Hoe Graylog Server op Ubuntu 16.04 te installeren

• Vereisten
• Installeer Java
• Installeer Elasticsearch
• Installeer MongoDB
• Installeer de Graylog-server
• Configureer Graylog
• Configureer Nginx als een reverse proxy
• Gevolgtrekking

Graylog-server is een bedrijfsklare open source logsoftware suite. Het verzamelt logboeken van verschillende bronnen en analyseert ze om problemen te ontdekken en op te lossen. Greylog-server is in feite de combinatie van Elasticsearch, MongoDB en Graylog. Elasticsearch is een zeer populaire open source-applicatie om tekst op te slaan en zeer krachtige zoekmogelijkheden te bieden. MongoDB is een open source applicatie om data op te slaan in NoSQL formaat. Graylog verzamelt logboeken van verschillende bronnen en biedt een webgebaseerd dashboard om de logboeken te beheren en te doorzoeken. Graylog biedt ook een REST-API voor zowel configuratie als gegevens. Het biedt een configureerbaar dashboard dat kan worden gebruikt om statistieken te visualiseren en trends te observeren door gebruik te maken van veldstatistieken, snelle waarden en grafieken vanaf één centrale locatie.

In deze tutorial leer je Graylog Server te installeren op Ubuntu 16.04. Deze handleiding is geschreven voor Graylog Server 2.3, maar werkt mogelijk ook op nieuwere versies. Je leert ook Java, Elasticsearch en MongoDB te installeren. We zullen ook de MongoDB-instantie beveiligen en een Nginx reverse proxy instellen voor het webgebaseerde dashboard en de API.

Vereisten

• Een Vultr Ubuntu 16.04-serverinstantie met minimaal 4 GB RAM.
• Een sudo-gebruiker .

In deze tutorial gebruiken we 192.0.2.1als het openbare IP-adres van de server en graylog.example.comals de domeinnaam die naar de server verwijst. Vervang alle 192.0.2.1instanties van door uw Vultr openbare IP-adres en graylog.example.comdoor uw werkelijke domeinnaam.

Update uw basissysteem met behulp van de handleiding Ubuntu 16.04 bijwerken . Zodra uw systeem is bijgewerkt, gaat u verder met de installatie van Java.

Installeer Java

Elasticsearch vereist dat Java 8 wordt uitgevoerd. Het ondersteunt zowel Oracle Java als OpenJDK, maar het wordt altijd aanbevolen om waar mogelijk Oracle Java te gebruiken. Oracle Java PPA-repository toevoegen:

sudo add-apt-repository ppa:webupd8team/java

Werk de metagegevens van de APT-repository bij:

sudo apt update

Installeer de nieuwste stabiele versie van Java 8, voer uit:

sudo apt -y install oracle-java8-installer

Accepteer de licentieovereenkomst wanneer daarom wordt gevraagd. Als Java met succes is geïnstalleerd, moet u de versie ervan kunnen verifiëren.

java -version

Je ziet de volgende output.

user@vultr:~$ java -version
java version "1.8.0_144"
Java(TM) SE Runtime Environment (build 1.8.0_144-b01)
Java HotSpot(TM) 64-Bit Server VM (build 25.144-b01, mixed mode)

Stel de JAVA_HOMEen andere standaardwaarden in door te installeren oracle-java8-set-default. Rennen:

sudo apt -y install oracle-java8-set-default

Voer de echo $JAVA_HOMEopdracht uit om te controleren of de omgevingsvariabele is ingesteld of niet.

user@vultr:~$ echo "$JAVA_HOME"
/usr/lib/jvm/java-8-oracle

Als u de bovenstaande uitvoer niet krijgt, moet u mogelijk uitloggen en opnieuw inloggen op de shell.

