostrzeżenie: powrót do javy na ścieżce. To zachowanie jest przestarzałe. Określ JAVA_HOME

Elasticsearch powinien być zainstalowany i gotowy do użycia…

Nasze pudełko nie wymaga uwierzytelniania i każdy może uzyskać dostęp do swojego portalu za pośrednictwem protokołu HTTP… Nasłuchuje również ruchu na hoście lokalnym tylko przez port # 9200

Jeśli używasz jednego serwera hosta, a klient łączy się z tego samego serwera, konfiguracja nie jest wymagana… Jeśli klienci będą się łączyć z systemów zdalnych, będziesz chciał zezwolić klientom zewnętrznym…

Aby to zrobić, otwórz plik flexiblesearch.yml plik konfiguracyjny:

sudo nano /etc/elasticsearch/elasticsearch.yml

Będziesz chciał ustawić nazwę klastra wyświetlaną w pliku konfiguracyjnym na graylog.

Następnie wyszukaj wiersz, który zawiera network.host, usuń komentarz i zmień podświetloną wartość na 0.0.0.0

# ---------------------------------- Klaster -------------- ------- # # Użyj opisowej nazwy dla swojego klastra: # cluster.name: graylog # # Użyj opisowej nazwy dla węzła: # Ustaw adres wiązania na określony adres IP (IPv4 lub IPv6): # sieć .host: 0.0.0.0 # # Ustaw niestandardowy port dla HTTP:

Zapisz plik i zakończ.

Uruchom ponownie usługę Elasticsearch, uruchamiając poniższe polecenia.

sudo systemctl zrestartuj Elasticsearch.service

Krok 3: Zainstaluj MongoDB

W tym momencie powinieneś mieć zainstalowaną Javę, Elasticsearch. Teraz potrzebujesz MongoDB.

Aby zainstalować MongoDB, uruchom poniższe polecenia, aby dodać jego klucz repozytorium do Ubuntu.

sudo apt-key adv --keyserver hkp: //keyserver.ubuntu.com: 80 --recv 9DA31620334BD75D9DCB49F368818C72E52529D4

Po dodaniu klucza uruchom poniższe polecenia, aby dodać repozytorium dla Ubuntu 18.04.

echo "deb [arch = amd64] https://repo.mongodb.org/apt/ubuntu bionic / mongodb-org / 4.0 multiverse" | sudo tee /etc/apt/sources.list.d/mongodb-org-4.0.list

Dla Ubuntu 16.04, zamiast tego uruchom poniższy

echo "deb [arch = amd64, arm64] https://repo.mongodb.org/apt/ubuntu xenial / mongodb-org / 4.0 multiverse" | sudo tee /etc/apt/sources.list.d/mongodb-org-4.0.list

Teraz, gdy repozytorium i klucz zostały dodane do Ubuntu, uruchom poniższe polecenia, aby zainstalować pakiet.

sudo apt update sudo apt install mongodb-org 

Po zainstalowaniu MongoDB poniższe polecenia mogą być używane do zatrzymywania, uruchamiania i włączania MongoDB do automatycznego uruchamiania podczas uruchamiania systemu.

sudo systemctl stop mongod.service sudo systemctl start mongod.service sudo systemctl włącz mongod.service 

Domyślnie MongoDB nasłuchuje na porcie 27017… po zainstalowaniu lokalny serwer powinien mieć możliwość komunikacji z MongoDB… aby sprawdzić, czy MongoDB działa i jest aktywne, uruchom poniższe polecenia:

sudo systemctl status mongod

Powinieneś zobaczyć stronę stanu usługi MongoDB.

 mongod.service - Załadowano serwer bazy danych MongoDB: załadowano (/lib/systemd/system/mongod.service; włączone; ustawienie dostawcy: włączone) Aktywne: aktywne (działa) od czwartku 2020-02-27 18:07:55 CST; 12 s temu Dokumenty: https://docs.mongodb.org/manual Główny PID: 6273 (mongod) CGroup: /system.slice/mongod.service └─6273 / usr / bin / mongod --config /etc/mongod.conf 27 lutego 18:07:55 ubuntu1804 systemd [1]: Uruchomiono serwer bazy danych MongoDB.

