Ubuntu 16.04에 Graylog 서버를 설치하는 방법

• 전제 조건
• 자바 설치
• Elasticsearch 설치
• MongoDB 설치
• Graylog 서버 설치
• 그레이 로그 구성
• Nginx를 리버스 프록시로 구성
• 결론

Graylog 서버는 엔터프라이즈 급 오픈 소스 로그 관리 소프트웨어 제품군입니다. 다양한 소스에서 로그를 수집하고 분석하여 문제를 발견하고 해결합니다. Greylog 서버는 기본적으로 Elasticsearch, MongoDB 및 Graylog의 조합입니다. Elasticsearch는 텍스트를 저장하고 매우 강력한 검색 기능을 제공하는 매우 인기있는 오픈 소스 응용 프로그램입니다. MongoDB는 NoSQL 형식으로 데이터를 저장하는 오픈 소스 응용 프로그램입니다. Graylog는 다양한 소스에서 로그를 수집하고 로그를 관리하고 검색 할 수있는 웹 기반 대시 보드를 제공합니다. Graylog는 구성 및 데이터에 대한 REST API도 제공합니다. 중앙 위치에서 필드 통계, 빠른 값 및 차트를 사용하여 메트릭을 시각화하고 추세를 관찰하는 데 사용할 수있는 구성 가능한 대시 보드를 제공합니다.

이 튜토리얼에서는 Ubuntu 16.04에 Graylog Server를 설치하는 방법을 배웁니다. 이 안내서는 Graylog Server 2.3 용으로 작성되었지만 최신 버전에서도 작동 할 수 있습니다. Java, Elasticsearch 및 MongoDB 설치 방법도 배웁니다. 또한 MongoDB 인스턴스를 보호하고 웹 기반 대시 보드 및 API를위한 Nginx 리버스 프록시를 설정합니다.

전제 조건

• RAM이 4GB 이상인 Vultr Ubuntu 16.04 서버 인스턴스
• sudo는 사용자 .

이 학습서에서는 192.0.2.1서버의 공용 IP 주소 및 서버를 graylog.example.com가리키는 도메인 이름으로 사용합니다. 모든 발생을 192.0.2.1Vultr 공개 IP 주소 및 graylog.example.com실제 도메인 이름으로 바꾸십시오.

Ubuntu 16.04 업데이트 방법 안내서를 사용하여 기본 시스템을 업데이트하십시오 . 시스템이 업데이트되면 Java 설치를 진행하십시오.

자바 설치

Elasticsearch를 실행하려면 Java 8이 필요합니다. Oracle Java와 OpenJDK를 모두 지원하지만 가능하면 항상 Oracle Java를 사용하는 것이 좋습니다. Oracle Java PPA 저장소를 추가하십시오.

sudo add-apt-repository ppa:webupd8team/java

APT 저장소 메타 데이터를 업데이트하십시오.

sudo apt update

최신 안정 버전의 Java 8을 설치하고 다음을 실행하십시오.

sudo apt -y install oracle-java8-installer

메시지가 표시되면 라이센스 계약에 동의하십시오. Java가 성공적으로 설치되면 해당 버전을 확인할 수 있어야합니다.

java -version

다음과 같은 결과가 나타납니다.

user@vultr:~$ java -version
java version "1.8.0_144"
Java(TM) SE Runtime Environment (build 1.8.0_144-b01)
Java HotSpot(TM) 64-Bit Server VM (build 25.144-b01, mixed mode)

설치하여 JAVA_HOME및 기타 기본값을 설정하십시오 oracle-java8-set-default. 운영:

sudo apt -y install oracle-java8-set-default

echo $JAVA_HOME명령을 실행하여 환경 변수가 설정되어 있는지 확인하십시오.

user@vultr:~$ echo "$JAVA_HOME"
/usr/lib/jvm/java-8-oracle

위에 표시된 출력을 얻지 못하면 로그 아웃 한 후 다시 셸에 로그인해야합니다.

