CentOS 7ye Graylog Sunucusu Nasıl Yüklenir

• Ön şartlar
• Java'yı yükleyin
• Elasticsearch'ü yükle
• MongoDB'yi yükleyin
• Graylog sunucusunu yükle
• Graylog'u Yapılandır
• Nginx'i ters proxy olarak yapılandırma
• Güvenlik duvarını ve SELinux'u yapılandırma
• Sonuç

Graylog sunucusu, kurumsal kullanıma hazır açık kaynaklı bir günlük yönetim yazılımı paketidir. Çeşitli kaynaklardan günlükleri toplar ve sorunları keşfetmek ve çözmek için bunları analiz eder. Graylog sunucusu temel olarak Elasticsearch, MongoDB ve Graylog'un birleşimidir. Elasticsearch, metin depolamak ve çok güçlü arama yetenekleri sağlamak için çok popüler bir açık kaynak uygulamasıdır. MongoDB, verileri NoSQL formatında saklamak için kullanılan açık kaynaklı bir uygulamadır. Graylog, çeşitli kaynaklardan günlükler toplar ve günlükleri yönetmek ve aramak için web tabanlı bir kontrol paneli sağlar. Graylog ayrıca hem yapılandırma hem de veriler için bir REST API'si sağlar. Alan istatistiklerini, hızlı değerleri ve grafikleri tek bir merkezi konumdan kullanarak metrikleri görselleştirmek ve eğilimleri gözlemlemek için kullanılabilecek yapılandırılabilir bir gösterge tablosu sağlar.

Bu öğreticide, CentOS 7'ye Graylog Sunucusu yüklemeyi öğreneceksiniz. Bu kılavuz Graylog Server 2.3 için yazılmıştır, ancak daha yeni sürümlerde de çalışabilir. Ayrıca Java, Elasticsearch ve MongoDB kurmayı da öğreneceksiniz. Ayrıca MongoDB örneğini güvenli hale getireceğiz ve web tabanlı gösterge tablosu ve API için bir Nginx ters proxy'si kuracağız.

Ön şartlar

• En az 4GB RAM'e sahip bir Vultr CentOS 7 sunucu örneği.
• Bir sudo kullanıcısı .

Bu öğreticide, 192.0.2.1sunucunun genel IP adresi ve sunucuyu graylog.example.comişaret eden etki alanı adı olarak kullanacağız. 192.0.2.1İle ilgili tüm tekrarları Vultr genel IP adresinizle ve graylog.example.comgerçek alan adınızla değiştirin.

CentOS 7'yi Güncelleme kılavuzunu kullanarak temel sisteminizi güncelleyin . Sisteminiz güncellendiğinde, Java'yı yüklemeye devam edin.

Java'yı yükleyin

Elasticsearch, Java 8'in çalışmasını gerektirir. Hem Oracle Java hem de OpenJDK'yı destekler, ancak her zaman mümkün olduğunda Oracle Java kullanmanız önerilir. Oracle kuruluma hazır RPM paketleri sağlar. Oracle JDK BGBG'sini indirin:

wget --no-cookies --no-check-certificate --header "Cookie:oraclelicense=accept-securebackup-cookie" "http://download.oracle.com/otn-pub/java/jdk/8u144-b01/090f390dda5b47b9b721c7dfaa008135/jdk-8u144-linux-x64.rpm"

RPM paketini yükleyin.

sudo yum -y install jdk-8u144-linux-x64.rpm

Java başarıyla yüklendiyse, sürümünü doğrulayabilmeniz gerekir.

java -version

Aşağıdaki çıktıyı göreceksiniz.

[user@vultr ~]$ java -version
java version "1.8.0_144"
Java(TM) SE Runtime Environment (build 1.8.0_144-b01)
Java HotSpot(TM) 64-Bit Server VM (build 25.144-b01, mixed mode)

Set JAVA_HOMEve JRE_HOMEortam değişkenini çalıştırarak:

echo "export JAVA_HOME=/usr/java/jdk1.8.0_144/" >> ~/.bash_profile
echo "export JRE_HOME=/usr/java/jdk1.8.0_144/jre" >> ~/.bash_profile

Şimdi, aşağıdaki komutu kullanarak dosyayı kaynaklayın.

source ~/.bash_profile

echo $JAVA_HOMEOrtam değişkeninin ayarlanıp ayarlanmadığını kontrol etmek için komutu çalıştırın .

[user@vultr ~]$ echo $JAVA_HOME
/usr/java/jdk1.8.0_144/

Elasticsearch'ü yükle

Elasticsearch, günlükleri depolamak ve bunlar arasında arama yapmak için kullanılan dağıtılmış, gerçek zamanlı, ölçeklenebilir ve yüksek oranda kullanılabilir bir uygulamadır. Verileri dizinlerde saklar ve veriler arasında arama yapmak çok hızlıdır. HTTP RESTful API ve yerel Java API gibi çeşitli API setleri sağlar. Elasticsearch doğrudan Elasticsearch veri havuzu üzerinden kurulabilir. Elasticsearch için yeni bir havuz dosyası oluşturun.

sudo nano /etc/yum.repos.d/elasticsearch.repo

Dosyayı aşağıdaki içerikle doldurun.

