GNU/Linux >> LINUX-Kenntnisse >  >> Ubuntu

Installieren und konfigurieren Sie den Graylog-Überwachungsserver Ubuntu 20.04

Graylog ist ein kostenloses und quelloffenes Protokollverwaltungssoftwaretool, das verwendet werden kann, um Protokolle der Netzwerksysteme vom zentralen Server aus zu überwachen. Es verwendet Elasticsearch, um Protokolldaten zu speichern und Suchfunktionen bereitzustellen, und MongoDB, um Metainformationen zu speichern. Es hilft Ihnen, große Datenmengen in einem einfach lesbaren Format zu überwachen, zu durchsuchen und zu analysieren.

In diesem Tutorial zeigen wir Ihnen, wie Sie Graylog auf einem Ubuntu 20.04-Server installieren.

Voraussetzungen

  • Ein Server mit Ubuntu 20.04.mit mindestens 4 GB RAM
  • Ein Root-Passwort ist konfiguriert auf.

Erste Schritte

Zuerst müssen Sie Ihre Systempakete auf die neueste Version aktualisieren. Sie können sie alle mit dem folgenden Befehl aktualisieren:

apt-get update -y

Nachdem Sie alle Pakete aktualisiert haben, müssen Sie auch einige Abhängigkeiten auf Ihrem Server installieren. Sie können alle mit dem folgenden Befehl installieren:

apt-get install apt-transport-https gnupg2 uuid-runtime pwgen curl dirmngr -y

Sobald alle erforderlichen Abhängigkeiten installiert sind, können Sie mit dem nächsten Schritt fortfahren.

Installieren Sie Java

Graylog erfordert die Installation von Java auf Ihrem Server. Wenn es nicht installiert ist, können Sie es mit dem folgenden Befehl installieren:

apt-get install openjdk-11-jre-headless -y

Sobald Java installiert ist, können Sie die installierte Version von Java überprüfen, indem Sie den folgenden Befehl ausführen:

Java-Version

Sie sollten die folgende Ausgabe erhalten:

openjdk version „11.0.8“ 2020-07-14OpenJDK Runtime Environment (build 11.0.8+10-post-Ubuntu-0ubuntu120.04)OpenJDK 64-Bit Server VM (build 11.0.8+10-post-Ubuntu -0ubuntu120.04, gemischter Modus, Teilen)

Wenn Sie fertig sind, können Sie mit dem nächsten Schritt fortfahren.

Installieren und konfigurieren Sie Elasticsearch

Graylog verwendet Elasticsearch, um Protokolle zu speichern, die von der externen Ressource stammen. Daher müssen Sie Elasticsearch auf Ihrem System installieren.

Standardmäßig ist die neueste Version von Elasticsearch nicht im Ubuntu-Standard-Repository verfügbar. Sie müssen also das Elasticsearch-Repository in Ihrem System hinzufügen.

Laden Sie zuerst den Elasticsearch GPG-Schlüssel herunter und fügen Sie ihn mit dem folgenden Befehl hinzu:

wget -qO - https://artifacts.elastic.co/GPG-KEY-elasticsearch | apt-key add -

Fügen Sie als Nächstes das Elasticsearch-Repository mit dem folgenden Befehl hinzu:

echo "deb https://artifacts.elastic.co/packages/oss-6.x/apt stable main" | sudo tee -a /etc/apt/sources.list.d/elastic-6.x.list

Aktualisieren Sie als Nächstes das Repository und installieren Sie Elasticsearch mit dem folgenden Befehl:

apt-get update -y
apt-get install elasticsearch-oss -y

Nach der Installation von Elasticsearch müssen Sie die Elasticsearch-Konfigurationsdatei bearbeiten und den Clusternamen definieren. Sie können dies mit dem folgenden Befehl tun:

nano /etc/elasticsearch/elasticsearch.yml

Definieren Sie Ihren Clusternamen in Graylog und fügen Sie die weitere Zeile wie unten gezeigt hinzu:

cluster.name:greylogaction.auto_create_index:false

Speichern und schließen Sie die Datei, wenn Sie fertig sind. Starten Sie dann den Elasticsearch-Dienst und ermöglichen Sie ihm, beim Booten mit dem folgenden Befehl zu starten:

systemctl daemon-reload
systemctl starte elastische Suche
systemctl aktiviere elastische Suche

