Dieser Leitfaden führt Sie durch die Installation von Graylog mit Elasticsearch 7.x auf CentOS 8. Graylog ist eine Open-Source-Protokollverwaltungslösung, die 2009 gegründet wurde, um Echtzeitprotokolle von verschiedenen Geräten in einem Netzwerk zu erfassen und zu zentralisieren. Es ist ein perfektes Tool zum Analysieren wichtiger Protokolle wie SSH-Anmeldungen, Sicherheitsverletzungen oder aller faulen oder ungewöhnlichen Vorfälle, die auf eine Systemverletzung hinweisen können. Mit der Echtzeit-Protokollierungsfunktion erweist es sich als perfektes Cybersicherheitstool, mit dem Betriebsteams kleine Probleme entschärfen können, bevor sie zu großen Bedrohungen werden.
Graylog besteht aus 3 entscheidenden Komponenten:
- Elasticsearch :Dies ist eine Open-Source-Analyse-Engine, die vom Graylog-Server empfangene Daten indiziert.
- MongoDB :Dies ist eine Opensource-NoSQL-Datenbank, die Metainformationen und Konfigurationen speichert.
- Graylog-Server :Dies übergibt Protokolle und stellt eine Webschnittstelle bereit, auf der Protokolle visualisiert werden.
Mit dieser Zusammenfassung werden wir Graylog sofort auf CentOS 8 installieren.
Voraussetzungen für Graylog-Server
Stellen Sie zu Beginn sicher, dass Ihre CentOS 8-Instanz die folgenden Anforderungen erfüllt:
- 2 CPUs
- 4 GB Arbeitsspeicher
- Schnelle und stabile Internetverbindung
Schritt 1) Installieren Sie Java 8 mit dem Befehl dnf
Elasticsearch basiert auf Java und daher müssen wir Java und insbesondere Java 8 vor allem anderen installieren. Sie haben die Möglichkeit, OpenJDK oder Oracle Java zu installieren. In diesem Handbuch installieren wir OpenJDK 8.
$ sudo dnf install -y java-1.8.0-openjdk java-1.8.0-openjdk-devel
Um die installierte Java-Version zu bestätigen, führen Sie Folgendes aus:
$ java -version
Schritt 2) Installieren Sie Elasticsearch 7.x
Wir werden die neueste Version von Elasticsearch installieren, die zum Zeitpunkt der Erstellung dieses Handbuchs Elasticsearch 7.9.2 ist. Elasticsearch ist in CentOS 8-Repositorys nicht verfügbar, daher erstellen wir ein lokales Repository. Aber zuerst importieren wir den GPG-Schlüssel wie gezeigt.
$ sudo rpm --import https://artifacts.elastic.co/GPG-KEY-elasticsearch
Erstellen Sie mit Ihrem Texteditor eine neue Repository-Datei wie gezeigt:
$ sudo vi /etc/yum.repos.d/elasticsearch.repo
Fügen Sie den unten angezeigten Inhalt ein
[elasticsearch-7.x] name=Elasticsearch repository for 7.x packages baseurl=https://artifacts.elastic.co/packages/7.x/yum gpgcheck=1 gpgkey=https://artifacts.elastic.co/GPG-KEY-elasticsearch enabled=1 autorefresh=1 type=rpm-md
Speichern und beenden Sie die Konfigurationsdatei. Um Elasticsearch zu installieren, führen Sie den folgenden Befehl aus:
$ sudo dnf install -y elasticsearch
Sobald die Installation abgeschlossen ist, benachrichtigen Sie systemd und aktivieren Sie Elasticsearch.
$ sudo systemctl daemon-reload $ sudo systemctl enable elasticsearch
Wir müssen Elasticsearch mit Graylog arbeiten lassen und aktualisieren daher den Clusternamen wie gezeigt auf „graylog“:
$ sudo vi /etc/elasticsearch/elasticsearch.yml ......... cluster.name: graylog .........
Speichern und beenden Sie die Datei und starten Sie Elasticsearch neu, damit die Änderungen wirksam werden.
$ sudo systemctl restart elasticsearch
Um zu überprüfen, ob Elasticsearch ausgeführt wird, senden wir wie gezeigt eine HTTP-Anfrage über Port 9200.
$ curl -X GET "localhost:9200/"
Sie sollten die unten gezeigte Ausgabe erhalten.
Schritt 3) MongoDB 4 installieren
Um MongoDB zu installieren, erstellen Sie eine lokale Repository-Datei
$ sudo vi /etc/yum.repos.d/mongodb-org-4.repo
Fügen Sie die unten gezeigte Konfiguration ein
[mongodb-org-4] name=MongoDB Repository baseurl=https://repo.mongodb.org/yum/redhat/8/mongodb-org/4.2/x86_64/ gpgcheck=1 enabled=1 gpgkey=https://www.mongodb.org/static/pgp/server-4.2.asc
Speichern und beenden Sie und installieren Sie dann MongoDB mit dem angezeigten Befehl.
