Graylog — это бесплатная платформа для управления журналами с открытым исходным кодом, которая позволяет собирать, хранить и анализировать данные и журналы в режиме реального времени. Она написана на Java и основана на других программах с открытым исходным кодом, таких как MongoDB и Elasticsearch.
Graylog — одна из самых эффективных, быстрых и гибких централизованных платформ для управления журналами. С помощью Graylog вы можете отправлять и анализировать как структурированные, так и неструктурированные данные практически из любого источника.
В этой статье вы узнаете, как установить сервер Graylog на Ubuntu 24.04. Вы будете устанавливать Graylog с MongoDB и Elasticsearch.
Предварительные требования
Чтобы завершить эту статью, убедитесь, что у вас есть следующее:
- Сервер Ubuntu 24.04 с объёмом памяти не менее 4 или 8 ГБ
- Пользователь без права root с правами администратора
Установка MongoDB
Чтобы установить Graylog, сначала необходимо установить MongoDB. На данный момент Graylog поддерживает только MongoDB версии 5.x-7.x, и в этом разделе вы установите MongoDB версии 7.x на свой сервер Ubuntu.
Сначала выполните приведенную ниже команду, чтобы установить некоторые зависимости.
sudo apt install apt-transport-https gnupg2 uuid-runtime pwgen curl dirmngr -y
Теперь добавьте ключ и репозиторий MongoDB GPG с помощью следующей команды. В этом примере вы будете использовать MongoDB 7.0 для предыдущей версии Ubuntu.
curl -fsSL <https://www.mongodb.org/static/pgp/server-7.0.asc> | \ sudo gpg -o /usr/share/keyrings/mongodb-server-7.0.gpg \ --dearmor
echo "deb [ arch=amd64,arm64 signed-by=/usr/share/keyrings/mongodb-server-7.0.gpg ] https://repo.mongodb.org/apt/ubuntu jammy/mongodb-org/7.0 multiverse" | \ sudo tee /etc/apt/sources.list.d/mongodb-org-7.0.list
После добавления репозитория выполните приведённую ниже команду apt, чтобы обновить индекс пакетов Ubuntu и установить MongoDB в вашу систему.
sudo apt update && sudo apt install mongodb-org
Введите “Y” для подтверждения установки.
После завершения установки запустите и включите службу mongod с помощью приведенной ниже команды.
sudo systemctl enable --now mongod
Наконец, проверьте службу mongod, чтобы убедиться, что она работает. Вы должны увидеть, что MongoDB работает в вашей системе.
sudo systemctl status mongod
Установка Elasticsearch
После установки MongoDB вам нужно установить Elasticsearch. Но перед этим вы должны сначала установить Java OpenJDK, а затем установить Elasticsearch. На данный момент сервер Graylog поддерживает только Elasticsearch версии 7.x.
Чтобы установить Java OpenJDK, выполните приведённую ниже команду ‘apt‘. Введите ‘Y‘, чтобы продолжить установку.
sudo apt install openjdk-11-jre-headless
Теперь проверьте версию Java следующим образом. Вы должны увидеть, что установлена Java OpenJDK 11.
java --version
После установки Java вы готовы к установке Elasticsearch.
Выполните приведённую ниже команду, чтобы добавить ключ GPG и репозиторий для Elasticsearch. В этом примере вы будете устанавливать Elasticsearch 7.x.
wget -qO - <https://artifacts.elastic.co/GPG-KEY-elasticsearch> | apt-key add - echo "deb https://artifacts.elastic.co/packages/oss-7.x/apt stable main" | \ sudo tee -a /etc/apt/sources.list.d/elastic-7.x.list
Теперь выполните приведённую ниже команду, чтобы обновить репозиторий Ubuntu и установить пакет «elasticsearch». Для подтверждения введите «Y».
sudo apt update && sudo apt install elasticsearch
После установки откройте файл конфигурации Elasticsearch ‘/etc/elasticsearch/elasticsearch.yml‘ в редакторе ‘nano‘.
sudo nano /etc/elasticsearch/elasticsearch.yml
Измените значение по умолчанию ‘cluster.name‘ и установите ‘action.auto_create_index‘ на ‘false‘ следующим образом:
cluster.name: graylog action.auto_create_index: false
Сохраните файл и выйдите из редактора.