Sie können den Status des Elasticsearch-Dienstes auch mit dem folgenden Befehl überprüfen:

Systemctl Status ElasticSearch

Sie sollten die folgende Ausgabe erhalten:

? elasticsearch.service - Elasticsearch Geladen:geladen (/lib/systemd/system/elasticsearch.service; deaktiviert; Herstellervoreinstellung:aktiviert) Aktiv:aktiv (läuft) seit Sa 05.09.2020 08:41:18 UTC; Vor 9 Sekunden Dokumente:http://www.elastic.co Haupt-PID:7085 (Java) Aufgaben:17 (Grenze:2353) Speicher:1,1 GB CGroup:/system.slice/elasticsearch.service ??7085 /bin/java - Xms1g -Xmx1g -XX:+UseConcMarkSweepGC -XX:CMSInitiatingOccupancyFraction=75 -XX:+UseCMSInitiatingOccupancyOnly ->Sep 05 08:41:18 ubuntu2004 systemd[1]:Started Elasticsearch.

Überprüfen Sie nun die Elasticcsearch-Antwort mit dem folgenden Befehl:

curl -X GET http://localhost:9200

Sie sollten die folgende Ausgabe erhalten:

{ „name“ :„vzg8H4j“, „cluster_name“ :„graylog“, „cluster_uuid“ :„6R9SlXxNSUGe6aclcJa9VQ“, „version“ :{ „number“ :„6.8.12“, „build_flavor“ :„oss“ , „build_type“ :„deb“, „build_hash“ :„7a15d2a“, „build_date“ :„2020-08-12T07:27:20.804867Z“, „build_snapshot“ :false, „lucene_version“ :„7.7.3“, "minimum_wire_compatibility_version" :"5.6.0", "minimum_index_compatibility_version" :"5.0.0" }, "tagline" :"You Know, for Search"}

MongoDB-Server installieren

Graylog verwendet MongoDB als Datenbank. Sie müssen also die MongoDB-Datenbank auf Ihrem Server installieren. Sie können es mit dem folgenden Befehl installieren:

apt-get install mongodb-server -y

Sobald die MongoDB installiert ist, starten Sie den MongoDB-Dienst und ermöglichen Sie ihm, beim Systemneustart mit dem folgenden Befehl zu starten:

systemctl start mongodb
systemctl aktiviert mongodb

Wenn Sie fertig sind, können Sie mit dem nächsten Schritt fortfahren.

Graylog installieren und konfigurieren

Standardmäßig ist das Graylog-Paket nicht im Ubuntu-Standard-Repository verfügbar. Sie müssen also das Graylog-Repository auf Ihrem Server installieren.

Sie können das Graylog-Repository-Paket mit dem folgenden Befehl herunterladen:

wget https://packages.graylog2.org/repo/packages/graylog-3.3-repository_latest.deb

Sobald der Download abgeschlossen ist, installieren Sie das heruntergeladene Paket mit dem folgenden Befehl:

dpkg -i graylog-3.3-repository_latest.deb

Aktualisieren Sie als Nächstes das Repository und installieren Sie den Graylog-Server mit dem folgenden Befehl:

apt-get update -y
apt-get install Graylog-Server -y

Nach der Installation des Graylog-Servers müssen Sie ein Geheimnis generieren, um die Benutzerkennwörter zu sichern. Sie können es mit dem folgenden Befehl generieren:

pwgen -N 1 -s 96

Sie sollten die folgende Ausgabe sehen:

Wv4VQWCAA9sRbL7pxPeY7tb9lSo50esEWgNXxXHypx0Og3CezMmQLdF2QzQdRSIXmNXKINjRvZpPTrvZv4k4NlJrFYTfOc3c

Als nächstes müssen Sie auch ein sicheres Passwort für den Graylog-Administratorbenutzer generieren. Sie benötigen dieses Passwort, um sich bei der Graylog-Weboberfläche anzumelden. Sie können es mit dem folgenden Befehl generieren:

echo -n Passwort | sha256sum

Sie sollten die folgende Ausgabe sehen:

5e884898da28047151d0e56f8dc6292773603d0d6aabbdd62a11ef721d1542d8 -

Bearbeiten Sie nun die Hauptkonfigurationsdatei von Graylog und definieren Sie beide Passwörter:

nano /etc/graylog/server/server.conf

Fügen Sie beide Passwörter ein, die Sie oben generiert haben, wie unten gezeigt:

 password_secret =Wv4VQWCAA9sRbL7pxPeY7tb9lSo50esEWgNXxXHypx0Og3CezMmQLdF2QzQdRSIXmNXKINjRvZpPTrvZv4k4NlJrFYTfOc3croot_password_sha2 =5e884898da28047151d0e56f8dc6292773603d0d6aabbdd62a11ef721d1542d8

Als nächstes müssen Sie Ihrem Server auch eine Bindungsadresse wie unten gezeigt definieren:

http_bind_address =127.0.0.1:9000

Speichern und schließen Sie die Datei, wenn Sie fertig sind, starten Sie dann den Graylog-Dienst und ermöglichen Sie ihm, beim Systemneustart mit dem folgenden Befehl zu starten:

systemctl daemon-reload
systemctl start Graylog-Server
systemctl enable Graylog-Server

Als Nächstes können Sie den Status des Graylog-Servers mit dem folgenden Befehl überprüfen:

Systemctl-Status Graylog-Server

Sie sollten die folgende Ausgabe sehen:

? Graylog-Server.service - Graylog-Server Geladen:geladen (/lib/systemd/system/graylog-server.service; deaktiviert; Herstellervoreinstellung:aktiviert) Aktiv:aktiv (läuft) seit Sa 2020-09-05 08:50:16 KOORDINIERTE WELTZEIT; Vor 15 Minuten Dokumente:http://docs.graylog.org/ Haupt-PID:8693 (graylog-server) Aufgaben:156 (Grenze:2353) Speicher:865,0 MB CGroup:/system.slice/graylog-server.service ??8693 /bin/sh /usr/share/graylog-server/bin/graylog-server ??8726 /usr/bin/java -Xms1g -Xmx1g -XX:NewRatio=1 -server -XX:+ResizeTLAB -XX:+UseConcMarkSweepGC - XX:+CMSConcurrentMTEnabled -XX>Sep 05 08:50:16 ubuntu2004 systemd[1]:Graylog-Server gestartet.

Sie können das Graylog-Serverprotokoll auch mit dem folgenden Befehl überprüfen:

tail -f /var/log/graylog-server/server.log

Sobald der Graylog-Server erfolgreich gestartet wurde, sollten Sie die folgende Ausgabe erhalten:

2020-09-05T08:51:36.473Z INFO [ServerBootstrap] Dienste gestartet, Startzeiten in ms:{InputSetupService [RUNNING]=59, JobSchedulerService [RUNNING]=105, GracefulShutdownService [RUNNING]=106, OutputSetupService [RUNNING ]=110, BufferSynchronizerService [LÄUFT]=111, UrlWhitelistService [LÄUFT]=153, JournalReader [LÄUFT]=166, KafkaJournal [LÄUFT]=222, MongoDBProcessingStatusRecorderService [LÄUFT]=240, ConfigurationEtagService [LÄUFT]=259, EtagService [LÄUFT] =302, StreamCacheService [LÄUFT]=306, LookupTableService [LÄUFT]=376, PeriodicalsService [LÄUFT]=655, JerseyService [LÄUFT]=58701}2020-09-05T08:51:36.477Z INFO [ServerBootstrap] Graylog-Server läuft .

An diesem Punkt wird der Graylog-Server gestartet und überwacht Port 9000.

Konfigurieren Sie Nginx als Reverse-Proxy für Graylog

Als Nächstes müssen Sie Nginx als Reverse-Proxy installieren und konfigurieren, um auf den Graylog-Server zuzugreifen.

