Questo tutorial aiuterà gli utenti a installare e utilizzare Graylog sul server Ubuntu 20.04 LTS per raccogliere e analizzare i dati di registro dei sistemi centralmente in un'unica posizione.
Graylog è uno strumento open source che offre una piattaforma integrata per la raccolta, l'indicizzazione e l'analisi dei dati di registro. Il sistema è costituito essenzialmente dall'interfaccia web Graylog, dai server Graylog, dai nodi Elasticsearch e da un database Mongo.
I nodi possono essere ridimensionati come richiesto. Un sistema in cui tutto è combinato in un nodo è sufficiente per il test. Il server Graylog è l'elemento centrale dell'architettura, che si occupa della gestione degli indici Elasticsearch e forma uno strato di astrazione. Pertanto, sarebbe possibile scambiare Elasticsearch con un altro sistema particolarmente adatto per l'analisi dei dati di log.
Graylog supporta vari meccanismi di input. Per impostazione predefinita, sono supportati quattro diversi formati o protocolli:Syslog, GELF, JSON/REST-URL e RAW. syslog è uno standard per la trasmissione di messaggi di registro ed è spesso utilizzato dai componenti del sistema.
Cose di cui abbiamo bisogno per eseguire questo tutorial:
- MongoDB
- Ricerca elastica
- Server Graylog
- Un utente non root con
sudo
diritti - Un server Ubuntu con 4 core CPU e 8 GB di RAM
Passaggi per installare Graylog Ubuntu 20.04 LTS
1. Installa le dipendenze richieste
Ci sono poche cose richieste dal server Graylog per essere installato su Ubuntu 20.04 LTS, tra cui Java, generatore di password insieme ad alcuni comuni. Esegui i comandi seguenti per installarli tutti.
In primo luogo, esegui il comando di aggiornamento del sistema
sudo apt update
Quindi installa i seguenti pacchetti...
sudo apt-get install apt-transport-https openjdk-11-jre-headless uuid-runtime pwgen
2. Configura MongoDB su Ubuntu 20.04 per Graylog
Graylog utilizza MongoDB per archiviare i dati, quindi è necessario installarlo sul nostro server in modo che in seguito i registri generati possano essere salvati lì per ulteriori analisi.
I pacchetti che dobbiamo installare MongoDB sono già disponibili sul repository ufficiale di Ubuntu, quindi esegui semplicemente il comando seguente:
sudo apt install -y mongodb-server
Abilita e avvia i servizi Database Server:
sudo systemctl enable --now mongodb
sudo systemctl restart mongod.service
Per verificare se funziona correttamente senza alcun errore puoi eseguire:
sudo systemctl status mongodb
3. Installa Elastic Search sul server Ubuntu 20.04 LTS
Elasticsearch è un motore di ricerca e analisi full-text open source. È inoltre altamente scalabile e consente agli utenti di archiviare, cercare e analizzare grandi volumi di dati in modo rapido e quasi in tempo reale, il che sarà utile in Graylog per gestire e analizzare un gran numero di log.
Questo sistema non è disponibile nel repository di base di Ubuntu 20.04, quindi è necessario aggiungere manualmente il repository di Elastic Search ufficiale.
Aggiungi chiave GPG:
wget -qO - https://artifacts.elastic.co/GPG-KEY-elasticsearch | sudo apt-key add -
Aggiungi repository Elastic Search:
echo "deb https://artifacts.elastic.co/packages/7.x/apt stable main" | sudo tee /etc/apt/sources.list.d/elastic-7.x.list
Comando per installare la versione open source ElasticSearch su Ubuntu 20.04:
sudo apt-get update && sudo apt-get install elasticsearch-oss
Modifica il file di configurazione di Elasticsearch per impostare il nome del cluster su graylog
e aggiungi action.auto_create_index: false
Per questo semplicemente copia-incolla il seguente intero blocco comandi e premi Invio chiave.
sudo tee -a /etc/elasticsearch/elasticsearch.yml > /dev/null <<EOT cluster.name: graylog action.auto_create_index: false EOT
Abilita e avvia il servizio di ricerca elastica:
sudo systemctl daemon-reload sudo systemctl enable --now elasticsearch sudo systemctl restart elasticsearch.service
4. Comando per installare Graylog Server su Ubuntu 20.04
Scarica il repository di Graylog disponibile come pacchetto deb.
wget https://packages.graylog2.org/repo/packages/graylog-4.0-repository_latest.deb
Installalo:
sudo dpkg -i graylog-4.0-repository_latest.deb
Ora aggiorna il tuo sistema in modo che possa riconoscere il repository appena aggiunto per scaricare i pacchetti per Graylog:
sudo apt-get update
Infine, installalo
sudo apt-get install graylog-server
Extra :Se desideri installare anche i plugin di integrazione o i plugin Enterprise, esegui:
sudo apt install graylog-enterprise-plugins graylog-integrations-plugins graylog-enterprise-integrations-plugins
5. Modifica il file di configurazione del Graylog per impostare la password amministratore
Esistono due valori di password: password_secret
e root_password_sha2
, dobbiamo configurarli altrimenti Graylog su Ubuntu 20.04 LTS non si avvierà affatto.
