Cara Memasang Graylog Server pada CentOS 7

• Prasyarat
• Instal Java
• Instal Elasticsearch
• Instal MongoDB
• Instal server Graylog
• Konfigurasikan Graylog
• Konfigurasikan Nginx sebagai proxy terbalik
• Konfigurasikan firewall dan SELinux
• Kesimpulan

Graylog server adalah perangkat lunak manajemen log sumber terbuka siap pakai perusahaan. Ia mengumpulkan log dari berbagai sumber dan menganalisisnya untuk menemukan dan menyelesaikan masalah. Server Graylog pada dasarnya adalah kombinasi dari Elasticsearch, MongoDB dan Graylog. Elasticsearch adalah aplikasi open source yang sangat populer untuk menyimpan teks dan menyediakan kemampuan pencarian yang sangat kuat. MongoDB adalah aplikasi open source untuk menyimpan data dalam format NoSQL. Graylog mengumpulkan log dari berbagai sumber dan menyediakan dasbor berbasis web untuk mengelola dan mencari melalui log. Graylog juga menyediakan API REST untuk konfigurasi dan data. Ini menyediakan dasbor yang dapat dikonfigurasi yang dapat digunakan untuk memvisualisasikan metrik dan mengamati tren dengan menggunakan statistik lapangan, nilai cepat, dan grafik dari satu lokasi pusat.

Dalam tutorial ini, Anda akan belajar menginstal Graylog Server pada CentOS 7. Panduan ini ditulis untuk Graylog Server 2.3, tetapi mungkin juga berfungsi pada versi yang lebih baru. Anda juga akan belajar menginstal Java, Elasticsearch dan MongoDB. Kami juga akan mengamankan instance MongoDB dan menyiapkan proxy reverse Nginx untuk dasbor dan API berbasis web.

Prasyarat

• Contoh server Vultr CentOS 7 dengan setidaknya 4GB RAM.
• Seorang pengguna sudo .

Dalam tutorial ini, kita akan menggunakan 192.0.2.1alamat IP publik dari server dan graylog.example.comsebagai nama domain yang menunjuk ke server. Ganti semua kemunculan 192.0.2.1dengan alamat IP publik Vultr Anda dan graylog.example.comdengan nama domain Anda yang sebenarnya.

Perbarui sistem basis Anda menggunakan panduan Cara Memperbarui CentOS 7 . Setelah sistem Anda diperbarui, lanjutkan untuk menginstal Java.

Instal Java

Elasticsearch membutuhkan Java 8 untuk dijalankan. Ini mendukung Oracle Java dan OpenJDK, tetapi selalu disarankan agar Anda menggunakan Oracle Java jika memungkinkan. Oracle menyediakan siap untuk menginstal paket RPM. Unduh Oracle JDK RPM:

wget --no-cookies --no-check-certificate --header "Cookie:oraclelicense=accept-securebackup-cookie" "http://download.oracle.com/otn-pub/java/jdk/8u144-b01/090f390dda5b47b9b721c7dfaa008135/jdk-8u144-linux-x64.rpm"

Instal paket RPM.

sudo yum -y install jdk-8u144-linux-x64.rpm

Jika Java telah diinstal dengan sukses, maka Anda harus dapat memverifikasi versinya.

java -version

Anda akan melihat output berikut.

[user@vultr ~]$ java -version
java version "1.8.0_144"
Java(TM) SE Runtime Environment (build 1.8.0_144-b01)
Java HotSpot(TM) 64-Bit Server VM (build 25.144-b01, mixed mode)

Setel JAVA_HOMEdan JRE_HOMEvariabel lingkungan dengan menjalankan:

echo "export JAVA_HOME=/usr/java/jdk1.8.0_144/" >> ~/.bash_profile
echo "export JRE_HOME=/usr/java/jdk1.8.0_144/jre" >> ~/.bash_profile

Sekarang, sumber file menggunakan perintah berikut.

source ~/.bash_profile

Jalankan echo $JAVA_HOMEperintah untuk memeriksa apakah variabel lingkungan disetel atau tidak.

[user@vultr ~]$ echo $JAVA_HOME
/usr/java/jdk1.8.0_144/

Instal Elasticsearch

Elasticsearch adalah aplikasi terdistribusi, waktu nyata, terukur dan sangat tersedia yang digunakan untuk menyimpan log dan mencari melalui mereka. Ini menyimpan data dalam indeks dan mencari melalui data sangat cepat. Ini menyediakan berbagai set API, seperti HTTP RESTful API dan Java API asli. Elasticsearch dapat diinstal langsung melalui repositori Elasticsearch. Buat file repositori baru untuk Elasticsearch.

sudo nano /etc/yum.repos.d/elasticsearch.repo

Isi file dengan konten berikut.