Installieren Sie zuerst den Nginx-Server mit dem folgenden Befehl:

apt-get install nginx -y

Erstellen Sie nach der Installation des Nginx-Servers mit dem folgenden Befehl eine neue Konfigurationsdatei für den virtuellen Nginx-Host:

nano /etc/nginx/sites-available/graylog.conf

Fügen Sie die folgenden Zeilen hinzu:

server {listen 80; Servername Graylog.example.org; Ort / { Proxy_set_header Host $http_host; Proxy_set_header X-Forwarded-Host $host; proxy_set_header X-Forwarded-Server $host; Proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; Proxy_Set_Header X-Graylog-Server-URL http://$Servername/; Proxy_Pass http://127.0.0.1:9000; }}

Speichern und schließen Sie die Datei, wenn Sie fertig sind. Überprüfen Sie dann Nginx mit dem folgenden Befehl auf Syntaxfehler:

nginx -t

Sie sollten die folgende Ausgabe erhalten:

nginx:Die Syntax der Konfigurationsdatei /etc/nginx/nginx.conf ist oknginx:Der Test der Konfigurationsdatei /etc/nginx/nginx.conf ist erfolgreich

Aktivieren Sie als Nächstes die Konfigurationsdatei des virtuellen Nginx-Hosts mit dem folgenden Befehl:

ln -s /etc/nginx/sites-available/graylog.conf /etc/nginx/sites-enabled/

Starten Sie abschließend den Nginx-Dienst neu, um die Änderungen zu übernehmen:

systemctl startet nginx neu

Überprüfen Sie als Nächstes den Status des Graylog mit dem folgenden Befehl:

systemctl status nginx

Sie sollten die folgende Ausgabe erhalten:

? nginx.service - Ein Hochleistungs-Webserver und ein Reverse-Proxy-Server Geladen:geladen (/lib/systemd/system/nginx.service; aktiviert; Herstellervoreinstellung:aktiviert) Aktiv:aktiv (läuft) seit Sa 2020-09-05 09 :07:50 UTC; vor 20s Dokumente:man:nginx(8) Prozess:9408 ExecStartPre=/usr/sbin/nginx -t -q -g daemon on; master_process an; (code=beendet, status=0/SUCCESS) Prozess:9419 ExecStart=/usr/sbin/nginx -g daemon on; master_process an; (code=exited, status=0/SUCCESS) Main PID:9423 (nginx) Tasks:3 (limit:2353) Memory:10.2M CGroup:/system.slice/nginx.service ??9423 nginx:master process /usr/ sbin/nginx -g Daemon an; master_process an; 9424 Nginx:Arbeitsprozess 1]:Gestartet Ein Hochleistungs-Webserver und ein Reverse-Proxy-Server.

Zugriff auf das Graylog-Webinterface

Öffnen Sie nun Ihren Webbrowser und geben Sie die URL http://graylog.example.com ein. Sie werden wie unten gezeigt zur Anmeldeseite von Graylog weitergeleitet:

Geben Sie Ihren Admin-Benutzernamen und Ihr Passwort ein und klicken Sie auf Anmelden Taste. Sie sollten das Graylog-Dashboard auf der folgenden Seite sehen:

Klicken Sie nun auf System>> Übersicht . Sie sollten den Status des Graylog-Servers auf der folgenden Seite sehen:

Schlussfolgerung

Herzliche Glückwünsche! Sie haben erfolgreich den Graylog-Server mit Nginx als Reverse-Proxy auf Ubuntu 20.04 installiert und konfiguriert. Sie können jetzt das Graylog durchsuchen und eine Eingabe erstellen, um Rsyslog-Protokolle von externen Quellen zu erhalten. Fühlen Sie sich frei, mich zu fragen, wenn Sie irgendwelche Fragen haben.


Ubuntu

  1. So installieren und verwenden Sie Elasticsearch unter Ubuntu 20.04

  2. So installieren und konfigurieren Sie den DHCP-Server unter Ubuntu 20.04

  3. So installieren und konfigurieren Sie den Redis-Server in Ubuntu

  4. Verwenden von Ansible zum Installieren und Konfigurieren von Elasticsearch unter Ubuntu 20.04

  5. So installieren und konfigurieren Sie Elasticsearch unter Ubuntu 20.04

So installieren und konfigurieren Sie LAMP Server unter Ubuntu

So installieren und konfigurieren Sie den OpenLDAP-Server unter Ubuntu 16.04

So installieren und konfigurieren Sie den VNC-Server unter Ubuntu 20.04

So installieren und konfigurieren Sie VNC auf Ubuntu Server 20.04

So installieren und konfigurieren Sie Elasticsearch unter Ubuntu 20.04

Installieren Sie Graylog Monitoring Server auf CentOS 8