Oto jak zainstalować MongoDB.

Krok 4: Zainstaluj Graylog

W końcu jesteś gotowy do zainstalowania Graylog. Java, Elasticsearch i MongoDB są instalowane i konfigurowane.

Uruchom poniższe polecenia, aby pobrać i zainstalować Graylog w wersji 3.x.

cd / tmp wget https://packages.graylog2.org/repo/packages/graylog-3.0-repository_latest.deb sudo dpkg -i graylog-3.0-repository_latest.deb sudo apt update sudo apt install graylog-server

Po instalacji powinien pojawić się komunikat, jak pokazano poniżej:

################################################# ############################# Graylog NIE uruchamia się automatycznie! Uruchom następujące polecenia, jeśli chcesz uruchomić Graylog automatycznie przy starcie systemu: sudo systemctl enable graylog-server.service sudo systemctl start graylog-server.service ################## ################################################# ############ 

Następnie musisz ustawić hasło lub sekret, aby chronić swój serwer. Będziesz chciał być bardzo silnym hasłem.

Jeśli nie masz pwgen zainstalowany, będziesz chciał go zainstalować, aby wygenerować hasło o długości 64 znaków.

sudo apt install pwgen

Następnie uruchom poniższe polecenia, aby wygenerować hasło do użycia w pliku konfiguracyjnym poniżej:

pwgen -N 1-s 96

Skopiuj hasło wyjściowe i użyj go jako swojego hasło_secret w pliku konfiguracyjnym.

hFvp8sWsnNgYa0WuS6ZFkq8aFfQ5tGLBrqSyhvFMTpC1DX1jGsCgzBpi02J6WVlhJN4JiF2Xi9R42q43bpvxaEJCPgAGUvB3

Będziesz także chciał wygenerować wartość skrótu swojego hasła. Uruchom poniższe polecenia, aby przekonwertować hasło administratora na wartość skrótu.

Zastąpić twoje_hasło_tutaj za pomocą hasła administratora.

echo -n twoje_hasło_tutaj | shasum -a 256

Powinien wyświetlić podobny wiersz, jak poniżej:

af65fdd1457c6e3136a14c6b3338fce31181ceaa7efb51c40a86d436fb06dafdf39234

Skopiuj go i użyj jako swojego root_password_sha2 w pliku konfiguracyjnym.

Otwórz konfigurację serwera Graylog i wpisz swoje tajne hasło, jak pokazano poniżej:

sudo nano /etc/graylog/server/server.conf

Zaktualizuj zaznaczone linie sekretem i zapisz plik.

# MUSISZ ustawić sekret, aby zabezpieczyć / zablokować tutaj przechowywane hasła użytkowników. Użyj co najmniej 64 znaków. # Wygenerować jeden za pomocą na przykład: pwgen N 1 -s 96 password_secret = hFvp8sWsnNgYa0WuS6ZFkq8aFfQ5tGLBrqSyhvFMTpC1DX1jGsCgzBpi02J6WVlhJN4JiF2Xi9R42q43bpvxaEJCPgAGUvB3 # Użytkownik domyślny korzeń jest nazwany „admin” #root_username = Admin # Musisz podać hash hasła dla użytkownika root (co tylko potrzeba, aby początkowo skonfiguruj # system i w przypadku utraty połączenia z zapleczem uwierzytelniającym) # Tego hasła nie można zmienić za pomocą interfejsu API ani interfejsu internetowego. Jeśli chcesz to zmienić, # zmodyfikuj w tym pliku. # Utwórz go, używając na przykład: echo -n twoje hasło | shasum -a 256 # i umieść wynikową wartość skrótu w następującym wierszu root_password_sha2 = af65fdd1457c6e3136a14c6b3338fce31181ceaa7efb51c40a86d436fb06dafdf39234 # Adres e-mail użytkownika root. 

Oprócz powyższych ustawień uwzględnij je również w pliku konfiguracyjnym.

root_email = "[email protected]" http_bind_address = 127.0.0.1:9000

Możesz także skonfigurować inne ustawienia Elasticsearch w pliku, które są odpowiednie dla twojego środowiska.

Zapisz plik i wyjdź, a następnie uruchom ponownie serwer Graylog.

sudo systemctl zrestartuj graylog-server

Aby sprawdzić stan usługi Graylog, uruchom poniższe polecenia:

sudo systemctl status graylog-server

Powinien wypisać coś podobnego do poniższych wierszy:

Załadowano: załadowano (/usr/lib/systemd/system/graylog-server.service; włączone; ustawienie dostawcy: włączone) Aktywne: aktywny (bieganie) od czwartku 2020-02-27 18:14:40 CST; 13 s temu Dokumenty: http://docs.graylog.org/ Główny PID: 8163 (graylog-server) Zadania: 86 (limit: 4666) CGroup: /system.slice/graylog-server.service ├─8163 / bin / sh / usr / share / graylog-server / bin / graylog-server └─8164 / usr / bin / java -Xms1g -Xmx1g -XX: NewRatio = 1 -server -XX: + ResizeTLAB -XX: + UseConcMarkSweepGC -XX: + CMSConcurrentMTEnabled -XX: + CMSClassUnloadingEn 27 lutego 18:14:40 ubuntu1804 systemd [1]: Zatrzymano serwer Graylog. 27 lutego 18:14:40 ubuntu1804 systemd [1]: Uruchomiono serwer Graylog.

Na koniec otwórz przeglądarkę i wpisz nazwę hosta serwera lub adres IP zdefiniowany w powyższym pliku konfiguracyjnym, a następnie numer portu 9000

http://example.com:9000

Powinieneś wtedy zobaczyć portal serwera Graylog. Zaloguj się przy użyciu domyślnej nazwy użytkownika administratora i hasła utworzonego powyżej.

Rozpocznij konfigurowanie swojego środowiska

Węzły Graylog akceptują dane za pośrednictwem danych wejściowych. Uruchom lub zakończ dowolną liczbę wejść z pliku System -> Wejścia Strona.

Pierwszym krokiem jest utworzenie danych wejściowych. Dane wejściowe określają metodę, za pomocą której Graylog zbiera dzienniki. Po wyjęciu z pudełka Graylog obsługuje wiele metod gromadzenia dzienników, w tym:

  • Syslog (TCP, UDP, AMQP, Kafka)
  • GELF (TCP, UDP, AMQP, Kafka, HTTP)
  • AWS - AWS Logs, FlowLogs, CloudTrail
  • Beats / Logstash
  • CEF (TCP, UDP, AMQP, Kafka)
  • Ścieżka JSON z HTTP API
  • NetFlow (UDP)
  • Zwykły / surowy tekst (TCP, UDP, AMQP, Kafka

Aby utworzyć wejście, otwórz plik System ==> Wejścia w górnym menu, kliknij strzałkę w rozwijanym polu, wybierz typ danych wejściowych i kliknij zielony przycisk z etykietą Uruchom nowe wejście.

Zwykle ustawienia domyślne są poprawne, ale możesz je zmienić. Niektóre typy danych wejściowych mogą wymagać uwierzytelnienia lub innych informacji specyficznych dla tego źródła.

Wniosek:

Ten post pokazał, jak zainstalować serwer Graylog na Ubuntu 18.04 | 16.04. Jeśli znajdziesz jakikolwiek błąd powyżej, użyj poniższego formularza, aby go zgłosić.

Dzięki,




Jeszcze bez komentarzy

Zbiór przydatnych informacji o systemie operacyjnym Linux i nowych technologiach
Świeże artykuły, praktyczne wskazówki, szczegółowe recenzje i poradniki. Poczuj się jak w domu w świecie systemu operacyjnego Linux