[elasticsearch-5.x]
name=Elasticsearch repository for 5.x packages
baseurl=https://artifacts.elastic.co/packages/5.x/yum
gpgcheck=1
gpgkey=https://artifacts.elastic.co/GPG-KEY-elasticsearch
enabled=1
autorefresh=1
type=rpm-md

Impor kunci PGP yang digunakan untuk menandatangani paket. Ini akan memastikan integritas paket.

sudo rpm --import https://artifacts.elastic.co/GPG-KEY-elasticsearch

Instal paket Elasticsearch:

sudo yum -y install elasticsearch

Setelah paket diinstal, buka file konfigurasi default Elasticsearch.

sudo nano /etc/elasticsearch/elasticsearch.yml

Temukan baris berikut, batalkan komentar dan ubah nilainya dari my-applicationmenjadi graylog.

cluster.name: graylog

Anda dapat memulai Elasticsearch dan mengaktifkannya secara otomatis mulai saat boot:

sudo systemctl enable elasticsearch
sudo systemctl start elasticsearch

Elasticsearch sekarang berjalan pada port 9200. Pastikan itu berfungsi dengan baik dengan menjalankan:

curl -XGET 'localhost:9200/?pretty'

Anda akan melihat output yang mirip dengan yang berikut ini.

[user@vultr ~]$ curl -XGET 'localhost:9200/?pretty'
{
  "name" : "-kYzFA9",
  "cluster_name" : "graylog",
  "cluster_uuid" : "T3JQKehzSqmLThlVkEKPKg",
  "version" : {
    "number" : "5.5.1",
    "build_hash" : "19c13d0",
    "build_date" : "2017-07-18T20:44:24.823Z",
    "build_snapshot" : false,
    "lucene_version" : "6.6.0"
  },
  "tagline" : "You Know, for Search"
}

Jika Anda menemukan kesalahan, tunggu beberapa detik dan coba lagi, karena Elasticsearch membutuhkan waktu untuk menyelesaikan proses start-upnya. Elasticsearch sekarang diinstal dan berfungsi dengan benar.

Instal MongoDB

MongoDB adalah server database NoSQL gratis dan open source. Tidak seperti database tradisional yang menggunakan tabel untuk mengatur data mereka, MongoDB berorientasi pada dokumen dan menggunakan dokumen mirip JSON tanpa skema. Graylog menggunakan MongoDB untuk menyimpan konfigurasinya dan informasi meta. Itu dapat diinstal langsung melalui repositori MongoDB. Buat file repositori baru untuk MongoDB.

sudo nano /etc/yum.repos.d/mongodb.repo

Isi file dengan konten berikut.

[mongodb-org-3.4]
name=MongoDB Repository
baseurl=https://repo.mongodb.org/yum/redhat/$releasever/mongodb-org/3.4/x86_64/
gpgcheck=1
enabled=1
gpgkey=https://www.mongodb.org/static/pgp/server-3.4.asc

Instal MongoDB dengan menjalankan:

sudo yum -y install mongodb-org

Mulai server MongoDB dan aktifkan untuk memulai secara otomatis.

sudo systemctl start mongod
sudo systemctl enable mongod

Instal server Graylog

Unduh repositori terbaru untuk server Graylog.

sudo rpm -Uvh https://packages.graylog2.org/repo/packages/graylog-2.3-repository_latest.rpm
sudo yum -y update

Instal Graylog dengan menjalankan:

sudo yum -y install graylog-server

Server Graylog sekarang diinstal di server Anda. Sebelum Anda dapat memulainya, Anda perlu mengonfigurasi beberapa hal.