Installeer Elasticsearch

Elasticsearch is een gedistribueerde, realtime, schaalbare en in hoge mate beschikbare applicatie die wordt gebruikt om de logs op te slaan en er doorheen te zoeken. Het slaat de gegevens op in indexen en het doorzoeken van de gegevens gaat erg snel. Het biedt verschillende sets API's, zoals HTTP RESTful API en native Java API. Elasticsearch kan rechtstreeks via de Elasticsearch-repository worden geïnstalleerd. Voeg de Elasticsearch APT-repository toe:

echo "deb https://artifacts.elastic.co/packages/5.x/apt stable main" | sudo tee -a /etc/apt/sources.list.d/elastic-5.x.list

Importeer de PGP-sleutel die is gebruikt om de pakketten te ondertekenen. Dit zorgt voor de integriteit van de pakketten.

wget -qO - https://artifacts.elastic.co/GPG-KEY-elasticsearch | sudo apt-key add -

Werk de metagegevens van de APT-repository bij.

sudo apt update

Installeer het Elasticsearch-pakket:

sudo apt -y install elasticsearch

Zodra het pakket is geïnstalleerd, opent u het standaard Elasticsearch-configuratiebestand.

sudo nano /etc/elasticsearch/elasticsearch.yml

Zoek de volgende regel, verwijder het commentaar en wijzig de waarde van my-applicationin graylog.

cluster.name: graylog

U kunt Elasticsearch starten en inschakelen om automatisch te starten tijdens het opstarten:

sudo systemctl enable elasticsearch
sudo systemctl start elasticsearch

Elasticsearch draait nu op poort 9200. Controleer of het goed werkt door te draaien:

curl -XGET 'localhost:9200/?pretty'

U zou uitvoer moeten zien die lijkt op het volgende.

[user@vultr ~]$ curl -XGET 'localhost:9200/?pretty'
{
  "name" : "-kYzFA9",
  "cluster_name" : "graylog",
  "cluster_uuid" : "T3JQKehzSqmLThlVkEKPKg",
  "version" : {
    "number" : "5.5.1",
    "build_hash" : "19c13d0",
    "build_date" : "2017-07-18T20:44:24.823Z",
    "build_snapshot" : false,
    "lucene_version" : "6.6.0"
  },
  "tagline" : "You Know, for Search"
}

Als u fouten tegenkomt, wacht u een paar seconden en probeert u het opnieuw, omdat Elasticsearch tijd nodig heeft om het opstartproces te voltooien. Elasticsearch is nu geïnstalleerd en werkt correct.

Installeer MongoDB

MongoDB is een gratis en open source NoSQL-databaseserver. In tegenstelling tot de traditionele database die tabellen gebruikt om hun gegevens te ordenen, is MongoDB documentgericht en gebruikt het JSON-achtige documenten zonder schema's. Graylog gebruikt MongoDB om de configuratie en meta-informatie op te slaan. Het kan rechtstreeks via de MongoDB-repository worden geïnstalleerd. Importeer de GPG-sleutel die is gebruikt om het pakket te ondertekenen. Dit zorgt voor de authenticiteit van de pakketten.

sudo apt-key adv --keyserver hkp://keyserver.ubuntu.com:80 --recv 0C49F3730359A14518585931BC711F9BA15703C6

Maak nu het repository-bestand:

echo "deb [ arch=amd64,arm64 ] http://repo.mongodb.org/apt/ubuntu xenial/mongodb-org/3.4 multiverse" | sudo tee /etc/apt/sources.list.d/mongodb-org-3.4.list

Werk de metagegevens van de APT-repository bij.

sudo apt update

Installeer het MongoDB-pakket:

sudo apt -y install mongodb-org

Start de MongoDB-server en schakel deze automatisch in.

sudo systemctl start mongod
sudo systemctl enable mongod

Installeer de Graylog-server

Download en de nieuwste repository voor Graylog-server.

wget https://packages.graylog2.org/repo/packages/graylog-2.3-repository_latest.deb
sudo dpkg -i graylog-2.3-repository_latest.deb
sudo apt update

Installeer Graylog-pakket:

sudo apt install graylog-server

De Graylog-server is nu op uw server geïnstalleerd. Voordat u het kunt starten, moet u een paar dingen configureren.