[elasticsearch-5.x]
name=Elasticsearch repository for 5.x packages
baseurl=https://artifacts.elastic.co/packages/5.x/yum
gpgcheck=1
gpgkey=https://artifacts.elastic.co/GPG-KEY-elasticsearch
enabled=1
autorefresh=1
type=rpm-md

Paketleri imzalamak için kullanılan PGP anahtarını içe aktarın. Bu paketlerin bütünlüğünü sağlayacaktır.

sudo rpm --import https://artifacts.elastic.co/GPG-KEY-elasticsearch

Elasticsearch paketini kurun:

sudo yum -y install elasticsearch

Paket yüklendikten sonra, Elasticsearch varsayılan yapılandırma dosyasını açın.

sudo nano /etc/elasticsearch/elasticsearch.yml

Aşağıdaki satırı bulun, yorumu kaldırın ve değerini olarak olarak my-applicationdeğiştirin graylog.

cluster.name: graylog

Elasticsearch'ü başlatabilir ve önyükleme zamanında otomatik olarak başlamasını sağlayabilirsiniz:

sudo systemctl enable elasticsearch
sudo systemctl start elasticsearch

Elasticsearch şu anda 9200 numaralı bağlantı noktasında çalışıyor. Aşağıdakileri çalıştırarak düzgün çalıştığını doğrulayın:

curl -XGET 'localhost:9200/?pretty'

Aşağıdakine benzer bir çıktı görmelisiniz.

[user@vultr ~]$ curl -XGET 'localhost:9200/?pretty'
{
  "name" : "-kYzFA9",
  "cluster_name" : "graylog",
  "cluster_uuid" : "T3JQKehzSqmLThlVkEKPKg",
  "version" : {
    "number" : "5.5.1",
    "build_hash" : "19c13d0",
    "build_date" : "2017-07-18T20:44:24.823Z",
    "build_snapshot" : false,
    "lucene_version" : "6.6.0"
  },
  "tagline" : "You Know, for Search"
}

Hatalarla karşılaşırsanız, birkaç saniye bekleyin ve Elasticsearch'ün başlatma işlemini tamamlaması zaman aldığından tekrar deneyin. Elasticsearch artık kuruldu ve düzgün çalışıyor.

MongoDB'yi yükleyin

MongoDB ücretsiz ve açık kaynak kodlu bir NoSQL veritabanı sunucusudur. Verilerini düzenlemek için tabloları kullanan geleneksel veritabanının aksine, MongoDB belge yönelimlidir ve şema olmadan JSON benzeri belgeler kullanır. Graylog, yapılandırmasını ve meta bilgilerini depolamak için MongoDB'yi kullanır. Doğrudan MongoDB deposu üzerinden kurulabilir. MongoDB için yeni bir havuz dosyası oluşturun.

sudo nano /etc/yum.repos.d/mongodb.repo

Dosyayı aşağıdaki içerikle doldurun.

[mongodb-org-3.4]
name=MongoDB Repository
baseurl=https://repo.mongodb.org/yum/redhat/$releasever/mongodb-org/3.4/x86_64/
gpgcheck=1
enabled=1
gpgkey=https://www.mongodb.org/static/pgp/server-3.4.asc

MongoDB'yi çalıştırarak yükleyin:

sudo yum -y install mongodb-org

MongoDB sunucusunu başlatın ve otomatik olarak başlamasını sağlayın.

sudo systemctl start mongod
sudo systemctl enable mongod

Graylog sunucusunu yükle

Graylog sunucusu için en son havuzu indirin.

sudo rpm -Uvh https://packages.graylog2.org/repo/packages/graylog-2.3-repository_latest.rpm
sudo yum -y update

Graylog'u çalıştırarak yükleyin:

sudo yum -y install graylog-server

Graylog sunucusu artık sunucunuza yüklenmiştir. Başlamadan önce birkaç şey yapılandırmanız gerekir.

