CentOS 7にGraylogサーバーをインストールする方法

• 前提条件
• Javaをインストールする
• Elasticsearchをインストールする
• MongoDBをインストールする
• Graylogサーバーをインストールする
• Graylogを構成する
• Nginxをリバースプロキシとして構成する
• ファイアウォールとSELinuxを構成する
• 結論

Graylogサーバーは、エンタープライズ対応のオープンソースログ管理ソフトウェアスイートです。さまざまなソースからログを収集して分析し、問題を発見して解決します。Graylogサーバーは、基本的にElasticsearch、MongoDB、Graylogの組み合わせです。Elasticsearchは、テキストを保存し、非常に強力な検索機能を提供する非常に人気のあるオープンソースアプリケーションです。MongoDBは、データをNoSQL形式で保存するオープンソースアプリケーションです。Graylogは、さまざまなソースからログを収集し、ログを管理および検索するためのWebベースのダッシュボードを提供します。Graylogは、構成とデータの両方にREST APIも提供します。中央の1か所からフィールド統計、クイック値、およびチャートを使用して、メトリックを視覚化し、傾向を観察するために使用できる構成可能なダッシュボードを提供します。

このチュートリアルでは、CentOS 7にGraylogサーバーをインストールする方法を学習します。このガイドはGraylogサーバー2.3用に書かれていますが、新しいバージョンでも動作する可能性があります。また、Java、Elasticsearch、MongoDBのインストール方法も学びます。また、MongoDBインスタンスを保護し、WebベースのダッシュボードとAPIのNginxリバースプロキシを設定します。

前提条件

• 4GB以上のRAMを備えたVultr CentOS 7サーバーインスタンス。
• sudoのユーザー。

このチュートリアル��は192.0.2.1、サーバーのパブリックIPアドレスおよびサーバーをgraylog.example.com指すドメイン名として使用します。のすべての出現192.0.2.1箇所をVultrパブリックIPアドレスとgraylog.example.com実際のドメイン名に置き換えます。

CentOS 7のアップデート方法ガイドを使用して、ベースシステムをアップデートします。システムが更新されたら、Javaのインストールに進みます。

Javaをインストールする

Elasticsearchを実行するには、Java 8が必要です。Oracle JavaとOpenJDKの両方をサポートしますが、可能な場合は常にOracle Javaを使用することをお勧めします。Oracleは、すぐにインストールできるRPMパッケージを提供します。Oracle JDK RPMをダウンロードします。

wget --no-cookies --no-check-certificate --header "Cookie:oraclelicense=accept-securebackup-cookie" "http://download.oracle.com/otn-pub/java/jdk/8u144-b01/090f390dda5b47b9b721c7dfaa008135/jdk-8u144-linux-x64.rpm"

RPMパッケージをインストールします。

sudo yum -y install jdk-8u144-linux-x64.rpm

Javaが正常にインストールされている場合は、そのバージョンを確認できます。

java -version

次の出力が表示されます。

[user@vultr ~]$ java -version
java version "1.8.0_144"
Java(TM) SE Runtime Environment (build 1.8.0_144-b01)
Java HotSpot(TM) 64-Bit Server VM (build 25.144-b01, mixed mode)

次のコマンドJAVA_HOMEをJRE_HOME実行して、環境変数を設定します。

echo "export JAVA_HOME=/usr/java/jdk1.8.0_144/" >> ~/.bash_profile
echo "export JRE_HOME=/usr/java/jdk1.8.0_144/jre" >> ~/.bash_profile

ここで、次のコマンドを使用してファイルを入手します。

source ~/.bash_profile

echo $JAVA_HOMEコマンドを実行して、環境変数が設定されているかどうかを確認します。

[user@vultr ~]$ echo $JAVA_HOME
/usr/java/jdk1.8.0_144/

Elasticsearchをインストールする

Elasticsearchは、ログを保存して検索するために使用される、分散されたリアルタイムのスケーラブルで可用性の高いアプリケーションです。インデックスにデータを保存し、データの検索は非常に高速です。HTTP RESTful APIやネイティブJava APIなど、さまざまなAPIセットを提供します。Elasticsearchは、Elasticsearchリポジトリから直接インストールできます。Elasticsearchの新しいリポジトリファイルを作成します。

sudo nano /etc/yum.repos.d/elasticsearch.repo

ファイルに次の内容を入力します。

[elasticsearch-5.x]
name=Elasticsearch repository for 5.x packages
baseurl=https://artifacts.elastic.co/packages/5.x/yum
gpgcheck=1
gpgkey=https://artifacts.elastic.co/GPG-KEY-elasticsearch
enabled=1
autorefresh=1
type=rpm-md