Elasticsearch 설치

Elasticsearch는 로그를 저장하고 검색하는 데 사용되는 분산 형 실시간 확장 가능 고 가용성 응용 프로그램입니다. 데이터를 인덱스에 저장하고 데이터를 통한 검색이 매우 빠릅니다. HTTP RESTful API 및 기본 Java API와 같은 다양한 API 세트를 제공합니다. Elasticsearch 리포지토리를 통해 Elasticsearch를 직접 설치할 수 있습니다. Elasticsearch APT 저장소를 추가하십시오.

echo "deb https://artifacts.elastic.co/packages/5.x/apt stable main" | sudo tee -a /etc/apt/sources.list.d/elastic-5.x.list

패키지 서명에 사용 된 PGP 키를 가져옵니다. 패키지의 무결성을 보장합니다.

wget -qO - https://artifacts.elastic.co/GPG-KEY-elasticsearch | sudo apt-key add -

APT 저장소 메타 데이터를 업데이트하십시오.

sudo apt update

Elasticsearch 패키지를 설치하십시오.

sudo apt -y install elasticsearch

패키지가 설치되면 Elasticsearch 기본 구성 파일을 엽니 다.

sudo nano /etc/elasticsearch/elasticsearch.yml

다음 줄을 찾아서 주석을 해제하고 값을에서 my-application로 변경하십시오 graylog.

cluster.name: graylog

Elasticsearch를 시작하고 부팅시 자동으로 시작되도록 설정할 수 있습니다.

sudo systemctl enable elasticsearch
sudo systemctl start elasticsearch

Elasticsearch는 이제 포트 9200에서 실행 중입니다. 다음을 실행하여 올바르게 작동하는지 확인하십시오.

curl -XGET 'localhost:9200/?pretty'

다음과 유사한 출력이 표시되어야합니다.

[user@vultr ~]$ curl -XGET 'localhost:9200/?pretty'
{
  "name" : "-kYzFA9",
  "cluster_name" : "graylog",
  "cluster_uuid" : "T3JQKehzSqmLThlVkEKPKg",
  "version" : {
    "number" : "5.5.1",
    "build_hash" : "19c13d0",
    "build_date" : "2017-07-18T20:44:24.823Z",
    "build_snapshot" : false,
    "lucene_version" : "6.6.0"
  },
  "tagline" : "You Know, for Search"
}

오류가 발생하면 Elasticsearch가 시작 프로세스를 완료하는 데 시간이 걸리므로 몇 초 동안 기다렸다가 다시 시도하십시오. Elasticsearch가 이제 설치되어 올바르게 작동합니다.

MongoDB 설치

MongoDB는 무료이며 오픈 소스 NoSQL 데이터베이스 서버입니다. 테이블을 사용하여 데이터를 구성하는 기존 데이터베이스와 달리 MongoDB는 문서 지향적이며 스키마없이 JSON과 유사한 문서를 사용합니다. Graylog는 MongoDB를 사용하여 구성 및 메타 정보를 저장합니다. MongoDB 저장소를 통해 직접 설치할 수 있습니다. 패키지 서명에 사용 된 GPG 키를 가져옵니다. 패키지의 신뢰성을 보장합니다.

sudo apt-key adv --keyserver hkp://keyserver.ubuntu.com:80 --recv 0C49F3730359A14518585931BC711F9BA15703C6

이제 저장소 파일을 작성하십시오.

echo "deb [ arch=amd64,arm64 ] http://repo.mongodb.org/apt/ubuntu xenial/mongodb-org/3.4 multiverse" | sudo tee /etc/apt/sources.list.d/mongodb-org-3.4.list

APT 저장소 메타 데이터를 업데이트하십시오.

sudo apt update

MongoDB 패키지를 설치하십시오 :

sudo apt -y install mongodb-org

MongoDB 서버를 시작하고 자동으로 시작되도록하십시오.

sudo systemctl start mongod
sudo systemctl enable mongod

Graylog 서버 설치

Graylog 서버용 최신 저장소를 다운로드하십시오.

wget https://packages.graylog2.org/repo/packages/graylog-2.3-repository_latest.deb
sudo dpkg -i graylog-2.3-repository_latest.deb
sudo apt update

Graylog 패키지를 설치하십시오.

sudo apt install graylog-server

Graylog 서버가 이제 서버에 설치되었습니다. 시작하기 전에 몇 가지를 구성해야합니다.

그레이 로그 구성

pwgen강력한 암호를 생성 하려면 유틸리티를 설치하십시오 .

sudo apt -y install pwgen

이제 강력한 암호 비밀을 생성하십시오.

pwgen -N 1 -s 96

다음과 비슷한 결과가 출력됩니다.

