GNU/Linux >> Linux Esercitazione >  >> Debian

Come installare Graylog su Debian 10 / Debian 9

Graylog è uno strumento gratuito e open source di gestione dei registri che ti aiuta a raccogliere e analizzare centralmente i registri di qualsiasi macchina.

Questa guida si concentra sull'installazione di Graylog (v3.2) su Debian 10 / Debian 9.

Componenti

  1. Ricerca elastica:memorizza i registri della macchina e fornisce la funzione di ricerca.
  2. MongoDB:funge da database per archiviare configurazioni e metainformazioni.
  3. Server Graylog:raccoglie i registri da vari input e fornisce un'interfaccia Web integrata per la gestione dei registri.

Prerequisiti

Installa i pochi pacchetti richiesti per la configurazione di Graylog.

sudo apt update 

sudo apt install -y apt-transport-https uuid-runtime pwgen curl dirmngr wget

Installa Oracle JDK o OpenJDK sul tuo computer per Elasticsearch.

sudo apt install -y default-jre

Verifica la versione Java.

java -version

Risultato: 

openjdk version "11.0.6" 2020-01-14
OpenJDK Runtime Environment (build 11.0.6+10-post-Debian-1deb10u1)
OpenJDK 64-Bit Server VM (build 11.0.6+10-post-Debian-1deb10u1, mixed mode, sharing)

Installa Elasticsearch

Elasticsearch è uno dei componenti principali della configurazione di Graylog. Funziona come un server di ricerca, offre una ricerca e analisi distribuite in tempo reale con l'interfaccia web RESTful.

Elasticsearch archivia i log inviati dal server Graylog e visualizza i messaggi ogni volta che l'utente lo richiede tramite l'interfaccia web integrata.

Aggiungiamo la chiave di firma GPG di Elasticsearch.

wget -qO - https://artifacts.elastic.co/GPG-KEY-elasticsearch | sudo apt-key add -

Configura il repository Eleasticsearch eseguendo il comando seguente.

echo "deb https://artifacts.elastic.co/packages/oss-6.x/apt stable main" | sudo tee -a /etc/apt/sources.list.d/elastic-6.x.list

Aggiorna la cache del repository e installa Elasticsearch.

sudo apt update

sudo apt install -y elasticsearch-oss

Modifica il file di configurazione di Elasticsearch.

sudo nano /etc/elasticsearch/elasticsearch.yml

Imposta il nome del cluster come graylog.

cluster.name: graylog

action.auto_create_index: false

Riavvia il servizio Elasticsearch.

sudo systemctl restart elasticsearch

Imposta Elasticsearch in modo che si avvii automaticamente all'avvio del sistema.

sudo systemctl enable elasticsearch

Attendi un minuto per avviare completamente Elasticsearch.

Ora Elastisearch dovrebbe essere in ascolto sulla porta 9200 per servire le richieste HTTP. Usa un CURL per controllare la risposta.

curl -X GET http://localhost:9200

Assicurati che il nome del cluster venga visualizzato come graylog.

{
  "name" : "EHpBH-y",
  "cluster_name" : "graylog",
  "cluster_uuid" : "cGXE-wgsT56sBKsDC_TYBw",
  "version" : {
    "number" : "6.8.7",
    "build_flavor" : "oss",
    "build_type" : "deb",
    "build_hash" : "c63e621",
    "build_date" : "2020-02-26T14:38:01.193138Z",
    "build_snapshot" : false,
    "lucene_version" : "7.7.2",
    "minimum_wire_compatibility_version" : "5.6.0",
    "minimum_index_compatibility_version" : "5.0.0"
  },
  "tagline" : "You Know, for Search"
}

Verifica lo stato del cluster Elasticsearch.

curl -XGET 'http://localhost:9200/_cluster/health?pretty=true'

Assicurati che lo stato del cluster sia verde .

{
  "cluster_name" : "graylog",
  "status" : "green",
  "timed_out" : false,
  "number_of_nodes" : 1,
  "number_of_data_nodes" : 1,
  "active_primary_shards" : 0,
  "active_shards" : 0,
  "relocating_shards" : 0,
  "initializing_shards" : 0,
  "unassigned_shards" : 0,
  "delayed_unassigned_shards" : 0,
  "number_of_pending_tasks" : 0,
  "number_of_in_flight_fetch" : 0,
  "task_max_waiting_in_queue_millis" : 0,
  "active_shards_percent_as_number" : 100.0
}

Installa MongoDB

Graylog 3 funziona solo con MongoDB 4.0. Quindi, segui le istruzioni sui link sottostanti per installare MongoDB 4.0, a seconda della versione di Debian.