パッケージの署名に使用するPGP鍵をインポートします。これにより、パッケージの整合性が保証されます。

sudo rpm --import https://artifacts.elastic.co/GPG-KEY-elasticsearch

Elasticsearchパッケージをインストールします。

sudo yum -y install elasticsearch

パッケージがインストールされたら、Elasticsearchのデフォルト構成ファイルを開きます。

sudo nano /etc/elasticsearch/elasticsearch.yml

次の行を見つけ、コメントを外して、値をからmy-applicationに変更しますgraylog。

cluster.name: graylog

Elasticsearchを起動して、起動時に自動的に起動するようにできます。

sudo systemctl enable elasticsearch
sudo systemctl start elasticsearch

Elasticsearchがポート9200で実行されています。次のコマンドを実行して、Elasticsearchが正常に動作していることを確認します。

curl -XGET 'localhost:9200/?pretty'

次のような出力が表示されます。

[user@vultr ~]$ curl -XGET 'localhost:9200/?pretty'
{
  "name" : "-kYzFA9",
  "cluster_name" : "graylog",
  "cluster_uuid" : "T3JQKehzSqmLThlVkEKPKg",
  "version" : {
    "number" : "5.5.1",
    "build_hash" : "19c13d0",
    "build_date" : "2017-07-18T20:44:24.823Z",
    "build_snapshot" : false,
    "lucene_version" : "6.6.0"
  },
  "tagline" : "You Know, for Search"
}

エラーが発生した場合は、Elasticsearchの起動プロセスが完了するまでに時間がかかるため、数秒待ってから再試行してください。Elasticsearchがインストールされ、正しく機能するようになりました。

MongoDBをインストールする

MongoDBは無料でオープンソースのNoSQLデータベースサーバーです。テーブルを使用してデータを整理する従来のデータベースとは異なり、MongoDBはドキュメント指向であり、スキーマのないJSONのようなドキュメントを使用します。GraylogはMongoDBを使用して、その構成とメタ情報を格納します。MongoDBリポジトリから直接インストールできます。MongoDB用の新しいリポジトリファイルを作成します。

sudo nano /etc/yum.repos.d/mongodb.repo

ファイルに次の内容を入力します。

[mongodb-org-3.4]
name=MongoDB Repository
baseurl=https://repo.mongodb.org/yum/redhat/$releasever/mongodb-org/3.4/x86_64/
gpgcheck=1
enabled=1
gpgkey=https://www.mongodb.org/static/pgp/server-3.4.asc

以下を実行してMongoDBをインストールします。

sudo yum -y install mongodb-org

MongoDBサーバーを起動し、それが自動的に起動するようにします。

sudo systemctl start mongod
sudo systemctl enable mongod

Graylogサーバーをインストールする

Graylogサーバーの最新のリポジトリをダウンロードします。

sudo rpm -Uvh https://packages.graylog2.org/repo/packages/graylog-2.3-repository_latest.rpm
sudo yum -y update

以下を実行して、Graylogをインストールします。

sudo yum -y install graylog-server

これで、Graylogサーバーがサーバーにインストールされました。開始する前に、いくつかの設定を行う必要があります。

Graylogを構成する

pwgen強力なパスワードを生成するユーティリティをインストールします。

sudo yum -y install pwgen

次に、強力なパスワードシークレットを生成します。

pwgen -N 1 -s 96

次のように出力されます。

[user@vultr ~]$ pwgen -N 1 -s 96
pJqhNbdEY9FtNBfFUtq20lG2m9daacmsZQr59FhyoA0Wu3XQyVZcu5FedPZ9eCiDfjdiYWfRcEQ7a36bVqxSyTzcMMx5Rz8v

