Hoe Graylog Server op CentOS 7 te installeren

• Vereisten
• Installeer Java
• Installeer Elasticsearch
• Installeer MongoDB
• Installeer de Graylog-server
• Configureer Graylog
• Configureer Nginx als een reverse proxy
• Configureer firewall en SELinux
• Gevolgtrekking

Graylog-server is een bedrijfsklare open source logsoftware suite. Het verzamelt logboeken van verschillende bronnen en analyseert ze om problemen te ontdekken en op te lossen. Graylog-server is in feite de combinatie van Elasticsearch, MongoDB en Graylog. Elasticsearch is een zeer populaire open source-applicatie om tekst op te slaan en zeer krachtige zoekmogelijkheden te bieden. MongoDB is een open source applicatie om data op te slaan in NoSQL formaat. Graylog verzamelt logboeken van verschillende bronnen en biedt een webgebaseerd dashboard om de logboeken te beheren en te doorzoeken. Graylog biedt ook een REST-API voor zowel configuratie als gegevens. Het biedt een configureerbaar dashboard dat kan worden gebruikt om statistieken te visualiseren en trends te observeren door gebruik te maken van veldstatistieken, snelle waarden en grafieken vanaf één centrale locatie.

In deze tutorial leert u hoe u Graylog Server op CentOS 7 kunt installeren. Deze handleiding is geschreven voor Graylog Server 2.3, maar werkt mogelijk ook op nieuwere versies. Je leert ook Java, Elasticsearch en MongoDB te installeren. We zullen ook de MongoDB-instantie beveiligen en een Nginx reverse proxy instellen voor het webgebaseerde dashboard en de API.

Vereisten

• Een Vultr CentOS 7-serverinstantie met minimaal 4 GB RAM.
• Een sudo-gebruiker .

In deze tutorial gebruiken we 192.0.2.1als het openbare IP-adres van de server en graylog.example.comals de domeinnaam die naar de server verwijst. Vervang alle 192.0.2.1instanties van door uw Vultr openbare IP-adres en graylog.example.comdoor uw werkelijke domeinnaam.

Update uw basissysteem met behulp van de handleiding CentOS 7 updaten . Zodra uw systeem is bijgewerkt, gaat u verder met de installatie van Java.

Installeer Java

Elasticsearch vereist dat Java 8 wordt uitgevoerd. Het ondersteunt zowel Oracle Java als OpenJDK, maar het wordt altijd aanbevolen om waar mogelijk Oracle Java te gebruiken. Oracle biedt kant-en-klare RPM-pakketten. Download de Oracle JDK RPM:

wget --no-cookies --no-check-certificate --header "Cookie:oraclelicense=accept-securebackup-cookie" "http://download.oracle.com/otn-pub/java/jdk/8u144-b01/090f390dda5b47b9b721c7dfaa008135/jdk-8u144-linux-x64.rpm"

Installeer het RPM-pakket.

sudo yum -y install jdk-8u144-linux-x64.rpm

Als Java met succes is geïnstalleerd, moet u de versie ervan kunnen verifiëren.

java -version

Je ziet de volgende output.

[user@vultr ~]$ java -version
java version "1.8.0_144"
Java(TM) SE Runtime Environment (build 1.8.0_144-b01)
Java HotSpot(TM) 64-Bit Server VM (build 25.144-b01, mixed mode)

Set JAVA_HOMEen JRE_HOMEomgevingsvariabele door te draaien:

echo "export JAVA_HOME=/usr/java/jdk1.8.0_144/" >> ~/.bash_profile
echo "export JRE_HOME=/usr/java/jdk1.8.0_144/jre" >> ~/.bash_profile

Bron nu het bestand met de volgende opdracht.

source ~/.bash_profile

Voer de echo $JAVA_HOMEopdracht uit om te controleren of de omgevingsvariabele is ingesteld of niet.

[user@vultr ~]$ echo $JAVA_HOME
/usr/java/jdk1.8.0_144/

Installeer Elasticsearch

Elasticsearch is een gedistribueerde, realtime, schaalbare en in hoge mate beschikbare applicatie die wordt gebruikt om de logs op te slaan en er doorheen te zoeken. Het slaat de gegevens op in indexen en het doorzoeken van de gegevens gaat erg snel. Het biedt verschillende sets API's, zoals HTTP RESTful API en native Java API. Elasticsearch kan rechtstreeks via de Elasticsearch-repository worden geïnstalleerd. Maak een nieuw repository-bestand voor Elasticsearch.

sudo nano /etc/yum.repos.d/elasticsearch.repo

Vul het bestand met de volgende inhoud.

