Installa Graylog su Ubuntu 20.04 LTS – Un software di gestione dei registri

Questo tutorial aiuterà gli utenti a installare e utilizzare Graylog sul server Ubuntu 20.04 LTS per raccogliere e analizzare i dati di registro dei sistemi centralmente in un'unica posizione.

Graylog è uno strumento open source che offre una piattaforma integrata per la raccolta, l'indicizzazione e l'analisi dei dati di registro. Il sistema è costituito essenzialmente dall'interfaccia web Graylog, dai server Graylog, dai nodi Elasticsearch e da un database Mongo.

I nodi possono essere ridimensionati come richiesto. Un sistema in cui tutto è combinato in un nodo è sufficiente per il test. Il server Graylog è l'elemento centrale dell'architettura, che si occupa della gestione degli indici Elasticsearch e forma uno strato di astrazione. Pertanto, sarebbe possibile scambiare Elasticsearch con un altro sistema particolarmente adatto per l'analisi dei dati di log.

Graylog supporta vari meccanismi di input. Per impostazione predefinita, sono supportati quattro diversi formati o protocolli:Syslog, GELF, JSON/REST-URL e RAW. syslog è uno standard per la trasmissione di messaggi di registro ed è spesso utilizzato dai componenti del sistema.

Cose di cui abbiamo bisogno per eseguire questo tutorial:

• MongoDB
• Ricerca elastica
• Server Graylog
• Un utente non root con sudo diritti
• Un server Ubuntu con 4 core CPU e 8 GB di RAM

Passaggi per installare Graylog Ubuntu 20.04 LTS

1. Installa le dipendenze richieste

Ci sono poche cose richieste dal server Graylog per essere installato su Ubuntu 20.04 LTS, tra cui Java, generatore di password insieme ad alcuni comuni. Esegui i comandi seguenti per installarli tutti.

In primo luogo, esegui il comando di aggiornamento del sistema

sudo apt update

Quindi installa i seguenti pacchetti...

sudo apt-get install apt-transport-https openjdk-11-jre-headless uuid-runtime pwgen

2. Configura MongoDB su Ubuntu 20.04 per Graylog

Graylog utilizza MongoDB per archiviare i dati, quindi è necessario installarlo sul nostro server in modo che in seguito i registri generati possano essere salvati lì per ulteriori analisi.

I pacchetti che dobbiamo installare MongoDB sono già disponibili sul repository ufficiale di Ubuntu, quindi esegui semplicemente il comando seguente:

sudo apt install -y mongodb-server

Abilita e avvia i servizi Database Server:

sudo systemctl enable --now mongodb

sudo systemctl restart mongod.service

Per verificare se funziona correttamente senza alcun errore puoi eseguire:

sudo systemctl status mongodb

3. Installa Elastic Search sul server Ubuntu 20.04 LTS

Elasticsearch è un motore di ricerca e analisi full-text open source. È inoltre altamente scalabile e consente agli utenti di archiviare, cercare e analizzare grandi volumi di dati in modo rapido e quasi in tempo reale, il che sarà utile in Graylog per gestire e analizzare un gran numero di log.

Questo sistema non è disponibile nel repository di base di Ubuntu 20.04, quindi è necessario aggiungere manualmente il repository di Elastic Search ufficiale.

Aggiungi chiave GPG:

wget -qO - https://artifacts.elastic.co/GPG-KEY-elasticsearch | sudo apt-key add -

Aggiungi repository Elastic Search:

echo "deb https://artifacts.elastic.co/packages/7.x/apt stable main" | sudo tee /etc/apt/sources.list.d/elastic-7.x.list

Comando per installare la versione open source ElasticSearch su Ubuntu 20.04:

sudo apt-get update && sudo apt-get install elasticsearch-oss

Modifica il file di configurazione di Elasticsearch per impostare il nome del cluster su graylog e aggiungi action.auto_create_index: false

Per questo semplicemente copia-incolla il seguente intero blocco comandi e premi Invio chiave.

sudo tee -a /etc/elasticsearch/elasticsearch.yml > /dev/null <<EOT
cluster.name: graylog
action.auto_create_index: false
EOT

Abilita e avvia il servizio di ricerca elastica:

sudo systemctl daemon-reload
sudo systemctl enable --now elasticsearch
sudo systemctl restart elasticsearch.service

4. Comando per installare Graylog Server su Ubuntu 20.04

Scarica il repository di Graylog disponibile come pacchetto deb.

wget https://packages.graylog2.org/repo/packages/graylog-4.0-repository_latest.deb

Installalo:

sudo dpkg -i graylog-4.0-repository_latest.deb

Ora aggiorna il tuo sistema in modo che possa riconoscere il repository appena aggiunto per scaricare i pacchetti per Graylog:

sudo apt-get update

Infine, installalo

sudo apt-get install graylog-server

Extra :Se desideri installare anche i plugin di integrazione o i plugin Enterprise, esegui:

sudo apt install graylog-enterprise-plugins graylog-integrations-plugins graylog-enterprise-integrations-plugins

5. Modifica il file di configurazione del Graylog per impostare la password amministratore

Esistono due valori di password: password_secret e root_password_sha2 , dobbiamo configurarli altrimenti Graylog su Ubuntu 20.04 LTS non si avvierà affatto.