$ sudo dnf install -y mongodb-org
Sobald MongoDB installiert ist, starten Sie MongoDB und bestätigen Sie den angezeigten Status
$ sudo systemctl start mongod $ sudo systemctl enable mongod $ sudo systemctl status mongod
Die perfekte, obige Ausgabe bestätigt, dass der Mongodb-Dienst erfolgreich gestartet wurde und gut läuft.
Schritt 4) Installieren und konfigurieren Sie den Graylog-Server
Um den Graylog-Server zu installieren, beginnen Sie zunächst mit der Installation des Graylog-Repositorys wie gezeigt:
$ sudo rpm -Uvh https://packages.graylog2.org/repo/packages/graylog-3.3-repository_latest.rpm
Nachdem das Repository hinzugefügt wurde, installieren Sie den Graylog-Server wie gezeigt.
$ sudo dnf install -y graylog-server
Nach erfolgreicher Installation können Sie weitere Details zum Graylog-Server bestätigen, indem Sie Folgendes ausführen:
$ rpm -qi graylog-server
Nehmen wir nun ein paar Konfigurationen vor. Zuerst generieren wir ein geheimes Passwort, das in der Anweisung password_secret in der Konfigurationsdatei /etc/graylog/server/server.conf übergeben wird. Dazu generieren wir ein zufälliges Passwort mit einem Zufallspasswortgenerator namens pwgen. Um es zu installieren, müssen wir zuerst das EPEL-Repository für CentOS 8 aktivieren.
$ sudo dnf install -y epel-release $ sudo dnf install -y pwgen
Nach der Installation können Sie mit dem Befehl.
ein zufälliges Passwort generieren$ sudo pwgen -N 1 -s 96
Die Ausgabe des Befehls würde wie folgt aussehen:
[[email protected] ~]$ sudo pwgen -N 1 -s 96 EtUtR16i9xwRsGbXROMFhSazZ3PvNe1tYui8wM5Q7h1UiXY0RTDdGygkhuDEJi9fpGwwXhMbYjcv9aFLh9DNF15JPBnMD0ne [[email protected] ~]$
Kopieren Sie das verschlüsselte Passwort und speichern Sie es irgendwo, vorzugsweise in einem Texteditor. Sie werden dies woanders brauchen.
Generieren Sie als nächstes ein Passwort für das root_password_sha2-Attribut wie gezeigt.
$ echo -n [email protected]@123# | sha256sum
Ausgabe wäre,
[[email protected] ~]$ echo -n [email protected]@123# | sha256sum a8f1a91ef8c534d678c82841a6a88fa01d12c2d184e641458b6bec67eafc0f7c - [[email protected] ~]$
Speichern Sie dieses verschlüsselte Passwort erneut irgendwo ab. Öffnen Sie nun die Konfigurationsdatei von Graylog.
$ sudo vi /etc/graylog/server/server.conf
Suchen Sie die Attribute password_secret und root_password_sha2 und fügen Sie die entsprechenden verschlüsselten Passwörter ein.
Kommentieren Sie als Nächstes das Attribut http_bind_address aus und geben Sie die IP Ihres Servers ein.
Systemd neu laden, Graylog starten und aktivieren.
$ sudo systemctl daemon-reload $ sudo systemctl start graylog-server $ sudo systemctl enable graylog-server
Führen Sie den folgenden Befehl aus, um den Status des Graylog-Dienstes zu überprüfen:
$ sudo systemctl status graylog-server
Sie können den Status des Graylog-Dienstes auch anhand seiner Protokolldatei „/var/log/graylog-server/server.log“
überprüfenGraylog-Server in Firewall zulassen:
Falls die Firewall aktiviert ist und ausgeführt wird, erlauben Sie den TCP-Port 9000 mit den folgenden Befehlen,
$ sudo firewall-cmd --permanent --add-port=9000/tcp $ sudo firewall-cmd --reload
Um auf Graylog in einem Browser zuzugreifen, durchsuchen Sie die IP-Adresse Ihres Servers wie gezeigt:
http://server-IP:9000
Achten Sie darauf, sich mit dem Benutzernamen admin und dem Passwort anzumelden, das Sie für den Root-Benutzer festgelegt haben, wie in der Konfigurationsdatei angegeben.
Damit endet unser Thema für heute. Wir haben Sie Schritt für Schritt durch die Installation von Graylog auf CentOS 8 geführt. Bitte teilen Sie uns Ihr Feedback und Ihre Kommentare mit.