Graylog'u Yapılandır

pwgenGüçlü parolalar oluşturmak için yardımcı programı yükleyin .

sudo yum -y install pwgen

Şimdi güçlü bir şifre sırrı oluşturun.

pwgen -N 1 -s 96

Şuna benzer çıktılar alacaksınız:

[user@vultr ~]$ pwgen -N 1 -s 96
pJqhNbdEY9FtNBfFUtq20lG2m9daacmsZQr59FhyoA0Wu3XQyVZcu5FedPZ9eCiDfjdiYWfRcEQ7a36bVqxSyTzcMMx5Rz8v

Ayrıca, kök adminkullanıcının parolası için 256 bit karma oluşturun :

echo -n StrongPassword | sha256sum

Kullanıcı StrongPasswordiçin belirlemek istediğiniz şifreyle değiştirin admin. Göreceksin:

[user@vultr ~]$ echo -n StrongPassword | sha256sum
05a181f00c157f70413d33701778a6ee7d2747ac18b9c0fbb8bd71a62dd7a223  -

Graylog yapılandırma dosyasını açın:

sudo nano /etc/graylog/server/server.conf

Komut ile password_secret =oluşturulan şifreyi bulun , kopyalayın ve yapıştırın pwgen. root_password_sha2 =Yönetici şifrenizin dönüştürülmüş SHA 256 bit karmasını bulun , kopyalayın ve yapıştırın. #root_email =E-posta adresinizi bulun , açın ve sağlayın. Açık konuma getirin ve saat diliminizi olarak ayarlayın root_timezone. Örneğin:

password_secret = pJqhNbdEY9FtNBfFUtq20lG2m9daacmsZQr59FhyoA0Wu3XQyVZcu5FedPZ9eCiDfjdiYWfRcEQ7a36bVqxSyTzcMMx5Rz8v
root_password_sha2 = 05a181f00c157f70413d33701778a6ee7d2747ac18b9c0fbb8bd71a62dd7a223
root_email = [email protected]
root_timezone = Asia/Kolkata

Uncommenting web tabanlı Graylog arabirimini etkinleştirme #web_enable = falseve değerini ayarlayarak true. Ayrıca, aşağıdaki satırları da belirtin ve değiştirin.

rest_listen_uri = http://0.0.0.0:9000/api/
rest_transport_uri = http://45.76.214.19:9000/api/
web_enable = true
web_listen_uri = http://0.0.0.0:9000/

Dosyayı kaydedin ve metin düzenleyicinizden çıkın.

Graylog hizmetini çalıştırarak yeniden başlatın:

sudo systemctl restart graylog-server

Nginx'i ters proxy olarak yapılandırma

Varsayılan olarak, Graylog web arayüzü localhost9000 numaralı bağlantı noktasını dinler ve API 9000 numaralı bağlantı noktasını URL ile dinler /api. Bu öğreticide, uygulamanın standart HTTP bağlantı noktası üzerinden erişilebilmesi için Nginx'i ters proxy olarak kullanacağız. Nginx web sunucusunu çalıştırarak kurun:

sudo yum -y install nginx

Varsayılan sanal ana bilgisayarı yazarak açın.

sudo nano /etc/nginx/nginx.conf

serverAltındaki bloğu bulun ve httptüm serverbloğu aşağıdaki satırlarla değiştirin.

server
{
    listen 80 default_server;
    listen [::]:80 default_server ipv6only=on;
    server_name graylog.example.com 192.0.2.1;

    location / {
      proxy_set_header Host $http_host;
      proxy_set_header X-Forwarded-Host $host;
      proxy_set_header X-Forwarded-Server $host;
      proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
      proxy_set_header X-Graylog-Server-URL http://$server_name/api;
      proxy_pass       http://127.0.0.1:9000;
    }
}

Nginx'i başlatın ve önyükleme zamanında otomatik olarak başlamasını sağlayın:

sudo systemctl start nginx
sudo systemctl enable nginx

Güvenlik duvarını ve SELinux'u yapılandırma

Sunucunuzda bir güvenlik duvarı çalıştırıyorsanız, güvenlik duvarını belirli bağlantı noktaları için bir istisna ayarlayacak şekilde yapılandırmanız gerekir. Elasticsearch hizmetinin ve Nginx ters proxy'nin ağ dışından bağlanmasına izin verin.

sudo firewall-cmd --zone=public --permanent --add-service=http
sudo firewall-cmd --zone=public --permanent --add-port=9200/tcp
sudo firewall-cmd --reload

Sisteminizde SELinux'u etkinleştirdiyseniz, SELinux ilkelerine birkaç istisna eklemeniz gerekir.

sudo setsebool -P httpd_can_network_connect 1
sudo semanage port -a -t http_port_t -p tcp 9000
sudo semanage port -a -t http_port_t -p tcp 9200
sudo semanage port -a -t mongod_port_t -p tcp 27017

Sonuç

Graylog sunucusunun kurulumu ve temel yapılandırması artık tamamlanmıştır. Artık Graylog sunucusuna http://192.0.2.1veya http://graylog.example.comyapılandırılmış DNS'niz varsa erişebilirsiniz . adminDaha root_password_sha2önce ayarladığınız parolanın kullanıcı adını ve düz metin sürümünü kullanarak oturum açın .

Tebrikler - CentOS 7 sunucunuzda tam olarak çalışan bir Graylog sunucunuz var.