[elasticsearch-5.x]
name=Elasticsearch repository for 5.x packages
baseurl=https://artifacts.elastic.co/packages/5.x/yum
gpgcheck=1
gpgkey=https://artifacts.elastic.co/GPG-KEY-elasticsearch
enabled=1
autorefresh=1
type=rpm-md

Importeer de PGP-sleutel die is gebruikt om de pakketten te ondertekenen. Dit zorgt voor de integriteit van de pakketten.

sudo rpm --import https://artifacts.elastic.co/GPG-KEY-elasticsearch

Installeer het Elasticsearch-pakket:

sudo yum -y install elasticsearch

Zodra het pakket is geïnstalleerd, opent u het standaard Elasticsearch-configuratiebestand.

sudo nano /etc/elasticsearch/elasticsearch.yml

Zoek de volgende regel, verwijder het commentaar en wijzig de waarde van my-applicationin graylog.

cluster.name: graylog

U kunt Elasticsearch starten en inschakelen om automatisch te starten tijdens het opstarten:

sudo systemctl enable elasticsearch
sudo systemctl start elasticsearch

Elasticsearch draait nu op poort 9200. Controleer of het goed werkt door te draaien:

curl -XGET 'localhost:9200/?pretty'

U zou uitvoer moeten zien die lijkt op het volgende.

[user@vultr ~]$ curl -XGET 'localhost:9200/?pretty'
{
  "name" : "-kYzFA9",
  "cluster_name" : "graylog",
  "cluster_uuid" : "T3JQKehzSqmLThlVkEKPKg",
  "version" : {
    "number" : "5.5.1",
    "build_hash" : "19c13d0",
    "build_date" : "2017-07-18T20:44:24.823Z",
    "build_snapshot" : false,
    "lucene_version" : "6.6.0"
  },
  "tagline" : "You Know, for Search"
}

Als u fouten tegenkomt, wacht u een paar seconden en probeert u het opnieuw, omdat Elasticsearch tijd nodig heeft om het opstartproces te voltooien. Elasticsearch is nu geïnstalleerd en werkt correct.

Installeer MongoDB

MongoDB is een gratis en open source NoSQL-databaseserver. In tegenstelling tot de traditionele database die tabellen gebruikt om hun gegevens te ordenen, is MongoDB documentgericht en gebruikt het JSON-achtige documenten zonder schema's. Graylog gebruikt MongoDB om de configuratie en meta-informatie op te slaan. Het kan rechtstreeks via de MongoDB-repository worden geïnstalleerd. Maak een nieuw repository-bestand voor MongoDB.

sudo nano /etc/yum.repos.d/mongodb.repo

Vul het bestand met de volgende inhoud.

[mongodb-org-3.4]
name=MongoDB Repository
baseurl=https://repo.mongodb.org/yum/redhat/$releasever/mongodb-org/3.4/x86_64/
gpgcheck=1
enabled=1
gpgkey=https://www.mongodb.org/static/pgp/server-3.4.asc

Installeer MongoDB door het uitvoeren van:

sudo yum -y install mongodb-org

Start de MongoDB-server en schakel deze automatisch in.

sudo systemctl start mongod
sudo systemctl enable mongod

Installeer de Graylog-server

Download de nieuwste repository voor Graylog-server.

sudo rpm -Uvh https://packages.graylog2.org/repo/packages/graylog-2.3-repository_latest.rpm
sudo yum -y update

Installeer Graylog door te draaien:

sudo yum -y install graylog-server

De Graylog-server is nu op uw server geïnstalleerd. Voordat u het kunt starten, moet u een paar dingen configureren.