Questi due valori sono presenti nel file di configurazione Graylog e ciò che abbiamo impostato per loro verrà utilizzato per proteggere le password degli utenti e accedere all'utente amministratore sulla sua interfaccia web. Ma non possiamo impostare un valore di testo normale per loro, invece dobbiamo generare un hash. Quindi, esegui:
Imposta password_chiave segreta
pwgen -N 1 -s 96
Il comando precedente genererà una chiave segreta per proteggere le password degli utenti, quindi copia quello e modifica il file di configurazione utilizzando:
sudo nano /etc/graylog/server/server.conf
Ora trova password_secret =
nel file e incollare la chiave segreta copiata davanti ad essa. Come mostrato nello screenshot qui sotto.
Salva il file premendo Ctrl + X , Y, e premi Invio chiave.
Imposta root_password_sha2 hash
Il nome utente predefinito per accedere all'interfaccia web di Graylog è admin , mentre la password deve essere impostata, è quello che stiamo facendo qui. Genera un hash per la password che desideri impostare utilizzando il comando indicato di seguito:
echo -n MyPassword | sha256sum
Nota :cambia MyPassword nel comando sopra con la password che vuoi impostare per accedere all'interfaccia web di Graylog.
Quando premi Invio chiave dopo aver utilizzato il comando precedente, verrà generata una somma hash. Copialo.
Ora, modifica di nuovo il file di configurazione :
sudo nano /etc/graylog/server/server.conf
Trova la riga: root_password_sha2 e incolla l'hash sum davanti ad esso, come mostrato nello screenshot qui sotto:
Inoltre, per impostazione predefinita, il Graylog è accessibile solo utilizzando l'IP localhost, ad esempio 127.0.0.1 quindi nel caso tu abbia intenzione di accedere alla sua interfaccia web da remoto, cambialo con l'indirizzo IP del tuo server nel file di configurazione.
Trova la linea :http_bind_address,
decommentalo e cambia 127.0.0.1 con l' indirizzo IP del tuo sistema su cui stai installando graylog.
Salva il file– Ctrl + X, Y e premi Invio chiave.
6. Abilita e riavvia Graylog Server
Abbiamo già eseguito tutta la configurazione essenziale, ora abilita questo servizio di sistema di registro per l'avvio automatico.
sudo systemctl daemon-reload sudo systemctl enable --now graylog-server sudo systemctl restart graylog-server
Controlla se è in esecuzione senza alcun errore o meno:
sudo systemctl status graylog-server
Se hai intenzione di accedere all'interfaccia web di Graylog da remoto quindi apri anche la porta 9000 nel firewall di Ubuntu:
sudo ufw allow 9000
7. Accedi all'interfaccia Web
Apri un browser sul tuo sistema locale o remoto che può accedere all'indirizzo IP del server Ubuntu 20.04. E digita il http://your-server-ipaddress:9000
Sostituisci indirizzo-ip-del-tuo-server con l'indirizzo IP effettivo del tuo server in cui Graylog è stato installato.
Il nome utente predefinito è admin mentre la password è ciò che hai impostato nel passaggio 5 di questo articolo per root_password. Ad esempio nel comando abbiamo utilizzato MyPassword .
8. Invia i log di sistema del sistema host a Graylog
Crea un file di configurazione in /etc/rsyslog.d/
per dire al sistema dove inviare i log.
sudo nano /etc/rsyslog.d/90-graylog.conf
Aggiungi la seguente riga:
*.* @your-server-ip:5140;RSYSLOG_SyslogProtocol23Format
Sostituisci il indirizzo-ip-del-tuo-server con l'indirizzo IP del sistema da cui si inviano i log. Se è un sistema host su cui hai installato il Graylog, usa l'indirizzo IP di quello.
Salva il file digitando Ctrl+X , Y, e premi Invio chiave.
Ora, aggiungi Input per Node in Graylog.
Nella dashboard di Graylog, fai clic su Sistema -> Input .
Seleziona Syslog UDP e premi Avvia nuovo input pulsante.
Seleziona il nodo dalla casella a discesa, dati alcuni titolo (qualunque cosa tu voglia) su Input e quindi imposta la porta numero a 5140 dopodiché scorri verso il basso e salva la configurazione.
Ora, fai clic su "Inizia input ” per avviare l'input del server.
9. Dashboard delle metriche
Una volta avviato l'Input dal server, fai clic su Cerca fornito nel menu Graylog e inizierai a ricevere metriche e registri in tempo reale dal tuo server. Inoltre, puoi impostare la frequenza di aggiornamento delle metriche.
Per saperne di più su questo strumento di gestione dei log e altre attività di configurazione, fai riferimento alla documentazione ufficiale in cui troverai anche il modo per utilizzare Nginx/Apache come proxy inverso e HTTPS in Graylog.