نحوه نصب سرور Graylog در CentOS 7

• پیش نیازها
• جاوا را نصب کنید
• Elasticsearch را نصب کنید
• MongoDB را نصب کنید
• سرور Graylog را نصب کنید
• Graylog را پیکربندی کنید
• Nginx را به عنوان یک پروکسی معکوس پیکربندی کنید
• فایروال و SELinux را پیکربندی کنید
• نتیجه

سرور Graylog مجموعه نرم افزار مدیریت ورود به سیستم منبع باز است. این سیاههها را از منابع مختلف جمع آوری می کند و آنها را برای کشف و حل مسائل تجزیه و تحلیل می کند. سرور Graylog در اصل ترکیبی از Elasticsearch ، MongoDB و Graylog است. Elasticsearch یک برنامه منبع باز بسیار محبوب برای ذخیره متن و ارائه قابلیت های جستجوی بسیار قدرتمند است. MongoDB یک برنامه منبع باز برای ذخیره داده ها با فرمت NoSQL است. Graylog سیاهههای مربوط را از منابع مختلف جمع آوری می کند و یک داشبورد مبتنی بر وب را برای مدیریت و جستجو از طریق سیاهههای مربوط فراهم می کند. Graylog همچنین یک API REST برای تنظیمات و داده ها ارائه می دهد. این یک داشبورد قابل تنظیم است که می تواند برای تجسم معیارها و مشاهده روند با استفاده از آمار میدانی ، مقادیر سریع و نمودارها از یک مکان مرکزی استفاده شود.

در این آموزش ، شما می خواهید Graylog Server را روی CentOS 7. نصب کنید. این راهنما برای Graylog Server 2.3 نوشته شده است ، اما ممکن است روی نسخه های جدیدتر نیز کار کند. همچنین می توانید Java ، Elasticsearch و MongoDB را نصب کنید. ما همچنین نمونه MongoDB را ایمن خواهیم کرد و یک پروکسی معکوس Nginx برای داشبورد و API مبتنی بر وب تنظیم خواهیم کرد.

پیش نیازها

• نمونه سرور Vultr CentOS 7 با حداقل 4 GB RAM.
• کاربران از sudo .

در این آموزش ، ما به 192.0.2.1عنوان آدرس IP عمومی سرور و graylog.example.comبه عنوان نام دامنه به سرور اشاره می کنیم. تمام وقایع را 192.0.2.1با آدرس IP عمومی Vultr و graylog.example.comبا نام دامنه واقعی خود جایگزین کنید .

سیستم پایه خود را با استفاده از راهنمای نحوه به روزرسانی CentOS 7 به روز کنید . پس از به روزرسانی سیستم ، جاوا را نصب کنید.

جاوا را نصب کنید

Elasticsearch برای اجرای Java 8 نیاز دارد. این نرم افزار از Oracle Java و OpenJDK پشتیبانی می کند ، اما همیشه توصیه می شود در صورت امکان از Oracle Java استفاده کنید. اوراکل آماده نصب بسته های RPM است. Oracle JDK RPM را بارگیری کنید:

wget --no-cookies --no-check-certificate --header "Cookie:oraclelicense=accept-securebackup-cookie" "http://download.oracle.com/otn-pub/java/jdk/8u144-b01/090f390dda5b47b9b721c7dfaa008135/jdk-8u144-linux-x64.rpm"

بسته RPM را نصب کنید.

sudo yum -y install jdk-8u144-linux-x64.rpm

اگر جاوا با موفقیت نصب شده است ، باید بتوانید نسخه آن را تأیید کنید.

java -version

خروجی زیر را مشاهده خواهید کرد.

[user@vultr ~]$ java -version
java version "1.8.0_144"
Java(TM) SE Runtime Environment (build 1.8.0_144-b01)
Java HotSpot(TM) 64-Bit Server VM (build 25.144-b01, mixed mode)

تنظیم JAVA_HOMEو JRE_HOMEمحیط با اجرای متغیر:

echo "export JAVA_HOME=/usr/java/jdk1.8.0_144/" >> ~/.bash_profile
echo "export JRE_HOME=/usr/java/jdk1.8.0_144/jre" >> ~/.bash_profile

اکنون با استفاده از دستور زیر پرونده را تهیه کنید.

source ~/.bash_profile

echo $JAVA_HOMEدستور را اجرا کنید تا بررسی کنید متغیر محیط تنظیم شده است یا نه.

[user@vultr ~]$ echo $JAVA_HOME
/usr/java/jdk1.8.0_144/

Elasticsearch را نصب کنید

Elasticsearch یک برنامه توزیع شده ، در زمان واقعی ، مقیاس پذیر و بسیار در دسترس است که برای ذخیره سیاهههای مربوط و جستجو از طریق آنها استفاده می شود. این داده ها را در فهرست ها ذخیره می کند و جستجوی داده ها بسیار سریع انجام می شود. مجموعه های مختلف API مانند HTTP RESTful API و API بومی جاوا را در اختیار شما قرار می دهد. Elasticsearch را می توان مستقیم از طریق مخزن Elasticsearch نصب کرد. یک پرونده مخزن جدید برای Elasticsearch ایجاد کنید.

sudo nano /etc/yum.repos.d/elasticsearch.repo

پرونده را با محتوای زیر پر کنید.

