Graylog è uno strumento di gestione dei registri open source che consente di archiviare e analizzare centralmente i registri delle macchine. La configurazione di Graylog è composta da tre componenti Graylog Server, Elasticsearch e MongoDB.
Qui vedremo come installare Graylog su Ubuntu 20.04.
Installa Java
La configurazione del Graylog richiede Java versione 8 o successiva. Puoi utilizzare OpenJDK o Oracle JDK sulla tua macchina per procedere ulteriormente.
LEGGI: Come installare Oracle Java su Ubuntu 20.04
Qui userò OpenJDK 11.
sudo apt update sudo apt install -y apt-transport-https openjdk-11-jre-headless uuid-runtime pwgen curl dirmngr
Verifica la versione Java dopo l'installazione di OpenJDK.
java -version
Risultato:
openjdk version "11.0.8" 2020-07-14 OpenJDK Runtime Environment (build 11.0.8+10-post-Ubuntu-0ubuntu120.04) OpenJDK 64-Bit Server VM (build 11.0.8+10-post-Ubuntu-0ubuntu120.04, mixed mode, sharing)
Installa Elasticsearch
Elasticsearch archivia i log provenienti da fonti esterne e offre ricerca e analisi distribuite in tempo reale con l'interfaccia web RESTful.
Scarica e installa la chiave di firma GPG.
wget -qO - https://artifacts.elastic.co/GPG-KEY-elasticsearch | sudo apt-key add -
Configura il repository Elasticsearch sul tuo sistema eseguendo il comando seguente.
echo "deb https://artifacts.elastic.co/packages/oss-6.x/apt stable main" | sudo tee -a /etc/apt/sources.list.d/elastic-6.x.list
Aggiorna la cache del repository e quindi installa il pacchetto Elasticsearch.
sudo apt update sudo apt install -y elasticsearch-oss
Modifica il file di configurazione di Elasticsearch per impostare il nome del cluster per la configurazione di Graylog.
sudo nano /etc/elasticsearch/elasticsearch.yml
Imposta il nome del cluster come graylog, come mostrato di seguito.
cluster.name: graylog
Quindi, decommenta la riga sottostante.
action.auto_create_index: false
Avvia il servizio Elasticsearch per leggere le nuove configurazioni.
sudo systemctl daemon-reload sudo systemctl start elasticsearch sudo systemctl enable elasticsearch
Attendi almeno un minuto per avviare completamente Elasticsearch.
Ora Elastisearch dovrebbe essere in ascolto sulla porta 9200. Usa il comando curl per controllare la risposta di Elasticsearch.
curl -X GET http://localhost:9200
Risultato:
Assicurati che l'output abbia il nome del cluster, graylog.
{
"name" : "vQklpl4",
"cluster_name" : "graylog",
"cluster_uuid" : "jLztxJoOROK-XuZkoKJr6A",
"version" : {
"number" : "6.8.11",
"build_flavor" : "oss",
"build_type" : "deb",
"build_hash" : "00bf386",
"build_date" : "2020-07-09T19:08:08.940669Z",
"build_snapshot" : false,
"lucene_version" : "7.7.3",
"minimum_wire_compatibility_version" : "5.6.0",
"minimum_index_compatibility_version" : "5.0.0"
},
"tagline" : "You Know, for Search"
}
Installa MongoDB
MongoDB funge da database per la memorizzazione della configurazione di Graylog. Graylog richiede MongoDB v3.6, 4.0 o 4.2.
Sfortunatamente, il repository ufficiale di MongoDB non ha le versioni MongoDB richieste per Ubuntu 20.04. Quindi, installeremo MongoDB v3.6 dal repository di base di Ubuntu.
sudo apt update sudo apt install -y mongodb-server
Avvia MongoDB e abilitalo all'avvio del sistema.
sudo systemctl start mongodb sudo systemctl enable mongodb
Installa Graylog Server
Graylog Server legge i dati da Elasticsearch per le query di ricerca provenienti dagli utenti e quindi li visualizza per loro tramite l'interfaccia Web Graylog.
