Установка Graylog в Ubuntu 24.04

Graylog — это бесплатная платформа для управления журналами с открытым исходным кодом, которая позволяет собирать, хранить и анализировать данные и журналы в режиме реального времени. Она написана на Java и основана на других программах с открытым исходным кодом, таких как MongoDB и Elasticsearch.

Graylog — одна из самых эффективных, быстрых и гибких централизованных платформ для управления журналами. С помощью Graylog вы можете отправлять и анализировать как структурированные, так и неструктурированные данные практически из любого источника.

В этой статье вы узнаете, как установить сервер Graylog на Ubuntu 24.04. Вы будете устанавливать Graylog с MongoDB и Elasticsearch.

Предварительные требования

Чтобы завершить эту статью, убедитесь, что у вас есть следующее:

• Сервер Ubuntu 24.04 с объёмом памяти не менее 4 или 8 ГБ
• Пользователь без права root с правами администратора

Установка MongoDB

Чтобы установить Graylog, сначала необходимо установить MongoDB. На данный момент Graylog поддерживает только MongoDB версии 5.x-7.x, и в этом разделе вы установите MongoDB версии 7.x на свой сервер Ubuntu.

Сначала выполните приведенную ниже команду, чтобы установить некоторые зависимости.

sudo apt install apt-transport-https gnupg2 uuid-runtime pwgen curl dirmngr -y

Теперь добавьте ключ и репозиторий MongoDB GPG с помощью следующей команды. В этом примере вы будете использовать MongoDB 7.0 для предыдущей версии Ubuntu.

curl -fsSL <https://www.mongodb.org/static/pgp/server-7.0.asc> | \
sudo gpg -o /usr/share/keyrings/mongodb-server-7.0.gpg \
--dearmor

echo "deb [ arch=amd64,arm64 signed-by=/usr/share/keyrings/mongodb-server-7.0.gpg ] https://repo.mongodb.org/apt/ubuntu jammy/mongodb-org/7.0 multiverse" | \
sudo tee /etc/apt/sources.list.d/mongodb-org-7.0.list

После добавления репозитория выполните приведённую ниже команду apt, чтобы обновить индекс пакетов Ubuntu и установить MongoDB в вашу систему.

sudo apt update && sudo apt install mongodb-org

Введите “Y” для подтверждения установки.

После завершения установки запустите и включите службу mongod с помощью приведенной ниже команды.

sudo systemctl enable --now mongod

Наконец, проверьте службу mongod, чтобы убедиться, что она работает. Вы должны увидеть, что MongoDB работает в вашей системе.

sudo systemctl status mongod

Установка Elasticsearch

После установки MongoDB вам нужно установить Elasticsearch. Но перед этим вы должны сначала установить Java OpenJDK, а затем установить Elasticsearch. На данный момент сервер Graylog поддерживает только Elasticsearch версии 7.x.

Чтобы установить Java OpenJDK, выполните приведённую ниже команду ‘apt‘. Введите ‘Y‘, чтобы продолжить установку.

sudo apt install openjdk-11-jre-headless

Теперь проверьте версию Java следующим образом. Вы должны увидеть, что установлена Java OpenJDK 11.

java --version

После установки Java вы готовы к установке Elasticsearch.

Выполните приведённую ниже команду, чтобы добавить ключ GPG и репозиторий для Elasticsearch. В этом примере вы будете устанавливать Elasticsearch 7.x.

wget -qO - <https://artifacts.elastic.co/GPG-KEY-elasticsearch> | apt-key add -
echo "deb https://artifacts.elastic.co/packages/oss-7.x/apt stable main" | \
sudo tee -a /etc/apt/sources.list.d/elastic-7.x.list

Теперь выполните приведённую ниже команду, чтобы обновить репозиторий Ubuntu и установить пакет «elasticsearch». Для подтверждения введите «Y».

sudo apt update && sudo apt install elasticsearch

После установки откройте файл конфигурации Elasticsearch ‘/etc/elasticsearch/elasticsearch.yml‘ в редакторе ‘nano‘.

sudo nano /etc/elasticsearch/elasticsearch.yml

Измените значение по умолчанию ‘cluster.name‘ и установите ‘action.auto_create_index‘ на ‘false‘ следующим образом:

cluster.name: graylog
action.auto_create_index: false

Сохраните файл и выйдите из редактора.

