Как установить Graylog на Ubuntu 24.04

at0mSec

Graylog – это бесплатная платформа управления журналами с открытым исходным кодом, позволяющая собирать, хранить и анализировать данные и журналы в режиме реального времени. Она написана на Java и построена на базе других программ с открытым исходным кодом, таких как MongoDB и Elasticsearch.

Graylog – одна из самых эффективных, быстрых и гибких платформ централизованного управления журналами. С помощью Graylog вы можете отправлять и анализировать структурированные и неструктурированные данные практически из любого источника.

В этом руководстве вы узнаете, как установить сервер Graylog на Ubuntu 24.04. Вы будете устанавливать Graylog с MongoDB и Elasticsearch.

Установка MongoDB

Чтобы установить Graylog, сначала необходимо установить MongoDB. На данный момент Graylog поддерживает только MongoDB v5.x-7.x, и в этом разделе вы будете устанавливать MongoDB 7.x на ваш сервер Ubuntu.

Сначала выполните приведенную ниже команду для установки некоторых зависимостей.

sudo apt install apt-transport-https gnupg2 uuid-runtime pwgen curl dirmngr -y

установить deps

Теперь добавьте GPG-ключ и репозиторий MongoDB с помощью следующей команды. В этом примере вы будете использовать MongoDB 7.0 для предыдущей версии Ubuntu.

curl -fsSL  | \
sudo gpg -o /usr/share/keyrings/mongodb-server-7.0.gpg \
--dearmor
echo "deb [ arch=amd64,arm64 signed-by=/usr/share/keyrings/mongodb-server-7.0.gpg ] https://repo.mongodb.org/apt/ubuntu jammy/mongodb-org/7.0 multiverse" | \
sudo tee /etc/apt/sources.list.d/mongodb-org-7.0.list

добавить репозиторий

После добавления репозитория выполните команду ‘apt’, приведенную ниже, чтобы обновить индекс пакетов Ubuntu и установить MongoDB в вашу систему.

sudo apt update && sudo apt install mongodb-org

Введите ‘Y‘, чтобы подтвердить установку.

установить mongodb

После завершения установки запустите и включите ‘mongod‘ с помощью следующей команды.

sudo systemctl enable --now mongod

Наконец, проверьте службу ‘mongod‘, чтобы убедиться, что служба запущена. Вы должны увидеть, что MongoDB запущена в вашей системе.

sudo systemctl status mongod

проверить mongodb

Установка Elasticsearch

После установки MongoDB необходимо установить Elasticsearch. А перед этим необходимо сначала установить Java OpenJDK, а затем установить Elasticsearch. На данный момент сервер Graylog поддерживает только Elasticsearch v7.x.

Чтобы установить Java OpenJDK, запустите команду ‘apt‘ команда ниже. Введите ‘Y‘, чтобы продолжить установку.

sudo apt install openjdk-11-jre-headless

установить java

Теперь проверьте версию Java с помощью следующей команды. Вы должны увидеть, что Java OpenJDK 11 установлена.

java --version

После установки Java вы готовы к установке Elasticsearch.

проверить java

Выполните приведенную ниже команду, чтобы добавить ключ GPG и репозиторий для Elasticsearch. В этом примере вы будете устанавливать Elasticsearch 7.x.

wget -qO -  | apt-key add -
echo "deb https://artifacts.elastic.co/packages/oss-7.x/apt stable main" | \
sudo tee -a /etc/apt/sources.list.d/elastic-7.x.list

добавить репозиторий

Теперь выполните приведенную ниже команду, чтобы обновить репозиторий Ubuntu и установить пакет ‘elasticsearch’. Ввод ‘Y‘ для подтверждения.

sudo apt update && sudo apt install elasticsearch

установить elasticsearch

После установки откройте файл конфигурации Elasticsearch ‘/etc/elasticsearch/elasticsearch.yml‘ с помощью ‘nano‘ редактор.

sudo nano /etc/elasticsearch/elasticsearch.yml

Измените стандартный ‘имя кластера‘ и установите значение ‘action.auto_create_index‘ к ‘ложь‘, например, следующее:

cluster.name: graylog
action.auto_create_index: false

Сохраните файл и выйдите из редактора.

Теперь запустите программу ‘systemctl‘ команда ниже, чтобы перезагрузить менеджер systemd, запустить и включить службу Elasticsearch.

sudo systemctl daemon-reload
sudo systemctl enable --now elasticsearch

запуск и включение elasticsearch

Запустив Elasticsearch, вы можете проверить его с помощью следующей команды.

sudo systemctl status elasticsearch

Следующий вывод подтверждает, что Elasticsearch запущен.