[elasticsearch-5.x]
name=Elasticsearch repository for 5.x packages
baseurl=https://artifacts.elastic.co/packages/5.x/yum
gpgcheck=1
gpgkey=https://artifacts.elastic.co/GPG-KEY-elasticsearch
enabled=1
autorefresh=1
type=rpm-md

کلید PGP مورد استفاده برای امضای بسته ها را وارد کنید. با این کار صحت بسته ها تضمین می شود.

sudo rpm --import https://artifacts.elastic.co/GPG-KEY-elasticsearch

بسته Elasticsearch را نصب کنید:

sudo yum -y install elasticsearch

پس از نصب بسته ، پرونده پیکربندی پیش فرض Elasticsearch را باز کنید.

sudo nano /etc/elasticsearch/elasticsearch.yml

پیدا کردن خط زیر، کامنت و تغییر مقدار از my-applicationبه graylog.

cluster.name: graylog

می توانید Elasticsearch را راه اندازی کنید و آن را فعال کنید تا به طور خودکار در زمان بوت شروع شود:

sudo systemctl enable elasticsearch
sudo systemctl start elasticsearch

اکنون الاستیک جستجو در بندر 9200 در حال اجرا است. با اجرای صحیح تأیید کنید که به درستی کار می کند:

curl -XGET 'localhost:9200/?pretty'

شما باید خروجی مشابه موارد زیر را ببینید.

[user@vultr ~]$ curl -XGET 'localhost:9200/?pretty'
{
  "name" : "-kYzFA9",
  "cluster_name" : "graylog",
  "cluster_uuid" : "T3JQKehzSqmLThlVkEKPKg",
  "version" : {
    "number" : "5.5.1",
    "build_hash" : "19c13d0",
    "build_date" : "2017-07-18T20:44:24.823Z",
    "build_snapshot" : false,
    "lucene_version" : "6.6.0"
  },
  "tagline" : "You Know, for Search"
}

اگر با خطا روبرو شدید ، چند ثانیه صبر کنید و دوباره امتحان کنید ، زیرا زمان لازم است تا Elasticsearch فرایند راه اندازی خود را انجام دهد. اکنون Elasticsearch به درستی نصب شده است و کار می کند.

MongoDB را نصب کنید

MongoDB سرور پایگاه داده NoSQL منبع آزاد و منبع باز است. برخلاف بانک اطلاعاتی سنتی که از جداول برای سازماندهی داده های خود استفاده می کند ، MongoDB به صورت اسناد محور است و از اسناد مشابه JSON بدون طرح استفاده می کند. Graylog از MongoDB برای ذخیره اطلاعات پیکربندی و متا استفاده می کند. می توان آن را مستقیماً از طریق مخزن MongoDB نصب کرد. یک فایل مخزن جدید برای MongoDB ایجاد کنید.

sudo nano /etc/yum.repos.d/mongodb.repo

پرونده را با محتوای زیر پر کنید.

[mongodb-org-3.4]
name=MongoDB Repository
baseurl=https://repo.mongodb.org/yum/redhat/$releasever/mongodb-org/3.4/x86_64/
gpgcheck=1
enabled=1
gpgkey=https://www.mongodb.org/static/pgp/server-3.4.asc

با اجرای MongoDB:

sudo yum -y install mongodb-org

سرور MongoDB را شروع کنید و آن را فعال کنید تا به صورت خودکار شروع شود.

sudo systemctl start mongod
sudo systemctl enable mongod

سرور Graylog را نصب کنید

آخرین مخزن سرور Graylog را بارگیری کنید.

sudo rpm -Uvh https://packages.graylog2.org/repo/packages/graylog-2.3-repository_latest.rpm
sudo yum -y update

Graylog را با اجرا کردن نصب کنید:

sudo yum -y install graylog-server

سرور Graylog اکنون روی سرور شما نصب شده است. قبل از شروع کار ، باید چند مورد را پیکربندی کنید.