Questi due valori sono presenti nel file di configurazione Graylog e ciò che abbiamo impostato per loro verrà utilizzato per proteggere le password degli utenti e accedere all'utente amministratore sulla sua interfaccia web. Ma non possiamo impostare un valore di testo normale per loro, invece dobbiamo generare un hash. Quindi, esegui:

Imposta password_chiave segreta

pwgen -N 1 -s 96

Il comando precedente genererà una chiave segreta per proteggere le password degli utenti, quindi copia quello e modifica il file di configurazione utilizzando:

sudo nano /etc/graylog/server/server.conf

Ora trova password_secret = nel file e incollare la chiave segreta copiata davanti ad essa. Come mostrato nello screenshot qui sotto.

Salva il file premendo Ctrl + X , Y, e premi Invio chiave.

Imposta root_password_sha2 hash

Il nome utente predefinito per accedere all'interfaccia web di Graylog è admin , mentre la password deve essere impostata, è quello che stiamo facendo qui. Genera un hash per la password che desideri impostare utilizzando il comando indicato di seguito:

echo -n MyPassword | sha256sum

Nota :cambia MyPassword nel comando sopra con la password che vuoi impostare per accedere all'interfaccia web di Graylog.

Quando premi Invio chiave dopo aver utilizzato il comando precedente, verrà generata una somma hash. Copialo.

Ora, modifica di nuovo il file di configurazione :

sudo nano /etc/graylog/server/server.conf

Trova la riga:  root_password_sha2 e incolla l'hash sum davanti ad esso, come mostrato nello screenshot qui sotto:

Inoltre, per impostazione predefinita, il Graylog è accessibile solo utilizzando l'IP localhost, ad esempio 127.0.0.1 quindi nel caso tu abbia intenzione di accedere alla sua interfaccia web da remoto, cambialo con l'indirizzo IP del tuo server nel file di configurazione.

Trova la linea :http_bind_address, decommentalo e cambia 127.0.0.1 con l' indirizzo IP del tuo sistema su cui stai installando graylog.

Salva il file– Ctrl + X, Y e premi Invio chiave.

6. Abilita e riavvia Graylog Server

Abbiamo già eseguito tutta la configurazione essenziale, ora abilita questo servizio di sistema di registro per l'avvio automatico.

sudo systemctl daemon-reload
sudo systemctl enable --now graylog-server

sudo systemctl restart graylog-server

Controlla se è in esecuzione senza alcun errore o meno:

sudo systemctl status graylog-server

Se hai intenzione di accedere all'interfaccia web di Graylog da remoto quindi apri anche la porta 9000 nel firewall di Ubuntu:

sudo ufw allow 9000

7. Accedi all'interfaccia Web

Apri un browser sul tuo sistema locale o remoto che può accedere all'indirizzo IP del server Ubuntu 20.04. E digita il http://your-server-ipaddress:9000

Sostituisci indirizzo-ip-del-tuo-server con l'indirizzo IP effettivo del tuo server in cui Graylog è stato installato.

Il nome utente predefinito è admin mentre la password è ciò che hai impostato nel passaggio 5 di questo articolo per root_password. Ad esempio nel comando abbiamo utilizzato MyPassword .

8. Invia i log di sistema del sistema host a Graylog

Crea un file di configurazione in /etc/rsyslog.d/ per dire al sistema dove inviare i log.

sudo nano /etc/rsyslog.d/90-graylog.conf

Aggiungi la seguente riga:

*.* @your-server-ip:5140;RSYSLOG_SyslogProtocol23Format

Sostituisci il indirizzo-ip-del-tuo-server con l'indirizzo IP del sistema da cui si inviano i log. Se è un sistema host su cui hai installato il Graylog, usa l'indirizzo IP di quello.

Salva il file digitando Ctrl+X , Y, e premi Invio chiave.

Ora, aggiungi Input per Node in Graylog.

Nella dashboard di Graylog, fai clic su Sistema -> Input .

Seleziona Syslog UDP e premi Avvia nuovo input pulsante.

Seleziona il nodo dalla casella a discesa, dati alcuni titolo (qualunque cosa tu voglia) su Input e quindi imposta la porta numero a 5140 dopodiché scorri verso il basso e salva la configurazione.

Ora, fai clic su "Inizia input ” per avviare l'input del server.

9. Dashboard delle metriche

Una volta avviato l'Input dal server, fai clic su Cerca fornito nel menu Graylog e inizierai a ricevere metriche e registri in tempo reale dal tuo server. Inoltre, puoi impostare la frequenza di aggiornamento delle metriche.

Per saperne di più su questo strumento di gestione dei log e altre attività di configurazione, fai riferimento alla documentazione ufficiale in cui troverai anche il modo per utilizzare Nginx/Apache come proxy inverso e HTTPS in Graylog.