Graylog ist die zentralisierte Open-Source-Protokollverwaltungslösung, die eine Echtzeitanalyse, -suche und -überwachung großer Mengen von Maschinendaten ermöglicht. Es wurde in Hamburg, Deutschland, mit dem Ziel entwickelt, eine robustere und benutzerfreundlichere Analyseplattform, schnellere Analysegeschwindigkeiten, einfache Verwaltung und Infrastrukturverwaltung bereitzustellen.
In diesem Artikel lernen wir, wie Graylog in Ubuntu 20.04 LTS installiert und konfiguriert wird.
Voraussetzungen
Bevor Sie mit der Installation von Graylog fortfahren, müssen Sie die folgenden Dinge einrichten,
- Oracle Java SE 8 (OpenJDK 8) als Elasticsearch ist ein Java-basiertes Projekt.
- Elasticsearch 6.8 und Version 7 bis 7.10 als neuere Version werden von Graylog nicht unterstützt.
- MongoDB (4.0, 4.2 oder 4.4).
Graylog installieren
Beginnen wir mit der Installation, da Java 8 erforderlich ist, um Elasticsearch auszuführen. Wir werden einige zusätzliche Pakete benötigen und diese zusammen mit ihnen installieren.
$ sudo apt update
$ sudo apt-get install openjdk-8-jre-headless pwgen apt-transport-https uuid-runtime
Nach der Installation von Java können Sie die Installation mit dem folgenden Befehl überprüfen.
$ java -version
Lassen Sie uns nun Elasticsearch installieren. Zuerst müssen wir mit dem folgenden Befehl ein Paket-Repository zu unserer Systempaket-Repository-Liste hinzufügen.
$ wget -qO - https://artifacts.elastic.co/GPG-KEY-elasticsearch | sudo apt-key add -
$ echo "deb https://artifacts.elastic.co/packages/oss-7.x/apt stable main" | sudo tee -a /etc/apt/sources.list.d/elastic-7.x.list
Installieren Sie dann Elasticsearch mit dem apt-Befehl.
$ sudo apt update
$ sudo apt install elasticsearch-oss
Sobald die Installation von Elasticsearch abgeschlossen ist, aktualisieren Sie die folgende Zeile in der Konfigurationsdatei.
$ sudo vim /etc/elasticsearch/elasticsearch.yml
cluster.name: graylog
action.auto_create_index: false
Aktivieren Sie jetzt den Dienst und starten Sie ihn neu, um die Änderung zu übernehmen.
$ sudo systemctl daemon-reload
$ sudo systemctl restart elasticsearch.service
$ sudo systemctl enable elasticsearch.service
Als Nächstes installieren wir eine Datenbank für Graylog. Graylog verwendet MongoDB als Datenbank zum Speichern von Daten. Zuerst müssen wir mit dem folgenden Befehl einen öffentlichen GPG-Schlüssel für das Repository registrieren.
$ sudo apt install gnupg
$ wget -qO - https://www.mongodb.org/static/pgp/server-4.4.asc | sudo apt-key add -
Laden Sie jetzt das Paket-Repository herunter und fügen Sie es der Systempaket-Repository-Liste hinzu. Führen Sie dazu
aus$ echo "deb [ arch=amd64,arm64 ] https://repo.mongodb.org/apt/ubuntu focal/mongodb-org/4.4 multiverse" | sudo tee /etc/apt/sources.list.d/mongodb-org-4.4.list
Installieren Sie schließlich MongoDB mit dem apt-Befehl.
$ sudo apt update
$ sudo apt install -y mongodb-org
Und um eine bestimmte Version von MongoDB zu installieren, führen Sie zusammen mit der bevorzugten Version
aus$ sudo apt install -y mongodb-org-mongos=4.4.6 mongodb-org=4.4.6 mongodb-org-tools=4.4.6 mongodb-org-shell=4.4.6 mongodb-org-server=4.4.6
Aktivieren Sie nun die MongoDB und starten Sie sie mit dem Befehl systemctl neu,
$ sudo systemctl enable mongod
$ sudo systemctl restart mongod
Hinweis:Wenn Sie während der Laufzeit „mongod.service:Main process exited, code=exited, status=14/n/a“ erhalten, führen Sie den folgenden Befehl aus.