Теперь выполните приведённую ниже команду systemctl, чтобы перезагрузить менеджер systemd, запустить и включить службу Elasticsearch.
sudo systemctl daemon-reload sudo systemctl enable --now elasticsearch
При запущенном Elasticsearch вы можете проверить это с помощью приведенной ниже команды.
sudo systemctl status elasticsearch
Вы также можете проверить Elasticsearch с помощью приведенной ниже команды curl.
curl -X GET http://localhost:9200
Если Elasticsearch запущен, вы можете увидеть номер его версии и название кластера следующим образом.
Установка Graylog
Теперь, когда вы установили MongoDB и Elasticsearch, вы готовы установить Graylog на свой сервер. В этом разделе вы установите Graylog и настроите аутентификацию по паролю для своей установки.
Скачайте пакет репозитория Graylog с помощью команды ‘wget‘ и установите его с помощью команды ‘dpkg‘ следующим образом:
wget https://packages.graylog2.org/repo/packages/graylog-6.1-repository_latest.deb sudo dpkg -i graylog-6.1-repository_latest.deb
Теперь выполните приведённую ниже команду ‘apt‘, чтобы обновить индекс пакетов Ubuntu и установить пакет ‘graylog-server‘. Введите ‘Y‘, чтобы подтвердить установку.
sudo apt update && sudo apt install graylog-server
После установки вам нужно будет сгенерировать два пароля для Graylog: password_secret и root_password_sha2.
Чтобы сгенерировать «password_secret», выполните приведенную ниже команду. Не забудьте скопировать сгенерированный пароль.
< /dev/urandom tr -dc A-Z-a-z-0-9 | head -c${1:-96};echo;
Чтобы получить пароль ‘root_password_sha2‘, выполните следующую команду. При появлении запроса введите свой пароль и скопируйте сгенерированный пароль sha.
echo -n "Enter Password: " && head -1 </dev/stdin | tr -d '\n' | sha256sum | cut -d" " -f1
Теперь, когда вы сгенерировали пароли Graylog, вам нужно изменить файл конфигурации Graylog.
Откройте файл ‘/etc/graylog/server/server.conf‘ в следующем редакторе ‘nano‘.
sudo nano /etc/graylog/server/server.conf
Вставьте сгенерированный пароль в поля ‘password_secret‘ и ‘root_password_sha2‘. Затем измените ‘http_bind_address‘ по умолчанию на свой локальный IP-адрес.
password_secret = PoMVlAiuJLA89rNAtLWz0PF7TLwX3JEQD7zp1kfOGAwdr0P-oQ0HKoebpevpPK2Q2quvjmqHQreP1yQYTX0jDjIe3JcBU5J root_password_sha2 = a7fdfe53e2a13cb602def10146388c65051c67e60ee55c051668a1c709449111 http_bind_address = 192.168.10.60:9000
Сохраните файл и выйдите из редактора.
Затем выполните следующую команду ‘systemctl‘ для перезагрузки менеджера systemd, запуска и включения службы ‘graylog-server‘.
sudo systemctl daemon-reload sudo systemctl enable --now graylog-server
Наконец, проверьте статус graylog-server с помощью команды. Если установка прошла успешно, вы увидите, что Graylog работает на вашем сервере Ubuntu.
sudo systemctl status graylog-server
Настройка Graylog
На этом этапе Graylog работает на вашем сервере Ubuntu. Теперь вы настроите Graylog через веб-браузер.
Прежде чем получить доступ к Graylog, проверьте файл журнала ‘/var/log/graylog-server/server.log‘ с помощью приведенной ниже команды. Скопируйте ссылку для настройки Graylog и вставьте ее в свой браузер.
cat /var/log/graylog-сервер/server.log
Теперь вы увидите страницу начальной настройки Graylog. Здесь вы настроите SSL-сертификаты для узла данных Graylog следующим образом:
- Введите название вашей организации
Введите количество дней до истечения срока действия сертификата
Пропустите этап настройки узла данных сертификата
После завершения нажмите «Продолжить запуск», чтобы продолжить.
Теперь вы будете перенаправлены на страницу входа в Graylog. Введите имя пользователя по умолчанию ‘admin‘ и пароль из опции ‘root_password_sha2‘.
Если вы введете правильное имя пользователя и пароль, вы увидите панель управления Graylog, как показано ниже:
Заключение
Поздравляем! Вы завершили установку Graylog на сервере Ubuntu 24.04. Вы запустили Graylog с MongoDB 7.x и Elasticsearch 7.x. Теперь вы можете создавать новые входные данные Graylog, чтобы отправлять журналы на сервер Graylog.