Graylog را پیکربندی کنید

برنامه pwgenای را برای تولید رمزهای عبور قوی نصب کنید .

sudo yum -y install pwgen

اکنون یک راز رمزعبور قوی ایجاد کنید.

pwgen -N 1 -s 96

شما خروجی مشابه با:

[user@vultr ~]$ pwgen -N 1 -s 96
pJqhNbdEY9FtNBfFUtq20lG2m9daacmsZQr59FhyoA0Wu3XQyVZcu5FedPZ9eCiDfjdiYWfRcEQ7a36bVqxSyTzcMMx5Rz8v

همچنین ، یک هش 256 بیتی برای پسورد adminکاربر اصلی ایجاد کنید:

echo -n StrongPassword | sha256sum

StrongPasswordبا گذرواژه ای که می خواهید برای adminکاربر تنظیم کنید جایگزین کنید . خواهید دید:

[user@vultr ~]$ echo -n StrongPassword | sha256sum
05a181f00c157f70413d33701778a6ee7d2747ac18b9c0fbb8bd71a62dd7a223  -

پرونده پیکربندی Graylog را باز کنید:

sudo nano /etc/graylog/server/server.conf

password_secret =رمزعبور تولید شده از طریق pwgenفرمان را پیدا ، کپی و جایگذاری کنید . root_password_sha2 =hash تبدیل SHA 256 بیتی رمزعبور مدیر خود را پیدا کنید ، کپی و جایگذاری کنید. #root_email =آدرس ایمیل خود را بیابید ، فراموش نکنید و ارائه دهید. Uncomment کنید و منطقه زمانی خود را تنظیم کنید root_timezone. مثلا:

password_secret = pJqhNbdEY9FtNBfFUtq20lG2m9daacmsZQr59FhyoA0Wu3XQyVZcu5FedPZ9eCiDfjdiYWfRcEQ7a36bVqxSyTzcMMx5Rz8v
root_password_sha2 = 05a181f00c157f70413d33701778a6ee7d2747ac18b9c0fbb8bd71a62dd7a223
root_email = [email protected]
root_timezone = Asia/Kolkata

رابط Graylog مبتنی بر وب را با عدم اظهار نظر #web_enable = falseو تنظیم مقدار بر روی آن فعال کنید true. همچنین Uncomment کنید و خطوط زیر را مطابق مشخص تغییر دهید.

rest_listen_uri = http://0.0.0.0:9000/api/
rest_transport_uri = http://45.76.214.19:9000/api/
web_enable = true
web_listen_uri = http://0.0.0.0:9000/

فایل را ذخیره کرده و از ویرایشگر متن خارج شوید.

با راه اندازی مجدد سرویس Graylog:

sudo systemctl restart graylog-server

Nginx را به عنوان یک پروکسی معکوس پیکربندی کنید

به طور پیش فرض ، رابط وب Graylog به localhostدرگاه 9000 گوش می دهد و API در پورت 9000 با URL گوش می دهد /api. در این آموزش از Nginx به عنوان پروکسی معکوس استفاده خواهیم کرد تا دسترسی به برنامه از طریق پورت HTTP استاندارد امکان پذیر باشد. سرور وب Nginx را با اجرای نصب کنید:

sudo yum -y install nginx

میزبان مجازی پیش فرض را با تایپ کردن باز کنید.

sudo nano /etc/nginx/nginx.conf

پیدا کردن serverبلوک تحت http، و جایگزین طیف serverبلوک با خطوط زیر.

server
{
    listen 80 default_server;
    listen [::]:80 default_server ipv6only=on;
    server_name graylog.example.com 192.0.2.1;

    location / {
      proxy_set_header Host $http_host;
      proxy_set_header X-Forwarded-Host $host;
      proxy_set_header X-Forwarded-Server $host;
      proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
      proxy_set_header X-Graylog-Server-URL http://$server_name/api;
      proxy_pass       http://127.0.0.1:9000;
    }
}

Nginx را شروع کنید و آن را فعال کنید تا به طور خودکار در زمان بوت شروع شود:

sudo systemctl start nginx
sudo systemctl enable nginx

فایروال و SELinux را پیکربندی کنید

اگر فایروال را روی سرور خود اجرا می کنید ، برای تنظیم یک استثناء برای درگاه های خاص ، باید فایروال را پیکربندی کنید. اجازه دهید سرویس Elasticsearch و پروکسی معکوس Nginx از خارج از شبکه متصل شوند.

sudo firewall-cmd --zone=public --permanent --add-service=http
sudo firewall-cmd --zone=public --permanent --add-port=9200/tcp
sudo firewall-cmd --reload

اگر SELinux را روی سیستم خود فعال کرده اید ، باید در سیاست های SELinux چند استثناء اضافه کنید.

sudo setsebool -P httpd_can_network_connect 1
sudo semanage port -a -t http_port_t -p tcp 9000
sudo semanage port -a -t http_port_t -p tcp 9200
sudo semanage port -a -t mongod_port_t -p tcp 27017

نتیجه

نصب و پیکربندی اصلی سرور Graylog اکنون کامل شده است. اکنون می توانید به سرور Graylog دسترسی داشته باشید http://192.0.2.1یا http://graylog.example.comاگر DNS را پیکربندی کرده است. با استفاده از نام کاربری adminو نسخه متن ساده رمز عبوری که قبلاً تعیین root_password_sha2کرده اید وارد شوید.

تبریک می گویم - شما یک سرور Graylog کاملاً در حال کار روی سرور CentOS 7 خود نصب کرده اید.