Îți dorești o modalitate superioară de a administra jurnalele de pe serverele tale Linux? Încearcă Graylog. Cu Graylog, vei beneficia de un panou de bord web complex, care organizează eficient jurnalele de sistem, oferind o experiență vizuală plăcută.
Graylog se bazează pe diverse tehnologii fundamentale, cum ar fi Elasticsearch, Java și MongoDB. Pentru a utiliza acest software, vei avea nevoie de un server cu Ubuntu, CentOS/RedHat Enterprise Linux sau de o mașină capabilă să ruleze mașini virtuale Oracle VirtualBox.
Ghid pentru mașina virtuală
Dacă preferi mașinile virtuale, vei fi încântat să afli că Graylog, instrumentul de management al jurnalelor de server, este disponibil ca appliance virtual pentru VirtualBox. Pentru ca software-ul să funcționeze corect, deschide un terminal și urmează pașii de mai jos pentru a pune în funcțiune cea mai recentă versiune.
Pasul 1: Înainte de a încerca să utilizezi mașina virtuală Graylog, asigură-te că ai instalat VirtualBox pe serverul gazdă (dacă nu este deja cazul).
Ubuntu
sudo apt install virtualbox
Debian
sudo apt-get install virtualbox
Arch Linux
sudo pacman -S virtualbox
Fedora
sudo dnf install VirtualBox
OpenSUSE
sudo zypper install virtualbox
Linux generic
VirtualBox, dezvoltat de Oracle, este compatibil cu majoritatea distribuțiilor Linux. Cea mai nouă versiune poate fi descărcată de aici.
Pasul 2: Pornește VirtualBox și lasă fereastra deschisă. Apoi, accesează pagina de descărcare Graylog OVA și obține cea mai recentă versiune.
Pasul 3: Deschide managerul de fișiere și selectează „Descărcări”. Localizează fișierul Graylog OVA și dă click dreapta pe el. Din meniul contextual, alege opțiunea „Deschide cu VirtualBox”.
Pasul 4: După ce apeși butonul „Import” din VirtualBox, o solicitare îți va cere confirmarea importului appliance-ului. Selectează opțiunea de confirmare și parcurge procesul de import al Graylog în VirtualBox.
Pasul 5: După finalizarea importului, accesează „Setări” în VBox și configurează setările de rețea pentru mașină. Apoi, pornește mașina virtuală Graylog, autentifică-te cu utilizatorul „ubuntu” (parola este tot „ubuntu”) și introdu următoarele comenzi în consolă:
sudo graylog-ctl set-email-config <smtp server> [--port=<smtp port> --user=<username> --password=<password>] sudo graylog-ctl set-admin-password <password> sudo graylog-ctl set-timezone <zone acronym> sudo graylog-ctl reconfigure sudo apt-get install -y open-vm-tools
Pasul 6: Accesează adresa URL HTTP afișată de Graylog VM într-un browser web pentru a finaliza procesul de configurare.
Instalarea Graylog pe serverul Ubuntu
Vrei să folosești Graylog pe serverul tău Ubuntu? Ai noroc! Ubuntu se numără printre sistemele de operare principale suportate de dezvoltatori.
Înainte de a instala software-ul pe Ubuntu, este necesar să actualizezi sistemul și să instalezi cele mai recente patch-uri. Pentru a face acest lucru, deschide un terminal, conectează-te prin SSH și rulează următoarele comenzi:
sudo apt update sudo apt upgrade -y
Apoi, utilizează comanda Apt pentru a instala următoarele pachete. Acestea sunt necesare pentru a rezolva dependențele Graylog și pentru instalarea software-ului în sine:
sudo apt install apt-transport-https openjdk-8-jre-headless uuid-runtime pwgen
După configurarea pachetelor esențiale, urmează instalarea și configurarea sistemului MongoDB:
sudo apt-key adv --keyserver hkp://keyserver.ubuntu.com:80 --recv 2930ADAE8CAF5059EE73BB4B58712A2291FA4AD5 echo "deb [ arch=amd64,arm64 ] https://repo.mongodb.org/apt/ubuntu xenial/mongodb-org/3.6 multiverse" | sudo tee /etc/apt/sources.list.d/mongodb-org-3.6.list sudo apt update sudo apt install -y mongodb-org
Odată instalat MongoDB, pornește baza de date:
sudo systemctl daemon-reload sudo systemctl enable mongod.service sudo systemctl restart mongod.service
După MongoDB, este necesară instalarea Elasticsearch, pe care Graylog o utilizează ca backend:
wget -qO - https://artifacts.elastic.co/GPG-KEY-elasticsearch | sudo apt-key add - echo "deb https://artifacts.elastic.co/packages/5.x/apt stable main" | sudo tee -a /etc/apt/sources.list.d/elastic-5.x.list sudo apt update && sudo apt install elasticsearch
Modifică fișierul Elasticsearch YML folosind editorul de text Nano:
sudo nano /etc/elasticsearch/elasticsearch.yml
Apasă Ctrl+W, caută „cluster.name:”, elimină simbolul # și adaugă graylog la sfârșit. Linia ar trebui să arate astfel:
cluster.name: graylog
Pornește Elasticsearch:
sudo systemctl daemon-reload sudo systemctl enable elasticsearch.service sudo systemctl restart elasticsearch.service
Acum că Elasticsearch și MongoDB sunt configurate, putem descărca Graylog și îl putem instala pe Ubuntu. Efectuează următoarele comenzi:
wget https://packages.graylog2.org/repo/packages/graylog-2.4-repository_latest.deb sudo dpkg -i graylog-2.4-repository_latest.deb sudo apt-get update && sudo apt-get install graylog-server
Generează o cheie secretă cu ajutorul pwgen:
pwgen -N 1 -s 96
Copiază rezultatul. Apoi, deschide fișierul server.conf în Nano și adaugă cheia după „password_secret”:
sudo nano /etc/graylog/server/server.conf
După ce ai adăugat parola secretă, salvează Nano cu Ctrl+O și închide-l. Apoi, generează o parolă de root pentru Graylog folosind:
Setează parola de root a software-ului cu comanda de mai jos. Asigură-te că alegi o parolă puternică!
echo -n "Enter Password: " && head -1 </dev/stdin | tr -d 'n' | sha256sum | cut -d" " -f1
Din nou, copiază rezultatul și deschide fișierul server.conf în Nano. Lipește rezultatul după „root_password_sha2”.
Parolele sunt setate pentru Graylog, dar configurarea nu este completă. Trebuie să setezi adresa web implicită. Caută „rest_listen_uri” și „web_listen_uri” în fișierul server.conf, șterge valorile implicite și înlocuiește-le cu următoarele:
rest_listen_uri = https://adresa-ip-locala-a-serverului:12900/ web_listen_uri = https://adresa-ip-locala-a-serverului:9000/
Salvează Nano cu Ctrl+O, revino la terminal și repornește Graylog:
sudo systemctl daemon-reload sudo systemctl restart graylog-server
Accesează noul tău server de logare Graylog la următoarea adresă URL:
Notă: Autentificarea web este admin/admin
https://adresa-ip-locala-a-serverului/
Instalarea Graylog pe CentOS/Rhel
Utilizatori CentOS și RHEL, avem vești bune! Dacă vrei să încerci Graylog, ai noroc! Dezvoltatorii oferă suport excelent pentru sistemul vostru de operare. Pentru a-l instala, este necesar să ai CentOS 7 sau un echivalent RHEL.
Primul pas este obținerea dependențelor necesare. Deschide o fereastră de terminal și execută următoarele comenzi Yum:
sudo yum install java-1.8.0-openjdk-headless.x86_64 sudo yum install epel-release sudo yum install pwgen
După ce ai instalat dependențele de bază pentru Graylog, urmează instalarea MongoDB. Pentru a instala MongoDB, adaugă depozitul terță parte la sistem:
sudo touch /etc/yum.repos.d/mongodb-org-3.6.repo
Deschide fișierul repo în Nano:
sudo nano /etc/yum.repos.d/mongodb-org-3.6.repo
Lipește codul de mai jos în interior:
[mongodb-org-3.6]
name=MongoDB Repository
baseurl=https://repo.mongodb.org/yum/redhat/$releasever/mongodb-org/3.6/x86_64/
gpgcheck=1
enabled=1
gpgkey=https://www.mongodb.org/static/pgp/server-3.6.asc
Salvează Nano cu Ctrl+O
Pornește MongoDB cu comanda systemctl:
sudo chkconfig --add mongod sudo systemctl daemon-reload sudo systemctl enable mongod.service sudo systemctl start mongod.service
Instalează Elasticsearch pe sistemul CentOS 7/RedHat Enterprise Linux, deoarece Graylog are nevoie de acesta pentru a funcționa corect:
rpm --import https://artifacts.elastic.co/GPG-KEY-elasticsearch sudo touch /etc/yum.repos.d/elasticsearch.repo sudo nano /etc/yum.repos.d/elasticsearch.repo
Lipește următorul cod în Nano:
[elasticsearch-5.x]
name=Elasticsearch repository for 5.x packages
baseurl=https://artifacts.elastic.co/packages/5.x/yum
gpgcheck=1
gpgkey=https://artifacts.elastic.co/GPG-KEY-elasticsearch
enabled=1
autorefresh=1
type=rpm-md
Salvează codul cu Ctrl+O. Apoi, utilizează managerul de pachete Yum pentru a instala cea mai recentă versiune Elasticsearch:
sudo yum install elasticsearch
Acum că Elasticsearch rulează, trebuie să modificăm fișierul de configurare. Deschide elasticsearch.yml în Nano:
sudo nano /etc/elasticsearch/elasticsearch.yml
Apasă Ctrl+W și caută „cluster.name:”. Șterge simbolul # și adaugă graylog la sfârșitul textului.
Salvează fișierul de configurare apăsând Ctrl+O. Pornește Elasticsearch pe CentOS/Rhel cu:
sudo chkconfig --add elasticsearch sudo systemctl daemon-reload sudo systemctl enable elasticsearch.service sudo systemctl restart elasticsearch.service
Toate dependențele sunt instalate și rulează. Ultima parte a puzzle-ului pentru a face Graylog să funcționeze este instalarea software-ului. Pentru a activa repo-ul, rulează:
sudo rpm -Uvh https://packages.graylog2.org/repo/packages/graylog-2.4-repository_latest.rpm
Apoi, instalează Graylog cu managerul de pachete Yum:
sudo yum install graylog-server
Odată instalat Graylog, următorul pas este generarea unei chei secrete pe care serverul o va folosi. Acest lucru se face cu pwgen:
pwgen -N 1 -s 96
Copiază rezultatul și inserează-l după linia „password_secret” din server.conf:
sudo nano /etc/graylog/server/server.conf
Salvează modificările cu Ctrl+O. Apoi, ieși din Nano și generează parola de root cu comanda de mai jos:
echo -n "Enter Password: " && head -1 </dev/stdin | tr -d 'n' | sha256sum | cut -d" " -f1
La fel ca data trecută, copiază textul de ieșire al parolei, deschide server.conf în Nano și lipește-l după „root_password_sha2”.
Cu parolele setate, caută „rest_listen_uri” și „web_listen_uri” în fișierul de configurare. Modifică-le să arate similar cu:
rest_listen_uri = https://adresa-ip-locala-a-serverului:12900/ web_listen_uri = https://adresa-ip-locala-a-serverului:9000/
Salvează fișierul în Nano cu Ctrl+O, revino la terminal și utilizează următoarele comenzi systemctl pentru a porni Graylog pe CentOS/Rhel:
sudo chkconfig --add graylog-server sudo systemctl daemon-reload sudo systemctl enable graylog-server.service sudo systemctl start graylog-server.service
Dacă comenzile systemd sunt executate cu succes, vei putea accesa serverul Graylog prin intermediul browser-ului web la adresa de mai jos.
Notă: Pentru a te autentifica în interfața web, utilizează admin/admin.
https://adresa-ip-locala-a-serverului/