また、root adminユーザーのパスワード用に256ビットのハッシュを生成します。

echo -n StrongPassword | sha256sum

ユーザーStrongPasswordに設定するパスワードに置き換えadminます。表示されます：

[user@vultr ~]$ echo -n StrongPassword | sha256sum
05a181f00c157f70413d33701778a6ee7d2747ac18b9c0fbb8bd71a62dd7a223  -

Graylog構成ファイルを開きます。

sudo nano /etc/graylog/server/server.conf

コマンドでpassword_secret =生成されたパスワードを見つけ、コピーして貼り付けますpwgen。root_password_sha2 =管理者パスワードの変換されたSHA 256ビットハッシュを見つけ、コピーして貼り付けます。を見つけて#root_email =コメントを外し、メールアドレスを入力します。コメントを外してタイムゾーンをに設定しますroot_timezone。例えば：

password_secret = pJqhNbdEY9FtNBfFUtq20lG2m9daacmsZQr59FhyoA0Wu3XQyVZcu5FedPZ9eCiDfjdiYWfRcEQ7a36bVqxSyTzcMMx5Rz8v
root_password_sha2 = 05a181f00c157f70413d33701778a6ee7d2747ac18b9c0fbb8bd71a62dd7a223
root_email = [email protected]
root_timezone = Asia/Kolkata

コメントを外し#web_enable = falseて値をに設定することにより、WebベースのGraylogインターフェースを有効にしtrueます。また、以下の行のコメントを外して、指定どおりに変更します。

rest_listen_uri = http://0.0.0.0:9000/api/
rest_transport_uri = http://45.76.214.19:9000/api/
web_enable = true
web_listen_uri = http://0.0.0.0:9000/

ファイルを保存し、テキストエディターを終了します。

次のコマンドを実行して、Graylogサービスを再起動します。

sudo systemctl restart graylog-server

Nginxをリバースプロキシとして構成する

デフォルトでは、Graylog Webインターフェースはlocalhostポート9000でリッスンし、APIはURLでポート9000でリッスンします/api。このチュートリアルでは、Nginxをリバースプロキシとして使用して、アプリケーションが標準のHTTPポート経由でアクセスできるようにします。次のコマンドを実行して、Nginx Webサーバーをインストールします。

sudo yum -y install nginx

入力してデフォルトの仮想ホストを開きます。

sudo nano /etc/nginx/nginx.conf

でserverブロックを見つけ、ブロックhttp全体serverを次の行に置き換えます。

server
{
    listen 80 default_server;
    listen [::]:80 default_server ipv6only=on;
    server_name graylog.example.com 192.0.2.1;

    location / {
      proxy_set_header Host $http_host;
      proxy_set_header X-Forwarded-Host $host;
      proxy_set_header X-Forwarded-Server $host;
      proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
      proxy_set_header X-Graylog-Server-URL http://$server_name/api;
      proxy_pass       http://127.0.0.1:9000;
    }
}

Nginxを起動し、起動時に自動的に起動するようにします。

sudo systemctl start nginx
sudo systemctl enable nginx

ファイアウォールとSELinuxを構成する

サーバーでファイアウォールを実行している場合は、特定のポートに例外を設定するようにファイアウォールを構成する必要があります。ElasticsearchサービスとNginxリバースプロキシがネットワークの外部から接続できるようにします。

sudo firewall-cmd --zone=public --permanent --add-service=http
sudo firewall-cmd --zone=public --permanent --add-port=9200/tcp
sudo firewall-cmd --reload

システムでSELinuxを有効にしている場合は、SELinuxポリシーにいくつかの例外を追加する必要があります。

sudo setsebool -P httpd_can_network_connect 1
sudo semanage port -a -t http_port_t -p tcp 9000
sudo semanage port -a -t http_port_t -p tcp 9200
sudo semanage port -a -t mongod_port_t -p tcp 27017

結論

これで、Graylogサーバーのインストールと基本構成が完了しました。これで、http://192.0.2.1またはhttp://graylog.example.comDNSが構成されている場合は、Graylogサーバーにアクセスできます。以前にadmin設定したユーザー名とプレーンテキストバージョンのパスワードを使用してログインしますroot_password_sha2。

おめでとうございます。CentOS7サーバーに完全に機能するGraylogサーバーがインストールされました。