LEGGI: Come installare MongoDB 4.0 su Debian 10

LEGGI: Come installare MongoDB 4.0 su Debian 9

Installa Graylog

Il server Graylog accetta ed elabora i registri della macchina e li visualizza per le richieste provenienti dall'interfaccia Web graylog.

Scarica e installa il pacchetto del repository Graylog.

wget https://packages.graylog2.org/repo/packages/graylog-3.2-repository_latest.deb

sudo dpkg -i graylog-3.2-repository_latest.deb

Aggiorna la cache del repository.

sudo apt update

Installa il server Graylog usando il comando apt.

sudo apt install -y graylog-server

Imposta un segreto per proteggere le password degli utenti. Usa il comando pwgen allo stesso modo.

pwgen -N 1 -s 96

Risultato: 

AE9RxeSA6BC6OCYh0zciUV7WMucNfodMhsmjYKOaBpWfQCBTzroa9ld7iOjespZjVwh47BIZFYTkeUD9h04uie2bghqrfShX

Modifica il file server.conf per iniziare la configurazione del graylog.

sudo nano /etc/graylog/server/server.conf

Metti il ​​segreto come di seguito.

password_secret = OH9wXpsNZVBA8R5vJQSnkhTB1qDOjCxAh3aE3LvXddtfDlZlKYEyGS24BJAiIxI0sbSTSPovTTnhLkkrUvhSSxodTlzDi5gP

Imposta una password hash (sha256) per l'utente root di Graylog (l'utente root di graylog è admin).

La password dell'amministratore di Graylog non può essere modificata utilizzando un'interfaccia web. Quindi, è necessario modificare il file di configurazione per impostarlo.

Sostituisci la tua password con la tua scelta. Vorrai che questa password acceda all'interfaccia web di Graylog.

echo -n yourpassword | sha256sum

Risultato: 

e3c652f0ba0b4801205814f8b6bc49672c4c74e25b497770bb89b22cdeb4e951

Modifica di nuovo server.conf.

sudo nano /etc/graylog/server/server.conf

Inserisci la password hash.

root_password_sha2 = e3c652f0ba0b4801205814f8b6bc49672c4c74e25b497770bb89b22cdeb4e951

Installa l'interfaccia web di Graylog

Modifica il file server.conf.

sudo nano /etc/graylog/server/server.conf

Modificare le voci seguenti per abilitare Graylog Web Interface. Sostituisci 192.168.0.10 con l'indirizzo IP del tuo sistema.

http_bind_address = 192.168.0.10:9000
Se ti capita di accedere al Graylog utilizzando l'indirizzo IP pubblico a causa del NAT, aggiorna i valori seguenti. Altrimenti, saltalo.
http_external_uri = http://public_ip:9000/

Riavvia il servizio Graylog.

sudo systemctl start graylog-server

Abilita il server Graylog per l'avvio automatico all'avvio del sistema.

sudo systemctl enable graylog-server

Controlla i log di avvio del server per risolvere il Graylog in caso di problemi.

sudo tail -f /var/log/graylog-server/server.log

Dopo l'avvio corretto del server Graylog, dovresti ricevere il seguente messaggio nel file di registro.

2020-03-29T23:27:14.057-05:00 INFO  [ServerBootstrap] Graylog server up and running.

Accedi all'interfaccia web di Graylog

L'interfaccia web di Graylog sarà ora disponibile sulla porta 9000. Quindi, punta il tuo browser su.

http://ip.add.re.ss:9000

Accedi con il nome utente admin e la password che hai configurato su server.conf.

Una volta effettuato l'accesso, dovresti vedere la pagina introduttiva di Graylog.

Fare clic su Sistema>> Panoramica per controllare lo stato del server Graylog.

Conclusione

È tutto. Spero che tu abbia imparato come installare Graylog su Debian 10 / Debian 9. Per ricevere i log da altre macchine, dovresti configurare gli input di Graylog e devi configurare la macchina Linux per inviare i log a Graylog.


Debian

  1. Come installare Debian 10 (Buster)

  2. Come installare Python 3.9 su Debian 10

  3. Come installare Memcached su Debian 10

  4. Come installare TeamViewer su Debian 10

  5. Come installare Git su Debian 9

Come installare R su Debian 10

Come installare Debian 11

Come installare Graylog su Debian 9

Come installare Graylog su Debian 10

Come installare Vai su Debian 10

Come installare Vai su Debian