Konfigurasikan Graylog

Instal pwgenutilitas untuk menghasilkan kata sandi yang kuat.

sudo yum -y install pwgen

Sekarang hasilkan rahasia kata sandi yang kuat.

pwgen -N 1 -s 96

Anda akan menghasilkan mirip dengan:

[user@vultr ~]$ pwgen -N 1 -s 96
pJqhNbdEY9FtNBfFUtq20lG2m9daacmsZQr59FhyoA0Wu3XQyVZcu5FedPZ9eCiDfjdiYWfRcEQ7a36bVqxSyTzcMMx5Rz8v

Juga, hasilkan hash 256-bit untuk kata sandi adminpengguna root :

echo -n StrongPassword | sha256sum

Ganti StrongPassworddengan kata sandi yang ingin Anda atur untuk adminpengguna. Kamu akan lihat:

[user@vultr ~]$ echo -n StrongPassword | sha256sum
05a181f00c157f70413d33701778a6ee7d2747ac18b9c0fbb8bd71a62dd7a223  -

Buka file konfigurasi Graylog:

sudo nano /etc/graylog/server/server.conf

Temukan password_secret =, salin dan tempel kata sandi yang dihasilkan melalui pwgenperintah. Temukan root_password_sha2 =, salin dan tempel hash SHA 256-bit yang dikonversi dari kata sandi admin Anda. Temukan #root_email =, batalkan komentar dan berikan alamat email Anda. Batalkan komentar dan atur zona waktu Anda di root_timezone. Sebagai contoh:

password_secret = pJqhNbdEY9FtNBfFUtq20lG2m9daacmsZQr59FhyoA0Wu3XQyVZcu5FedPZ9eCiDfjdiYWfRcEQ7a36bVqxSyTzcMMx5Rz8v
root_password_sha2 = 05a181f00c157f70413d33701778a6ee7d2747ac18b9c0fbb8bd71a62dd7a223
root_email = [email protected]
root_timezone = Asia/Kolkata

Aktifkan antarmuka Graylog berbasis web dengan membatalkan komentar #web_enable = falsedan mengatur nilainya true. Batalkan komentar dan ubah baris berikut seperti yang ditentukan.

rest_listen_uri = http://0.0.0.0:9000/api/
rest_transport_uri = http://45.76.214.19:9000/api/
web_enable = true
web_listen_uri = http://0.0.0.0:9000/

Simpan file dan keluar dari editor teks Anda.

Mulai ulang layanan Graylog dengan menjalankan:

sudo systemctl restart graylog-server

Konfigurasikan Nginx sebagai proxy terbalik

Secara default, antarmuka web Graylog mendengarkan localhostpada port 9000 dan API mendengarkan pada port 9000 dengan URL /api. Dalam tutorial ini, kita akan menggunakan Nginx sebagai proxy terbalik sehingga aplikasi dapat diakses melalui port HTTP standar. Instal server web Nginx dengan menjalankan:

sudo yum -y install nginx

Buka virtual host default dengan mengetik.

sudo nano /etc/nginx/nginx.conf

Temukan serverblok di bawah http, dan ganti seluruh serverblok dengan baris berikut.

server
{
    listen 80 default_server;
    listen [::]:80 default_server ipv6only=on;
    server_name graylog.example.com 192.0.2.1;

    location / {
      proxy_set_header Host $http_host;
      proxy_set_header X-Forwarded-Host $host;
      proxy_set_header X-Forwarded-Server $host;
      proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
      proxy_set_header X-Graylog-Server-URL http://$server_name/api;
      proxy_pass       http://127.0.0.1:9000;
    }
}

Mulai Nginx dan aktifkan untuk memulai secara otomatis saat boot:

sudo systemctl start nginx
sudo systemctl enable nginx

Konfigurasikan firewall dan SELinux

Jika Anda menjalankan firewall di server Anda, Anda harus mengkonfigurasi firewall untuk menetapkan pengecualian untuk port tertentu. Izinkan layanan Elasticsearch dan Nginx membalikkan proxy untuk terhubung dari luar jaringan.

sudo firewall-cmd --zone=public --permanent --add-service=http
sudo firewall-cmd --zone=public --permanent --add-port=9200/tcp
sudo firewall-cmd --reload

Jika Anda memiliki SELinux diaktifkan di sistem Anda, maka Anda perlu menambahkan beberapa pengecualian dalam kebijakan SELinux.

sudo setsebool -P httpd_can_network_connect 1
sudo semanage port -a -t http_port_t -p tcp 9000
sudo semanage port -a -t http_port_t -p tcp 9200
sudo semanage port -a -t mongod_port_t -p tcp 27017

Kesimpulan

Instalasi dan konfigurasi dasar server Graylog sekarang selesai. Anda sekarang dapat mengakses server Graylog pada http://192.0.2.1atau http://graylog.example.comjika Anda telah mengkonfigurasi DNS. Login menggunakan nama pengguna admindan kata sandi versi teks yang telah Anda tentukan root_password_sha2sebelumnya.

Selamat - Anda memiliki server Graylog yang berfungsi penuh diinstal pada server CentOS 7 Anda.