Graylog è uno strumento open source per la gestione dei registri. È composto da Elastic Search, MongoDB e Graylog. Graylog può essere utilizzato per analizzare i registri e notificare eventuali discrepanze nei registri. Possiamo anche usarlo per analizzare i registri convenzionali e personalizzati.
In questo articolo installeremo Graylog. Devi avere un account con privilegi sudo o account root.
Aggiorna i tuoi pacchetti di sistema.
apt install -y apt-transport-https openjdk-11-jre-headless uuid-runtime pwgen curl dirmngr
apt update
apt upgradepuoi verificare la versione Java installata usando il comando sopra.
java -version
Installeremo Elastic Search che utilizzeremo eventualmente per analizzare e archiviare i log importati da diverse macchine.
scarica e installa la chiave GPG di Elastic Search.
wget -qO - https://artifacts.elastic.co/GPG-KEY-elasticsearch | sudo apt-key add -Aggiungi il repository di ricerca elastica nell'elenco delle fonti di Ubuntu 21.
echo "deb https://artifacts.elastic.co/packages/oss-7.x/apt stable main" | sudo tee /etc/apt/sources.list.d/elastic-7.x.listUtilizzare i comandi indicati di seguito per l'installazione di Elastic Search.
sudo apt update
sudo apt install -y elasticsearch-oss
Aggiungi il nome del cluster per graylog nella ricerca elastica. Apri il file di configurazione di Elastic Search utilizzando il comando seguente:
nano /etc/elasticsearch/elasticsearch.ymlDecommenta la riga “#cluster.name:my-application” rimuovendo il segno # all'inizio della riga e sostituisci “my-application” con graylog
Aggiungi la seguente riga nel file di configurazione:
action.auto_create_index: false
Ricarica il demone, quindi avvia e abilita Elastic Search Service.
systemctl daemon-reload
systemctl start elasticsearch.service
systemctl enable elasticsearch.service
systemctl status elasticsearch.service
Elastic Search utilizza la porta 9200 utilizza il comando curl per verificare Elastic Search.
curl -X GET http://localhost:9200
Ora installeremo mongoDB. Graylog utilizzerà mongoDB, quindi è piuttosto essenziale.
Utilizzare i seguenti comandi per installare MongoDB.
apt update
apt install dirmngr gnupg apt-transport-https ca-certificates software-properties-common
wget -qO - https://www.mongodb.org/static/pgp/server-4.4.asc | sudo apt-key add -
add-apt-repository 'deb [arch=amd64] https://repo.mongodb.org/apt/ubuntu focal/mongodb-org/4.4 multiverse'
apt install mongodb-org
Avvia e abilita MongoDB.
systemctl start mongod.service
systemctl enable mongod.service
systemctl status mongod.service
Installa Graylog:
Scarica il repository Garylog.
wget https://packages.graylog2.org/repo/packages/graylog-4.1-repository_latest.deb
dpkg -i graylog-4.1-repository_latest.debOra, installa il server Graylog.
apt update
apt install -y graylog-server
Il server Graylog è installato. Ora lo configureremo.
Usa il comando pwgen per generare un segreto per una password utente sicura.
pwgen -N 1 -s 96
Modifica il file di configurazione del graylog da aggiungere sopra il segreto.
nano /etc/graylog/server/server.confindividuare la riga "password_secret" e aggiungere il segreto dopo il segno "=".
aggiungi le seguenti righe nel file di configurazione:
rest_listen_uri = http://192.168.189.129:9000/api/
web_listen_uri = http://192.168.189.129:9000/
salva ed esci dal file.
Ora genera una password per accedere al web del server graylog. Usa il comando seguente per farlo.
echo -n admin | sha256sum
sostituisci admin con la password desiderata, quella che desideri impostare nel comando sopra.
Il comando sopra menzionato genererà una chiave hash. inserirlo nel file di configurazione “/etc/graylog/server/server.conf” nella riga “root_password_sha2 =“
salva ed esci dal file.
Avvia e abilita il servizio graylog.
systemctl daemon-reload
systemctl restart graylog-server.service
systemctl enable graylog-server.service
systemctl status graylog-server.service
decommenta la seguente riga dal file di configurazione:
http_bind_address = 0.0.0.0:9000
Apri il browser Web e inserisci http://192.168.189.129:9000/ e inserisci admin come nome utente e password.
Dopo aver inserito le credenziali, entrerai nel server graylog. Ora puoi configurare di conseguenza per vedere i tuoi log.