Configureer Graylog

Installeer pwgenhulpprogramma om sterke wachtwoorden te genereren.

sudo yum -y install pwgen

Genereer nu een sterk wachtwoordgeheim.

pwgen -N 1 -s 96

U zult vergelijkbaar zijn met:

[user@vultr ~]$ pwgen -N 1 -s 96
pJqhNbdEY9FtNBfFUtq20lG2m9daacmsZQr59FhyoA0Wu3XQyVZcu5FedPZ9eCiDfjdiYWfRcEQ7a36bVqxSyTzcMMx5Rz8v

Genereer ook een 256-bit hash voor het wachtwoord van de rootgebruiker admin:

echo -n StrongPassword | sha256sum

Vervang StrongPassworddoor het wachtwoord dat u voor de admingebruiker wilt instellen . Je zult zien:

[user@vultr ~]$ echo -n StrongPassword | sha256sum
05a181f00c157f70413d33701778a6ee7d2747ac18b9c0fbb8bd71a62dd7a223  -

Open het Graylog-configuratiebestand:

sudo nano /etc/graylog/server/server.conf

Zoek password_secret =, kopieer en plak het wachtwoord dat via de pwgenopdracht is gegenereerd . Zoek root_password_sha2 =, kopieer en plak de geconverteerde SHA 256-bit hash van uw beheerderswachtwoord. Vind #root_email =, verwijder commentaar en geef uw e-mailadres op. Geef commentaar en stel je tijdzone in op root_timezone. Bijvoorbeeld:

password_secret = pJqhNbdEY9FtNBfFUtq20lG2m9daacmsZQr59FhyoA0Wu3XQyVZcu5FedPZ9eCiDfjdiYWfRcEQ7a36bVqxSyTzcMMx5Rz8v
root_password_sha2 = 05a181f00c157f70413d33701778a6ee7d2747ac18b9c0fbb8bd71a62dd7a223
root_email = [email protected]
root_timezone = Asia/Kolkata

Schakel de webgebaseerde Graylog-interface in door commentaar te verwijderen #web_enable = falseen de waarde in te stellen true. Maak ook commentaar en verander de volgende regels zoals gespecificeerd.

rest_listen_uri = http://0.0.0.0:9000/api/
rest_transport_uri = http://45.76.214.19:9000/api/
web_enable = true
web_listen_uri = http://0.0.0.0:9000/

Sla het bestand op en verlaat uw teksteditor.

Start de Graylog-service opnieuw op door het volgende uit te voeren:

sudo systemctl restart graylog-server

Configureer Nginx als een reverse proxy

Standaard luistert de Graylog-webinterface naar localhostpoort 9000 en luistert de API naar poort 9000 met URL /api. In deze tutorial gebruiken we Nginx als reverse proxy, zodat de applicatie toegankelijk is via een standaard HTTP-poort. Installeer de Nginx-webserver door het uitvoeren van:

sudo yum -y install nginx

Open de standaard virtuele host door te typen.

sudo nano /etc/nginx/nginx.conf

Zoek het serverblok onder httpen vervang het hele serverblok door de volgende regels.

server
{
    listen 80 default_server;
    listen [::]:80 default_server ipv6only=on;
    server_name graylog.example.com 192.0.2.1;

    location / {
      proxy_set_header Host $http_host;
      proxy_set_header X-Forwarded-Host $host;
      proxy_set_header X-Forwarded-Server $host;
      proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
      proxy_set_header X-Graylog-Server-URL http://$server_name/api;
      proxy_pass       http://127.0.0.1:9000;
    }
}

Start Nginx en laat het automatisch opstarten tijdens het opstarten:

sudo systemctl start nginx
sudo systemctl enable nginx

Configureer firewall en SELinux

Als u een firewall op uw server uitvoert, moet u de firewall configureren om een ​​uitzondering in te stellen voor bepaalde poorten. Sta toe dat Elasticsearch-service en Nginx reverse proxy verbinding maken van buiten het netwerk.

sudo firewall-cmd --zone=public --permanent --add-service=http
sudo firewall-cmd --zone=public --permanent --add-port=9200/tcp
sudo firewall-cmd --reload

Als je SELinux op je systeem hebt ingeschakeld, dan moet je een paar uitzonderingen toevoegen aan het SELinux-beleid.

sudo setsebool -P httpd_can_network_connect 1
sudo semanage port -a -t http_port_t -p tcp 9000
sudo semanage port -a -t http_port_t -p tcp 9200
sudo semanage port -a -t mongod_port_t -p tcp 27017

Gevolgtrekking

De installatie en basisconfiguratie van de Graylog-server zijn nu voltooid. Je hebt nu toegang tot de Graylog-server op http://192.0.2.1of http://graylog.example.comals je DNS hebt geconfigureerd. Log in met de gebruikersnaam adminen de tekst zonder opmaak van het wachtwoord dat u root_password_sha2eerder heeft ingesteld .

Gefeliciteerd - u hebt een volledig werkende Graylog-server geïnstalleerd op uw CentOS 7-server.