Dieses Tutorial hilft den Benutzern, Graylog auf einem Ubuntu 20.04 LTS-Server zu installieren und zu verwenden, um Systemprotokolldaten zentral an einem Ort zu sammeln und zu analysieren.
Graylog ist ein Open-Source-Tool, das eine integrierte Plattform zum Sammeln, Indizieren und Analysieren von Protokolldaten bietet. Das System besteht im Wesentlichen aus der Graylog-Weboberfläche, den Graylog-Servern, den Elasticsearch-Knoten und einer Mongo-Datenbank.
Die Knoten können beliebig skaliert werden. Zum Testen reicht ein System, bei dem alles in einem Knoten vereint ist. Zentrales Element der Architektur ist der Graylog-Server, der sich um die Verwaltung der Elasticsearch-Indizes kümmert und eine Abstraktionsschicht bildet. Daher wäre es möglich, Elasticsearch gegen ein anderes System auszutauschen, das sich besonders gut für die Analyse der Logdaten eignet.
Graylog unterstützt verschiedene Eingabemechanismen. Standardmäßig werden vier verschiedene Formate bzw. Protokolle unterstützt:Syslog, GELF, JSON / REST-URLs und RAW. syslog ist ein Standard für die Übertragung von Log-Meldungen und wird häufig von Systemkomponenten verwendet.
Dinge, die wir benötigen, um dieses Tutorial durchzuführen:
- MongoDB
- ElasticSearch
- Graylog-Server
- Ein Nicht-Root-Benutzer mit
sudoRechte - Ein Ubuntu-Server mit 4 CPU-Kernen und 8 GB RAM
Schritte zur Installation von Graylog Ubuntu 20.04 LTS
1. Erforderliche Abhängigkeiten installieren
Es gibt nur wenige Dinge, die der Graylog-Server benötigt, um auf Ubuntu 20.04 LTS installiert zu werden, darunter Java, ein Passwortgenerator und einige gängige. Führen Sie die folgenden Befehle aus, um alle zu installieren.
Führen Sie zuerst den Systemaktualisierungsbefehl aus
sudo apt update
Installieren Sie dann die folgenden Pakete…
sudo apt-get install apt-transport-https openjdk-11-jre-headless uuid-runtime pwgen
2. MongoDB auf Ubuntu 20.04 für Graylog einrichten
Graylog verwendet MongoDB, um Daten zu speichern, daher müssen wir es auf unserem Server installieren, damit später die generierten Protokolle dort für weitere Analysen gespeichert werden können.
Die Pakete, die wir installieren müssen MongoDB ist bereits im offiziellen Repository von Ubuntu verfügbar, führen Sie also einfach den folgenden Befehl aus:
sudo apt install -y mongodb-server
Aktivieren und starten Sie die Datenbankserverdienste:
sudo systemctl enable --now mongodb
sudo systemctl restart mongod.service
Um zu überprüfen, ob es ordnungsgemäß und fehlerfrei läuft, können Sie Folgendes ausführen:
sudo systemctl status mongodb
3. Installieren Sie Elastic Search auf dem Ubuntu 20.04 LTS-Server
Elasticsearch ist eine Open-Source-Volltextsuch- und Analyse-Engine. Es ist außerdem hochgradig skalierbar und ermöglicht es Benutzern, große Datenmengen schnell und nahezu in Echtzeit zu speichern, zu durchsuchen und zu analysieren, was in Graylog hilfreich sein wird, um eine große Anzahl von Protokollen zu verarbeiten und zu analysieren.
Dieses System ist im Basis-Repository von Ubuntu 20.04 nicht verfügbar, daher müssen wir das offizielle Elastic Search-Repository manuell hinzufügen.