Scarica e installa il pacchetto di configurazione del repository Graylog 3.3.
wget https://packages.graylog2.org/repo/packages/graylog-3.3-repository_latest.deb sudo dpkg -i graylog-3.3-repository_latest.deb
Aggiorna la cache del repository.
sudo apt update
Installa il server Graylog usando il comando seguente.
sudo apt install -y graylog-server
È necessario impostare un segreto per proteggere le password degli utenti. Usa il comando pwgen per generare il segreto.
pwgen -N 1 -s 96
Risultato:
HRy1WNsMQIWF228SsbdQCnCsTBL7wVez28UsZXI8PXqStx5DQe3PAmtpm8PNm6g8K44fVFNo4c7Bvp4WCOyxGiSXvdhOXl8w
Modifica il file server.conf.
sudo nano /etc/graylog/server/server.conf
Quindi, posiziona il segreto come di seguito.
password_secret = HRy1WNsMQIWF228SsbdQCnCsTBL7wVez28UsZXI8PXqStx5DQe3PAmtpm8PNm6g8K44fVFNo4c7Bvp4WCOyxGiSXvdhOXl8w
Ora, genera una password hash (sha256) per l'utente root (da non confondere con l'utente di sistema, l'utente root di graylog è admin).
Avrai bisogno di questa password per accedere all'interfaccia web di Graylog. La password dell'amministratore non può essere modificata utilizzando l'interfaccia web. Quindi, devi modificare questa variabile da impostare.
Sostituisci password con la scelta della tua password.
echo -n password | sha256sum
Risultato:
5e884898da28047151d0e56f8dc6292773603d0d6aabbdd62a11ef721d1542d8
Modifica di nuovo il file server.conf.
sudo nano /etc/graylog/server/server.conf
Quindi, inserisci la password hash, come mostrato di seguito.
root_password_sha2 = 5e884898da28047151d0e56f8dc6292773603d0d6aabbdd62a11ef721d1542d8
Impostazione dell'interfaccia web Graylog
A partire dalla versione Graylog 2.x, l'interfaccia web è servita direttamente dal server Graylog. Abilita l'interfaccia web Graylog modificando il file server.conf.
sudo nano /etc/graylog/server/server.conf
Aggiorna la voce seguente con l'indirizzo IP del tuo sistema tramite il quale accederai all'interfaccia web di Graylog.
http_bind_address = 192.168.0.10:9000Se ti capita di accedere al Graylog utilizzando l'indirizzo IP pubblico a causa del NAT, aggiorna i valori seguenti. Altrimenti, saltalo.
http_external_uri = http://public_ip:9000/
Avvia e abilita il servizio Graylog.
sudo systemctl daemon-reload sudo systemctl start graylog-server sudo systemctl enable graylog-server
Continua a cercare i log di avvio del server Graylog. Questo registro ti sarà utile per risolvere i problemi di Graylog in caso di problemi.
sudo tail -f /var/log/graylog-server/server.log
All'avvio corretto del server Graylog, dovresti ricevere il seguente messaggio nel file di registro.
2020-08-03T16:03:06.326-04:00 INFO [ServerBootstrap] Graylog server up and running.
Accedi a Graylog
L'interfaccia web di Graylog sarà ora in ascolto sulla porta 9000. Apri il browser e puntalo a.
http://ip.add.re.ss:9000Accedi con il nome utente admin e la password che hai configurato in root_password_sha2 sul file server.conf.
Una volta effettuato l'accesso, vedrai la pagina introduttiva.
Fare clic su Sistema>> Panoramica per conoscere lo stato del server Graylog.
Crea input Graylog
Nel prossimo articolo vedremo come configurare Graylog per ricevere i log di Rsyslog da fonti esterne.
Conclusione
Hai installato correttamente Graylog 3.0 su Ubuntu 20.04. Come ulteriore lettura, puoi provare a configurare Nginx o Apache come proxy inverso e impostare HTTPS per l'interfaccia Web Graylog.