Configureer Graylog

Installeer pwgenhulpprogramma om sterke wachtwoorden te genereren.

sudo apt -y install pwgen

Genereer nu een sterk wachtwoordgeheim.

pwgen -N 1 -s 96

U zult vergelijkbaar zijn met:

[user@vultr ~]$ pwgen -N 1 -s 96
pJqhNbdEY9FtNBfFUtq20lG2m9daacmsZQr59FhyoA0Wu3XQyVZcu5FedPZ9eCiDfjdiYWfRcEQ7a36bVqxSyTzcMMx5Rz8v

Genereer ook een 256-bit hash voor het wachtwoord van de rootgebruiker admin:

echo -n StrongPassword | sha256sum

Vervang StrongPassworddoor het wachtwoord dat u voor de admingebruiker wilt instellen . Je zult zien:

[user@vultr ~]$ echo -n StrongPassword | sha256sum
05a181f00c157f70413d33701778a6ee7d2747ac18b9c0fbb8bd71a62dd7a223  -

Open het Graylog-configuratiebestand:

sudo nano /etc/graylog/server/server.conf

Zoek password_secret =, kopieer en plak het wachtwoord dat via de pwgenopdracht is gegenereerd . Zoek root_password_sha2 =, kopieer en plak de geconverteerde SHA 256-bit hash van uw beheerderswachtwoord. Vind #root_email =, verwijder commentaar en geef uw e-mailadres op. Geef commentaar en stel je tijdzone in op root_timezone. Bijvoorbeeld:

password_secret = pJqhNbdEY9FtNBfFUtq20lG2m9daacmsZQr59FhyoA0Wu3XQyVZcu5FedPZ9eCiDfjdiYWfRcEQ7a36bVqxSyTzcMMx5Rz8v
root_password_sha2 = 05a181f00c157f70413d33701778a6ee7d2747ac18b9c0fbb8bd71a62dd7a223
root_email = [email protected]
root_timezone = Asia/Kolkata

Schakel de webgebaseerde Graylog-interface in door commentaar te verwijderen #web_enable = falseen de waarde ervan in te stellen true. Maak ook commentaar en verander de volgende regels zoals gespecificeerd.

rest_listen_uri = http://0.0.0.0:9000/api/
rest_transport_uri = http://192.0.2.1:9000/api/
web_enable = true
web_listen_uri = http://0.0.0.0:9000/

Sla het bestand op en verlaat uw teksteditor.

Start de Graylog-service opnieuw op en schakel deze in door te draaien:

sudo systemctl restart graylog-server
sudo systemctl enable graylog-server

Configureer Nginx als een reverse proxy

Standaard luistert de Graylog-webinterface naar localhostpoort 9000 en luistert de API naar poort 9000 met URL /api. In deze tutorial gebruiken we Nginx als reverse proxy, zodat de applicatie toegankelijk is via een standaard HTTP-poort. Installeer de Nginx-webserver door het uitvoeren van:

sudo apt -y install nginx

Open het standaard virtuele hostbestand door te typen.

sudo nano /etc/nginx/sites-available/default

Vervang de bestaande inhoud door de volgende regels:

server
{
    listen 80 default_server;
    listen [::]:80 default_server ipv6only=on;
    server_name 192.0.2.1 graylog.example.com;

    location / {
      proxy_set_header Host $http_host;
      proxy_set_header X-Forwarded-Host $host;
      proxy_set_header X-Forwarded-Server $host;
      proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
      proxy_set_header X-Graylog-Server-URL http://$server_name/api;
      proxy_pass       http://127.0.0.1:9000;
    }
}

Start Nginx en laat het automatisch opstarten tijdens het opstarten:

sudo systemctl restart nginx
sudo systemctl enable nginx

Gevolgtrekking

De installatie en basisconfiguratie van de Graylog-server zijn nu voltooid. Je hebt nu toegang tot de Graylog-server op http://192.0.2.1of http://graylog.example.comals je DNS hebt geconfigureerd. Log in met de gebruikersnaam adminen de tekst zonder opmaak van het wachtwoord dat u root_password_sha2eerder heeft ingesteld .

Gefeliciteerd - je hebt een volledig werkende Graylog-server geïnstalleerd op je Ubuntu 16.04-server.