проверить elasticsearch

Вы также можете проверить Elasticsearch с помощью ‘curl‘ команда ниже.

curl -X GET http://localhost:9200

Если Elasticsearch запущен, вы можете увидеть номер его версии и имя кластера, как показано ниже.

проверка с помощью curl

Установка Graylog

Теперь, когда вы установили MongoDB и Elasticsearch, вы готовы к установке Graylog на ваш сервер. В этом разделе вы установите Graylog и настроите аутентификацию по паролю для вашей установки.

Загрузите пакет репозитория Graylog, используя ‘wget‘ и установите его с помощью команды ‘dpkg‘ команда выглядит следующим образом:

wget https://packages.graylog2.org/repo/packages/graylog-6.1-repository_latest.deb
sudo dpkg -i graylog-6.1-repository_latest.deb

добавить репо

Теперь запустите команду ‘apt‘ команда ниже, чтобы обновить индекс пакетов Ubuntu и установить ‘graylog-server‘ пакет. Введите ‘Y‘, чтобы подтвердить установку.

sudo apt update && sudo apt install graylog-server

установить graylog

После установки вам нужно сгенерировать два пароля, ‘пароль_секретt’ и ‘root_password_sha2‘, для Graylog.

Чтобы сгенерировать ‘пароль_секрет‘, выполните приведенную ниже команду. Обязательно скопируйте сгенерированный пароль.

For the ‘root_password_sha2‘ password, run the following command. Enter your password when prompted and copy the generated sha password.

echo -n "Enter Password: " && head -1 /stdin | tr -d '\n' | sha256sum | cut -d" " -f1

Теперь, когда вы сгенерировали пароли Graylog, измените конфигурационный файл Graylog.

пароль geenrate

Откройте файл ‘/etc/graylog/server/server.conf‘ со следующим ‘nano‘ редактор.

sudo nano /etc/graylog/server/server.conf

Вставьте сгенерированный пароль для обоих ‘пароль_секрет‘ и ‘root_password_sha2‘. А затем измените значение по умолчанию ‘http_bind_address‘ к вашему локальному IP-адресу.

password_secret = PoMVlAiuJLA89rNAtLWz0PF7TLwX3JEQD7zp1kfOGAwdr0P-oQ0HKoebpevpPK2Q2quvjmqHQreP1yQYTX0jDjIe3JcBU5J
root_password_sha2 = a7fdfe53e2a13cb602def10146388c65051c67e60ee55c051668a1c709449111
http_bind_address = 192.168.10.60:9000

Сохраните файл и выйдите из редактора.

Далее выполните следующую команду ‘systemctl‘ команда для перезагрузки менеджера systemd, запуска и включения ‘graylog-server‘ сервис.

sudo systemctl daemon-reload
sudo systemctl enable --now graylog-server

запустить adn enable

И наконец, проверьте значение ‘graylog-server‘ статус с помощью команды. Если установка прошла успешно, вы увидите, что Graylog запущен на вашем сервере Ubuntu.

sudo systemctl status graylog-server

проверить статус

Настройка Graylog

На данный момент Graylog запущен на вашем сервере Ubuntu. Теперь вы настроите Graylog через веб-браузер.

Прежде чем получить доступ к Graylog, проверьте файл журнала ‘/var/log/graylog-server/server.log‘ с помощью следующей команды. Скопируйте ссылку для настройки установки Graylog и вставьте ее в браузер.

cat /var/log/graylog-server/server.log

проверить журнал

Теперь вы увидите страницу начальной настройки Graylog. Здесь вы настроите SSL-сертификаты для узла данных Graylog, как показано ниже:

  • Введите название вашей организации
    Введите дни истечения срока действия сертификата
    Пропустить предоставление узла данных сертификата

После завершения нажмите кнопку ‘Возобновить запуск‘, чтобы продолжить.

установка грейлога

Теперь вы будете перенаправлены на страницу входа в Graylog. Введите пользователя по умолчанию ‘admin‘ с паролем внутри ‘root_password_sha2‘ опция.

вход

Если вы ввели правильное имя пользователя и пароль, вы получите приборную панель Graylog, как показано ниже:

приборная панель

Заключение

Поздравляем! Вы завершили установку Graylog на сервер Ubuntu 24.04. Вы запустили Graylog с MongoDB 7.x и Elasticsearch 7.x. Теперь вы можете создавать новые входы Graylog, чтобы отправлять журналы на ваш сервер Graylog.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *