Настройка graylog для linux

Установка Graylog на Ubuntu 18.04

Описание установки системы сбора логов Graylog на виртуальный сервер под управлением операционной системы Ubuntu 18.04.

Что такое Graylog?

В крупных корпорациях, как правило, одновременно работает много систем и приложений, что усложняет ведение журнала ошибок. Для эффективного управления этими записями используются специализированные инструменты для их централизации.

Graylog — это профессиональное приложение, которое предоставляет унифицированную и централизованную систему сообщений из разных источников: операционной системы, приложений, информационных систем с целью централизации и упрощения администрирования журналов ошибок или логов.

Предварительные требования

1. Для работы Graylog рекомендуемый объем оперативной памяти на виртуальном сервере — не менее 2Gb.
2. Метаданные Graylog хранятся в СУБД MongoDB, для ее установки можно воспользоваться нашей инструкцией.

Обновление системы и установка Oracle JDK

Обновите локальную базу пакетов:
apt update && apt upgrade

Далее установите OpenJDK и дополнительные пакеты:
apt install apt-transport-https uuid-runtime pwgen openjdk-8-jre-headless

Установка Elasticsearch

Graylog требует установки Elasticsearch, масштабируемого приложения, которое позволяет выполнять поиск данных в реальном времени, а также хранить и анализировать.

Выполните базовую установку Elasticsearch. Сначала необходимо загрузить GPG-ключ:
wget -qO — https://artifacts.elastic.co/GPG-KEY-elasticsearch | apt-key add —

Загрузите deb-пакет:
echo «deb https://artifacts.elastic.co/packages/5.x/apt stable main» | sudo tee -a /etc/apt/sources.list.d/elastic-5.x.list

Обновите локальную базу пакетов и установите Elasticsearch:
apt update && apt install elasticsearch

Далее разрешите запуск приложения после загрузки ОС и запусти его:
systemctl enable elasticsearch
systemctl start elasticsearch

В файле конфигурации необходимо изменить название кластера. С помощью текстового редактора vi откройте следующий файл:
nano /etc/elasticsearch/elasticsearch.yml

Найдите следующий параметр cluster.name и установите имя кластера:
сluster.name: graylog

Также в конец файла добавьте следующие строки:
script.inline: false
script.indexed: false
script.file: false

Сохраните внесенные изменения и перезапустите Elasticsearch:
systemctl restart elasticsearch

Установка Graylog

С помощью команды wget загрузите пакет graylog:
wget https://packages.graylog2.org/repo/packages/graylog-2.4-repository_latest.deb

Выполните установку пакета:
dpkg -i graylog-2.4-repository_latest.deb

Обновите информацию о пакетах и запустите процесс установки Graylog:
apt update && apt install graylog-server

После завершения установки необходимо отредактировать файл конфигурации, чтобы установить в нем пароль. Пароль должен содержать 64 символа, для его генерации рекомендуем использовать pwgen:
pwgen -N 1 -s 96

В результате, в консоль будет выведена строка, пример:
iQflncka906AZkfcJtMAuuehAjMoj9MfDiYnrj6NDIFaprVY3jP6rQszcd56MwGT4Ra0ckoxpeZnxbpg2pJPEUTa0qYaNtDw

Далее с помощью откройте файл конфигурации:
vi /etc/graylog/server/server.conf

Установите параметру password_secret значение сгенерированного пароля, например:
password_secret = iQflncka906AZkfcJtMAuuehAjMoj9MfDiYnrj6NDIFaprVY3jP6rQszcd56MwGT4Ra0ckoxpeZnxbpg2pJPEUTa0qYaNtDw

Далее сгенерируйте хеш для пароля пользователя admin, указав значение пароля:
echo -n ваш_пароль | sha256sum

В результате будет выведена строка следующего вида:
6c8ccf159a4b150dc29e7b013b1d04700821a5c44a17f6d85dd6e317f7b4e209 —

Установите параметру root_password_sha2 значение сгенерированного пароля, например:
root_password_sha2 = 6c8ccf159a4b150dc29e7b013b1d04700821a5c44a17f6d85dd6e317f7b4e209

Также заполните параметр root_email:
root_email = “example@domain.com”

В конец файла добавьте следующую строку, указав IP-адрес вашего VPS:
elasticsearch_discovery_zen_ping_unicast_hosts = :9300

Например:
elasticsearch_discovery_zen_ping_unicast_hosts = 121.123.123.121:9300

Далее необходимо изменить адрес web-интерфейса и апи, для этого найдите следующие строки и замените IP-адрес на адрес вашего виртуального сервера:
web_listen_uri = http:// :9000/
web_listen_uri = http:// :9000/

Примечание: при необходимости также можно изменить порт.

Сохраните изменения в файле конфигурации.

Перезапустите сервис для применения изменений:
systemctl restart graylog-server

Проверить статус сервиса можно с помощью следующей команды:
systemctl status graylog-server

Подключение к web-интерфейсу Graylog

Для подключения к Web-интерфейсу Graylog для начала необходимо открыть соответствующий порт, по умолчанию мы везде используем 9000. Открыть порт можно с помощью межсетевого экрана прямо в панели управления или на уровне сервера с помощью простой утилиты iptables:
iptables -A INPUT -p tcp —dport 9000 -j ACCEPT
iptables-save

После этого в браузере можно перейти по следующей ссылке:
:9000

На открывшейся странице введите логин admin и созданный ранее пароль:

Подготовка интерфейса может занять несколько дней:

Теперь вы можете приступать к работе с Graylog:

Источник

Как установить Graylog Server на Ubuntu 20.04 с Let’s Encrypt SSL

Как установить Graylog Server на Ubuntu 20.04 с Let’s Encrypt SSL

Graylog — это инструмент для агрегирования и управления журналами с открытым исходным кодом, который можно использовать для хранения, анализа и отправки предупреждений из собранных журналов. Graylog можно использовать для анализа как структурированных, так и неструктурированных журналов с помощью ElasticSearch и MongoDB. Это включает в себя множество систем, включая системы Windows, системы Linux, различные приложения, микросервисы и т. Д.

Graylog упрощает анализ и мониторинг этих систем и приложений с одного хоста.

Graylog состоит из следующих компонентов:

• Сервер Graylog
• MongoDB
• ElasticSearch

Давайте быстро перейдем к установке сервера Graylog на хосте Ubuntu 20.04. Затем мы настроим SSL с помощью Let’sEncrypt.

Для этого нам нужно установить Nginx, который будет выступать в качестве обратного прокси в нашей системе.

Необходимые условия для установки

Прежде чем мы сможем установить на ваш компьютер, убедитесь, что ваш хост соответствует следующим минимальным требованиям:

• 4 ядра процессора
• 8 ГБ RAM
• Пространство на жестком диске SSD с высоким IOPS для хранилища журналов Elasticsearch
• Ubuntu 20.04 LTS установлен и обновлен.
• Все пакеты обновлены

При соблюдении вышеуказанных условий приступим к процессу установки.

Шаг 1. Установите Java в Ubuntu 20.04.

Для установки Graylog требуется Java версии 8 и выше.
В этом посте мы будем использовать открытый JDK 11

Вы можете проверить версию java, которую вы только что установили, с помощью java -version команды:

Шаг 2. Установите Elasticsearch в Ubuntu 20.04.

Эластичный поиск — это инструмент, который используется для хранения и анализа входящих журналов из внешних источников. Он использует веб-интерфейс RESTful API.

Загрузите и установите ключ подписи Elasticsearch GPG.

Добавьте репозиторий Elasticsearch в список источников:

Настройте имя кластера для Graylog.

Измените имя кластера на graylog

Добавьте следующую информацию в тот же файл

Перезагрузите демон при запуске службы Elasticsearch.

Вы можете проверить статус услуги:

Elasticsearch работает на порту 9200, и это можно сделать вирусом с помощью curl команды:

Вы должны увидеть имя своего кластера в выводе.

Шаг 3 — Установите MongoDB в Ubuntu 20.04

Загрузите и установите mongoDB из базового репозитория Ubuntu.

Шаг 4 — Установите Graylog Server в Ubuntu 20.04

Скачайте и настройте репозиторий Graylog.

Установите сервер Graylog:

Сгенерируйте секрет для защиты паролей пользователей с помощью pwgen команды.

Результат должен выглядеть так:

Отредактируйте файл конфигурации graylog, чтобы добавить только что созданный секрет:

Найдите password_secret = строку и добавьте после нее созданный выше секрет.

Также добавьте в /etc/graylog/server/server.conf файл следующие строки.

Следующим шагом является создание хеш-пароля sha256 для администратора. Это пароль, который вам понадобится для входа в веб-интерфейс.

Замените «Str0ngPassw0rd» паролем по вашему выбору.

Вы получите такой вывод:

Отредактируйте /etc/graylog/server/server.conf файл, затем поместите хэш-пароль в root_password_sha2 =

Graylog теперь настроен и готов к использованию.

Запустите сервис Graylog:

Вы можете проверить, успешно ли запустилась служба, из журналов:

Шаг 5 — Настройте SSL с помощью Let’s Encrypt

Следующим шагом является настройка SSL, чтобы мы могли получить доступ к веб-интерфейсу Graylog через HTTPS.

Для этого нам понадобится следующее:

• Полное доменное имя (FQDN)
• Nginx
• Сертификат Let’sEncrypt

Выполните следующие действия, чтобы установить и настроить ngiinx.

1. Обновить систему и установить nginx

2. Настройте брандмауэр.

3. Создайте виртуальный хост с вашим доменным именем.

Создайте файл, /etc/nginx/sites-available/ например,

Добавьте в файл следующее:

Не забудьте заменить graylog.yourdomain.com своим полным доменным именем .

4. Создайте символическую ссылку только что созданного файла /etc/nginx/sites-available на /etc/nginx/sites-enabled

5. Проверьте, в порядке ли конфигурация nginx, запустив nginx -t команду.

6. Установите Let’sEncrypt с помощью certbot.

7. Запустите certbot для nginx.

Вы успешно получили SSL для нашего домена.

Следующим шагом является настройка обратного прокси-сервера на Nginx, который будет использоваться для обслуживания Graylog, который работает на том же хосте на порту 9000.

Отредактируйте /etc/nginx/sites-available/graylog.yourdomain.com.conf файл и добавьте в Location раздел следующую конфигурацию .

Окончательный файл конфигурации должен выглядеть так:

Проверьте свою конфигурацию nginx, nginx -t просто чтобы убедиться, что ваша конфигурация nginx в порядке.

Теперь перезапустите службу nginx.

После того, как все это будет запущено, вы сможете получить доступ к панели управления серым журналом, введя https://graylog.yourdomain.com .

Не забудьте заменить graylog.yourdomain.com свое полное доменное имя.

Имя пользователя по умолчанию для Graylog — admin, а пароль мы настроили на шаге 4 (Установка сервера Graylog) выше. В моем случае это будет «Str0ngPassw0rd».

Теперь вы можете начать использовать свою веб-панель Graylog, настроенную с использованием SSL.

Заключение

Мы успешно установили сервер Graylog, настроили SSL через Nginx в качестве обратного прокси-сервера и смогли войти в веб-интерфейс.

Настройка SSL на сервере Graylog важна для защиты вашей системы.

Если вы столкнетесь с какой-либо проблемой в процессе установки, не стесняйтесь комментировать или задавать любые вопросы в разделе комментариев.

Источник

Как установить Graylog в Ubuntu 20.04 LTS

Как установить Graylog в Ubuntu 20.04 LTS

В этом руководстве мы покажем вам, как установить Graylog на Ubuntu 20.04 LTS. Для тех из вас, кто не знал, Graylog — это бесплатный мощный инструмент централизованного управления журналами с открытым исходным кодом, основанный на Elasticsearch и MongoDB. Graylog помогает централизованно собирать, индексировать и анализировать журналы любых машин.

В этой статье предполагается, что у вас есть хотя бы базовые знания Linux, вы знаете, как использовать оболочку, и, что наиболее важно, вы размещаете свой сайт на собственном VPS. Установка довольно проста и предполагает, что вы работаете с учетной записью root, в противном случае вам может потребоваться добавить ‘ sudo ‘ к командам для получения привилегий root. Я покажу вам пошаговую установку Graylog на сервере Ubuntu 20.04 (Focal Fossa). Вы можете следовать тем же инструкциям для Ubuntu 18.04, 16.04 и любого другого дистрибутива на основе Debian, например Linux Mint.

Установите Graylog на Ubuntu 20.04 LTS Focal Fossa

Шаг 1. Во-первых, убедитесь, что все ваши системные пакеты обновлены, выполнив следующие apt команды в терминале.

Шаг 2. Установка Java.

Для настройки Graylog требуется Java. Вы можете использовать OpenJDK или Oracle JDK на своем компьютере, чтобы продолжить:

Проверьте версию Java:

Шаг 3. Установка Elasticsearch.

Выполните следующую команду, чтобы импортировать ключ GPG репозитория:

Теперь добавьте в систему репозиторий Elasticsearch:

Затем запустите apt update, затем установите пакет Elasticsearch в свою систему Ubuntu:

Служба Elasticsearch не запускается автоматически после завершения процесса установки. Чтобы запустить службу и включить ее, выполните следующие действия:

Теперь отредактируйте файл конфигурации Elasticsearch, чтобы задать имя кластера для настройки Graylog:

Сделайте следующие изменения:

После этого запустите сервис Elasticsearch, чтобы прочитать новые конфигурации:

Чтобы убедиться, что Elasticsearch запущен, используйте curl для отправки HTTP-запроса на порт 9200 на локальном хосте:

Вы должны увидеть что-то похожее на это:

Шаг 4. Установка MongoDB.

По умолчанию последняя версия MongoDB недоступна в репозитории Ubuntu 20.04 по умолчанию. Поэтому вам нужно будет добавить официальный репозиторий MongoDB в вашу систему:

Затем добавьте репозиторий MongoDB с помощью следующей команды:

После этого обновите свою систему и обновите существующие репозитории, выполнив следующие команды:

После завершения установки запустите службу MongoDB и включите ее запуск при перезагрузке с помощью следующей команды:

Шаг 5. Установка Graylog в Ubuntu 20.04.

Graylog недоступен в репозитории Ubuntu 20.04 по умолчанию, вам необходимо загрузить и установить репозиторий Graylog в вашу систему:

Обновите кеш репозитория и установите сервер Graylog, используя следующую команду:

После установки Graylog Server вам необходимо сгенерировать секретный ключ для Graylog, используя следующую команду:

Затем создайте хэш-пароль для пользователя root, который можно использовать для входа на веб-сервер Graylog, используя следующую команду:

Следующие шаги отредактируйте файл server.conf:

Внесите изменения в файл, как показано ниже:

После того, как вы изменили файл конфигурации, вы можете запустить Graylog Service с помощью следующих команд:

Шаг 6. Доступ к веб-интерфейсу Graylog.

Graylog будет доступен по HTTP-порту 9000 по умолчанию. Откройте свой любимый браузер, перейдите по адресу http://your-domain.com:9000 или http: // your-ip-address: 9000 и выполните необходимые шаги для завершения установки.

Поздравляю! Вы успешно установили Graylog . Благодарим за использование этого руководства по установке Graylog в системе Ubuntu 20.04 LTS Focal Fossa. Для получения дополнительной помощи или полезной информации мы рекомендуем вам посетить официальный сайт Graylog .

Источник