Graylog è la soluzione open source di gestione centralizzata dei registri che consente l'analisi, la ricerca e il monitoraggio in tempo reale di grandi quantità di dati macchina. È stato sviluppato ad Amburgo, in Germania, con lo scopo di fornire una piattaforma di analisi più solida e facile da usare, velocità di analisi più elevate, amministrazione e gestione dell'infrastruttura semplici.
In questo articolo impareremo come installare e configurare Graylog in Ubuntu 20.04 LTS.
Prerequisiti
Prima di continuare con l'installazione del Graylog è necessario configurare le seguenti cose,
- Oracle Java SE 8 (OpenJDK 8) poiché Elasticsearch è un progetto basato su java.
- Elasticsearch 6.8 e la versione 7 fino alla 7.10 come versione successiva non è supportata da Graylog.
- MongoDB (4.0, 4.2 o 4.4).
Installazione di Graylog
Iniziamo con l'installazione poiché java 8 è necessario per eseguire Elasticsearch. Avremo bisogno di alcuni pacchetti aggiuntivi e installiamoli insieme ad esso.
$ sudo apt update
$ sudo apt-get install openjdk-8-jre-headless pwgen apt-transport-https uuid-runtime
Dopo aver installato java è possibile verificare l'installazione utilizzando il comando seguente.
$ java -version
Ora installiamo Elasticsearch. Per prima cosa, dobbiamo aggiungere un repository di pacchetti al nostro elenco di repository di pacchetti di sistema utilizzando il comando seguente.
$ wget -qO - https://artifacts.elastic.co/GPG-KEY-elasticsearch | sudo apt-key add -
$ echo "deb https://artifacts.elastic.co/packages/oss-7.x/apt stable main" | sudo tee -a /etc/apt/sources.list.d/elastic-7.x.list
Quindi, installa Elasticsearch utilizzando il comando apt.
$ sudo apt update
$ sudo apt install elasticsearch-oss
Una volta completata l'installazione di Elasticsearch, aggiorna la seguente riga nel file di configurazione.
$ sudo vim /etc/elasticsearch/elasticsearch.yml
cluster.name: graylog
action.auto_create_index: false
Ora abilita e riavvia il servizio per applicare la modifica.
$ sudo systemctl daemon-reload
$ sudo systemctl restart elasticsearch.service
$ sudo systemctl enable elasticsearch.service
Quindi, installiamo un database per Graylog, Graylog utilizza MongoDB come database per archiviare i dati. Innanzitutto, dobbiamo registrare una chiave GPG pubblica per il repository utilizzando il seguente comando.
$ sudo apt install gnupg
$ wget -qO - https://www.mongodb.org/static/pgp/server-4.4.asc | sudo apt-key add -
Ora scarica e aggiungi il repository dei pacchetti all'elenco dei repository dei pacchetti di sistema. Per farlo, corri,
$ echo "deb [ arch=amd64,arm64 ] https://repo.mongodb.org/apt/ubuntu focal/mongodb-org/4.4 multiverse" | sudo tee /etc/apt/sources.list.d/mongodb-org-4.4.list
Infine, installa MongoDB usando il comando apt.
$ sudo apt update
$ sudo apt install -y mongodb-org
E, per installare una versione specifica di MongoDB, esegui insieme alla versione preferita,
$ sudo apt install -y mongodb-org-mongos=4.4.6 mongodb-org=4.4.6 mongodb-org-tools=4.4.6 mongodb-org-shell=4.4.6 mongodb-org-server=4.4.6
Ora, abilita e riavvia MongoDB usando il comando systemctl,
$ sudo systemctl enable mongod
$ sudo systemctl restart mongod
Nota:durante il runtime, se ottieni 'mongod.service:processo principale terminato, code=exited, status=14/n/a', esegui il comando seguente.
$ sudo chown -R mongodb:mongodb /var/lib/mongodb
$ sudo chown mongodb:mongodb /tmp/mongodb-27017.sock
$ sudo systemctl restart mongod
Infine, l'installazione del server Graylog dopo l'installazione di tutti i pacchetti prerequisiti. Per installare Graylog prima scarica il pacchetto deb, poi analizzalo usando il comando dpkg e infine installalo.
$ wget https://packages.graylog2.org/repo/packages/graylog-4.1-repository_latest.deb
$ sudo dpkg -i graylog-4.1-repository_latest.deb
$ sudo apt update
$ sudo apt -y install graylog-server
Ora, abilitando il Graylog usando il comando systemctl,
$ sudo systemctl enable graylog-server.service
Configurazione del Graylog
Abbiamo installato tutti i pacchetti necessari per eseguire Graylog ma non è pronto per l'esecuzione. Prima di iniziare a utilizzare Graylog, dobbiamo configurare password_secret e root_password_sh2. Il percorso predefinito per il file di configurazione è /etc/graylog/server/server.conf e useremo il comando sed per infondere la password generata da pwgen.
Per password_secret useremo il comando pwgen per generare una password casuale di 128 caratteri. Per installarlo esegui,
$ sudo apt install pwgen
Ora genereremo una password usando il seguente comando e la inietteremo usando il comando sed. Per farlo, corri,
$ sudo -E sed -i -e "s/password_secret =.*/password_secret = $(pwgen -s 128 1)/" /etc/graylog/server/server.conf
Quindi, generiamo la password hash SHA 256 per root_password usando il comando seguente. Non dimenticare di sostituire your_password con la password effettiva.
$ sudo sed -i -e "s/root_password_sha2 =.*/root_password_sha2 = $(echo -n 'your_password' | shasum -a 256 | cut -d' ' -f1)/" /etc/graylog/server/server.conf
Infine, configurare un dominio per il Graylog utilizzando il tuo editor preferito.
$ sudo vim /etc/graylog/server/server.conf
Quindi, trova e imposta il valore della variabile nella configurazione nel modo seguente.
http_bind_address = your_server_ip:9000 http_external_uri= http://your_server_ip or domain:9000/
Quindi, scrivi e chiudi il file.
Una volta impostato tutto, riavvia il graylog-server utilizzando il comando systemctl per applicare le modifiche.
$ sudo systemctl restart graylog-server.service
Test del server Graylog
Ora, tutto è pronto per l'uso. Quando visiti il tuo http_external_url configurato puoi vedere l'interfaccia web come di seguito.
Quindi, autenticati utilizzando il nome utente amministratore e per la password usa la password in testo normale che hai utilizzato durante l'hashing.
Conclusione
Grazie per aver letto fino alla fine anche se sei un nuovo arrivato o un professionista. Spero che tu abbia una mentalità chiara per configurare e installare Graylog in Ubuntu. Ora puoi lavorare con il registro utilizzando il server Graylog.