GPG-Schlüssel hinzufügen:
wget -qO - https://artifacts.elastic.co/GPG-KEY-elasticsearch | sudo apt-key add -
Elastic Search-Repository hinzufügen:
echo "deb https://artifacts.elastic.co/packages/7.x/apt stable main" | sudo tee /etc/apt/sources.list.d/elastic-7.x.list
Befehl zum Installieren der Open-Source-Version von ElasticSearch auf Ubuntu 20.04:
sudo apt-get update && sudo apt-get install elasticsearch-oss
Ändern Sie die Elasticsearch-Konfigurationsdatei, um den Clusternamen auf graylog festzulegen und fügen Sie action.auto_create_index: false hinzu
Dazu einfach copy-paste den unten angegebenen ganzen Befehlsblock und drücken Sie Enter Schlüssel.
sudo tee -a /etc/elasticsearch/elasticsearch.yml > /dev/null <<EOT cluster.name: graylog action.auto_create_index: false EOT
Elastic-Suchdienst aktivieren und starten:
sudo systemctl daemon-reload sudo systemctl enable --now elasticsearch sudo systemctl restart elasticsearch.service
4. Befehl zum Installieren von Graylog Server auf Ubuntu 20.04
Laden Sie das Repository von Graylog herunter, das als Deb-Paket verfügbar ist.
wget https://packages.graylog2.org/repo/packages/graylog-4.0-repository_latest.deb
Installieren:
sudo dpkg -i graylog-4.0-repository_latest.deb
Aktualisieren Sie jetzt Ihr System damit es das neu hinzugefügte Repository erkennen kann, um die Pakete für Graylog herunterzuladen:
sudo apt-get update
Installieren Sie es schließlich
sudo apt-get install graylog-server
Extra :Wenn Sie auch die Integrations-Plugins oder die Enterprise-Plugins installieren möchten, führen Sie Folgendes aus:
sudo apt install graylog-enterprise-plugins graylog-integrations-plugins graylog-enterprise-integrations-plugins
5. Bearbeiten Sie die Graylog-Konfigurationsdatei, um das Admin-Passwort festzulegen
Es gibt zwei Passwortwerte: password_secret und root_password_sha2 , wir müssen sie konfigurieren, sonst startet Graylog auf Ubuntu 20.04 LTS überhaupt nicht.
Diese beiden Werte sind in der Graylog-Konfigurationsdatei vorhanden und was wir für sie festlegen, wird verwendet, um Benutzerpasswörter zu sichern und sich beim Admin-Benutzer auf seiner Weboberfläche anzumelden. Aber wir können keinen Klartextwert für sie festlegen, stattdessen müssen wir einen Hash generieren. Führen Sie also Folgendes aus:
Schlüssel password_secret festlegen
pwgen -N 1 -s 96
Der obige Befehl generiert einen geheimen Schlüssel zum Sichern von Benutzerpasswörtern, also kopieren das und bearbeiten Sie die Konfigurationsdatei mit:
sudo nano /etc/graylog/server/server.conf
Suchen Sie nun password_secret = in die Datei und fügen Sie den kopierten geheimen Schlüssel davor ein. Wie im folgenden Screenshot gezeigt.
Speichern Sie die Datei, indem Sie Strg + X drücken , Y, und drücken Sie die Enter Schlüssel.
Root_password_sha2-Hash festlegen
Der Standard-Benutzername für die Anmeldung bei der Graylog-Weboberfläche ist admin , während das Passwort festgelegt werden muss, das tun wir hier. Generieren Sie mit dem unten angegebenen Befehl einen Hash für das Passwort, das Sie festlegen möchten:
echo -n MyPassword | sha256sum
Hinweis :Ändern Sie das MeinPasswort Geben Sie im obigen Befehl das Passwort ein, das Sie festlegen möchten, um sich bei der Graylog-Webschnittstelle anzumelden.
Wenn Sie Enter drücken key nach der Verwendung des obigen Befehls wird eine Hash-Summe generiert. Kopieren.