$ sudo chown -R mongodb:mongodb /var/lib/mongodb
$ sudo chown mongodb:mongodb /tmp/mongodb-27017.sock
$ sudo systemctl restart mongod
Zuletzt installieren Sie den Graylog-Server, nachdem alle vorausgesetzten Pakete installiert sind. Um Graylog zu installieren, laden Sie zuerst das deb-Paket herunter, parsen Sie es dann mit dem dpkg-Befehl und installieren Sie es schließlich.
$ wget https://packages.graylog2.org/repo/packages/graylog-4.1-repository_latest.deb
$ sudo dpkg -i graylog-4.1-repository_latest.deb
$ sudo apt update
$ sudo apt -y install graylog-server
Aktivieren Sie nun das Graylog mit dem Befehl systemctl,
$ sudo systemctl enable graylog-server.service
Graylog konfigurieren
Wir haben alle Pakete installiert, die zum Ausführen von Graylog erforderlich sind, aber es ist noch nicht betriebsbereit. Bevor wir mit der Verwendung von Graylog beginnen, müssen wir password_secret und root_password_sh2 konfigurieren. Der Standardpfad für die Konfigurationsdatei ist /etc/graylog/server/server.conf und wir verwenden den sed-Befehl, um das von pwgen generierte Passwort einzufügen.
Für password_secret verwenden wir den Befehl pwgen, um ein zufälliges Passwort mit 128 Zeichen zu generieren. Führen Sie zur Installation
aus$ sudo apt install pwgen
Jetzt generieren wir mit dem folgenden Befehl ein Passwort und fügen es mit dem Befehl sed ein. Führen Sie dazu
aus$ sudo -E sed -i -e "s/password_secret =.*/password_secret = $(pwgen -s 128 1)/" /etc/graylog/server/server.conf
Als Nächstes generieren wir das SHA 256-Hash-Passwort für root_password mit dem folgenden Befehl. Vergessen Sie nicht, Ihr_Passwort durch das tatsächliche Passwort zu ersetzen.
$ sudo sed -i -e "s/root_password_sha2 =.*/root_password_sha2 = $(echo -n 'your_password' | shasum -a 256 | cut -d' ' -f1)/" /etc/graylog/server/server.conf
Zuletzt konfigurieren Sie eine Domain für das Graylog mit Ihrem bevorzugten Editor.
$ sudo vim /etc/graylog/server/server.conf
Dann suchen und setzen Sie den Wert der Variablen in der Konfiguration auf folgende Weise.
http_bind_address = your_server_ip:9000 http_external_uri= http://your_server_ip or domain:9000/
Schreiben und beenden Sie dann die Datei.
Sobald alles eingestellt ist, starten Sie den Graylog-Server mit dem Befehl systemctl neu, um die Änderungen zu übernehmen.
$ sudo systemctl restart graylog-server.service
Testen des Graylog-Servers
Jetzt ist alles einsatzbereit. Wenn Sie Ihre konfigurierte http_external_url besuchen, können Sie die Weboberfläche wie unten sehen.
Authentifizieren Sie sich dann mit dem Admin-Benutzernamen und verwenden Sie als Passwort das Klartext-Passwort, das Sie beim Hashing verwendet haben.
Schlussfolgerung
Vielen Dank für das Lesen bis zum Ende, auch wenn Sie ein Neuling oder Profi sind. Ich hoffe, Sie haben eine klare Einstellung zum Konfigurieren und Installieren von Graylog in Ubuntu. Jetzt können Sie mit dem Log über den Graylog-Server arbeiten.