Теперь выполните приведённую ниже команду systemctl, чтобы перезагрузить менеджер systemd, запустить и включить службу Elasticsearch.

sudo systemctl daemon-reload
sudo systemctl enable --now elasticsearch

При запущенном Elasticsearch вы можете проверить это с помощью приведенной ниже команды.

sudo systemctl status elasticsearch

Вы также можете проверить Elasticsearch с помощью приведенной ниже команды curl.

curl -X GET http://localhost:9200

Если Elasticsearch запущен, вы можете увидеть номер его версии и название кластера следующим образом.

Установка Graylog

Теперь, когда вы установили MongoDB и Elasticsearch, вы готовы установить Graylog на свой сервер. В этом разделе вы установите Graylog и настроите аутентификацию по паролю для своей установки.

Скачайте пакет репозитория Graylog с помощью команды ‘wget‘ и установите его с помощью команды ‘dpkg‘ следующим образом:

wget https://packages.graylog2.org/repo/packages/graylog-6.1-repository_latest.deb
sudo dpkg -i graylog-6.1-repository_latest.deb

Теперь выполните приведённую ниже команду ‘apt‘, чтобы обновить индекс пакетов Ubuntu и установить пакет ‘graylog-server‘. Введите ‘Y‘, чтобы подтвердить установку.

sudo apt update && sudo apt install graylog-server

После установки вам нужно будет сгенерировать два пароля для Graylog: password_secret и root_password_sha2.

Чтобы сгенерировать «password_secret», выполните приведенную ниже команду. Не забудьте скопировать сгенерированный пароль.

< /dev/urandom tr -dc A-Z-a-z-0-9 | head -c${1:-96};echo;

Чтобы получить пароль ‘root_password_sha2‘, выполните следующую команду. При появлении запроса введите свой пароль и скопируйте сгенерированный пароль sha.

echo -n "Enter Password: " && head -1 </dev/stdin | tr -d '\n' | sha256sum | cut -d" " -f1

Теперь, когда вы сгенерировали пароли Graylog, вам нужно изменить файл конфигурации Graylog.

Откройте файл ‘/etc/graylog/server/server.conf‘ в следующем редакторе ‘nano‘.

sudo nano /etc/graylog/server/server.conf

Вставьте сгенерированный пароль в поля ‘password_secret‘ и ‘root_password_sha2‘. Затем измените ‘http_bind_address‘ по умолчанию на свой локальный IP-адрес.

password_secret = PoMVlAiuJLA89rNAtLWz0PF7TLwX3JEQD7zp1kfOGAwdr0P-oQ0HKoebpevpPK2Q2quvjmqHQreP1yQYTX0jDjIe3JcBU5J
root_password_sha2 = a7fdfe53e2a13cb602def10146388c65051c67e60ee55c051668a1c709449111
http_bind_address = 192.168.10.60:9000

Сохраните файл и выйдите из редактора.

Затем выполните следующую команду ‘systemctl‘ для перезагрузки менеджера systemd, запуска и включения службы ‘graylog-server‘.

sudo systemctl daemon-reload
sudo systemctl enable --now graylog-server

Наконец, проверьте статус graylog-server с помощью команды. Если установка прошла успешно, вы увидите, что Graylog работает на вашем сервере Ubuntu.

sudo systemctl status graylog-server

Настройка Graylog

На этом этапе Graylog работает на вашем сервере Ubuntu. Теперь вы настроите Graylog через веб-браузер.

Прежде чем получить доступ к Graylog, проверьте файл журнала ‘/var/log/graylog-server/server.log‘ с помощью приведенной ниже команды. Скопируйте ссылку для настройки Graylog и вставьте ее в свой браузер.

cat /var/log/graylog-сервер/server.log

Теперь вы увидите страницу начальной настройки Graylog. Здесь вы настроите SSL-сертификаты для узла данных Graylog следующим образом:

• Введите название вашей организации
  Введите количество дней до истечения срока действия сертификата
  Пропустите этап настройки узла данных сертификата

После завершения нажмите «Продолжить запуск», чтобы продолжить.

Теперь вы будете перенаправлены на страницу входа в Graylog. Введите имя пользователя по умолчанию ‘admin‘ и пароль из опции ‘root_password_sha2‘.

Если вы введете правильное имя пользователя и пароль, вы увидите панель управления Graylog, как показано ниже:

Заключение

Поздравляем! Вы завершили установку Graylog на сервере Ubuntu 24.04. Вы запустили Graylog с MongoDB 7.x и Elasticsearch 7.x. Теперь вы можете создавать новые входные данные Graylog, чтобы отправлять журналы на сервер Graylog.

(Пока оценок нет)

Загрузка...