Bearbeiten Sie nun erneut die Konfigurationsdatei :
sudo nano /etc/graylog/server/server.conf
Suchen Sie die Zeile: root_password_sha2 und fügen Sie die Hash-Summe davor ein, wie im folgenden Screenshot gezeigt:
Außerdem ist das Graylog standardmäßig nur über die Localhost-IP zugänglich, d. h. 127.0.0.1 Falls Sie also vorhaben, remote auf die Weboberfläche zuzugreifen, ändern Sie sie mit Ihrer Server-IP-Adresse in der Konfigurationsdatei.
Finde die Linie :http_bind_address, Kommentieren Sie es aus und ändern Sie 127.0.0.1 mit derIP-Adresse Ihres Systems, auf dem Sie Graylog installieren.
Speichern Sie die Datei– Strg + X, Y und drücken Sie die Enter Schlüssel.
6. Graylog-Server aktivieren und neu starten
Wir haben bereits alle wesentlichen Konfigurationen vorgenommen, aktivieren Sie jetzt den automatischen Start dieses Protokollsystemdienstes.
sudo systemctl daemon-reload sudo systemctl enable --now graylog-server sudo systemctl restart graylog-server
Überprüfen Sie, ob es ohne Fehler läuft oder nicht:
sudo systemctl status graylog-server
Wenn Sie vorhaben, auf die Graylog-Weboberfläche zuzugreifen Remote dann auch Port 9000 öffnen in der Ubuntu-Firewall:
sudo ufw allow 9000
7. Greifen Sie auf die Weboberfläche zu
Öffnen Sie einen Browser auf Ihrem lokalen oder Remote-System, der auf die IP-Adresse des Ubuntu 20.04-Servers zugreifen kann. Und geben Sie http://your-server-ipaddress:9000 ein
Ersetzen Sie your-server-ip-address mit der tatsächlichenIP-Adresse Ihres Servers, auf dem Graylog wurde installiert.
Der Standardbenutzername ist admin wohingegen das Passwort haben Sie in Schritt 5 eingestellt dieses Artikels für root_password. Zum Beispiel im Befehl haben wir MyPassword verwendet .
8. Sys-Logs des Host-Systems an Graylog senden
Erstellen Sie eine Konfigurationsdatei unter /etc/rsyslog.d/ um dem System mitzuteilen, wohin die Protokolle gesendet werden sollen.
sudo nano /etc/rsyslog.d/90-graylog.conf
Fügen Sie die folgende Zeile hinzu:
*.* @your-server-ip:5140;RSYSLOG_SyslogProtocol23Format
Ersetzen Sie die your-server-ip mit der IP-Adresse des Systems, von dem Sie die Protokolle senden. Wenn es sich um ein Hostsystem handelt, auf dem Sie das Graylog installiert haben, verwenden Sie dessen IP-Adresse.
Speichern Sie die Datei, indem Sie Strg+X eingeben , Y, und drücken Sie die Enter Schlüssel.
Fügen Sie jetzt Input für Node in Graylog hinzu.
Klicken Sie im Dashboard von Graylog auf System -> Eingaben .
Wählen Sie Syslog-UDP aus und klicken Sie auf Neue Eingabe starten Schaltfläche.
Wählen Sie den Knoten aus aus dem Drop-down-Feld mit einem Titel (was auch immer Sie wollen) auf Input und stellen Sie dann den Port ein Nummer zu 5140 Danach nach unten scrollen und speichern die Konfiguration.
Klicken Sie nun auf „Eingabe starten“. ” Button, um die Servereingabe zu starten.
9. Metrik-Dashboard
Sobald die Eingabe vom Server gestartet wurde, klicken Sie auf Suchen im Graylog-Menü angegeben und Sie erhalten Metriken und Protokolle in Echtzeit von Ihrem Server. Außerdem können Sie die Häufigkeit der Messwertaktualisierung festlegen.
Um mehr über dieses Protokollverwaltungstool und andere Konfigurationsaufgaben zu erfahren, lesen Sie die offizielle Dokumentation, in der Sie auch die Möglichkeit finden, Nginx/Apache als Reverse-Proxy und HTTPS in Graylog zu verwenden.