[user@vultr ~]$ pwgen -N 1 -s 96
pJqhNbdEY9FtNBfFUtq20lG2m9daacmsZQr59FhyoA0Wu3XQyVZcu5FedPZ9eCiDfjdiYWfRcEQ7a36bVqxSyTzcMMx5Rz8v

또한 루트 admin사용자 의 비밀번호에 대해 256 비트 해시를 생성하십시오 .

echo -n StrongPassword | sha256sum

대체 StrongPassword당신이 설정하고자하는 암호로 admin사용자. 당신은 볼 것이다 :

[user@vultr ~]$ echo -n StrongPassword | sha256sum
05a181f00c157f70413d33701778a6ee7d2747ac18b9c0fbb8bd71a62dd7a223  -

Graylog 구성 파일을 엽니 다.

sudo nano /etc/graylog/server/server.conf

명령을 password_secret =통해 생성 된 비밀번호를 찾아 복사하여 붙여 넣습니다 pwgen. root_password_sha2 =관리자 비밀번호의 변환 된 SHA 256 비트 해시를 찾아 복사하여 붙여 넣습니다. #root_email =이메일 주소를 찾아서 주석을 해제하고 제공하십시오. 에서 주석을 해제하고 시간대를 설정하십시오 root_timezone. 예를 들면 다음과 같습니다.

password_secret = pJqhNbdEY9FtNBfFUtq20lG2m9daacmsZQr59FhyoA0Wu3XQyVZcu5FedPZ9eCiDfjdiYWfRcEQ7a36bVqxSyTzcMMx5Rz8v
root_password_sha2 = 05a181f00c157f70413d33701778a6ee7d2747ac18b9c0fbb8bd71a62dd7a223
root_email = [email protected]
root_timezone = Asia/Kolkata

주석 처리를 제거 #web_enable = false하고 값을로 설정 하여 웹 기반 Graylog 인터페이스를 사용하십시오 true. 또한 다음과 같이 주석을 해제하고 지정된대로 변경하십시오.

rest_listen_uri = http://0.0.0.0:9000/api/
rest_transport_uri = http://192.0.2.1:9000/api/
web_enable = true
web_listen_uri = http://0.0.0.0:9000/

파일을 저장하고 텍스트 편집기를 종료하십시오.

다음을 실행하여 Graylog 서비스를 다시 시작하고 활성화하십시오.

sudo systemctl restart graylog-server
sudo systemctl enable graylog-server

Nginx를 리버스 프록시로 구성

기본적으로 Graylog 웹 인터페이스 localhost는 포트 9000에서 청취하고 API는 URL을 사용하여 포트 9000에서 청취합니다 /api. 이 튜토리얼에서는 Nginx를 리버스 프록시로 사용하여 표준 HTTP 포트를 통해 애플리케이션에 액세스 할 수 있습니다. 다음을 실행하여 Nginx 웹 서버를 설치하십시오.

sudo apt -y install nginx

입력하여 기본 가상 호스트 파일을여십시오.

sudo nano /etc/nginx/sites-available/default

기존 내용을 다음 줄로 바꾸십시오.

server
{
    listen 80 default_server;
    listen [::]:80 default_server ipv6only=on;
    server_name 192.0.2.1 graylog.example.com;

    location / {
      proxy_set_header Host $http_host;
      proxy_set_header X-Forwarded-Host $host;
      proxy_set_header X-Forwarded-Server $host;
      proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
      proxy_set_header X-Graylog-Server-URL http://$server_name/api;
      proxy_pass       http://127.0.0.1:9000;
    }
}

Nginx를 시작하고 부팅시 자동으로 시작되도록합니다 :

sudo systemctl restart nginx
sudo systemctl enable nginx

결론

Graylog 서버의 설치 ​​및 기본 구성이 완료되었습니다. 당신은 지금에 Graylog 서버에 액세스 할 수 있습니다 http://192.0.2.1또는 http://graylog.example.com당신이 가지고있는 경우 DNS 구성. 이전에 admin설정 한 사용자 이름 과 비밀번호의 일반 텍스트 버전을 사용하여 로그인하십시오 root_password_sha2.

축하합니다-Ubuntu 16.04 서버에 완전히 작동하는 Graylog 서버가 설치되어 있습니다.