Kif Tinstalla l-Għodda ta 'Ġestjoni ta' Log Graylog fuq Sistemi RHEL


Graylog hija soluzzjoni ta’ ġestjoni ta’ log opensource ewlieni fl-industrija għall-ġbir, il-ħażna, l-indiċjar, u l-analiżi ta’ data f’ħin reali minn applikazzjonijiet u numru kbir ta’ apparati f’infrastrutturi tal-IT bħal servers, routers u firewalls.

Graylog jgħinek tikseb aktar għarfien dwar id-dejta miġbura billi tikkombina tfittxijiet multipli għal analiżi u rappurtar dettaljati. Tiskopri wkoll theddid u attività ħażina possibbli billi twettaq analiżi profonda tar-zkuk minn sorsi remoti.

Graylog jinkludi dan li ġej:

  • Is-Server Graylog – Dan huwa s-server prinċipali u jintuża għall-ipproċessar ta' zkuk.
  • L-interface tal-web Graylog – Din hija applikazzjoni tal-browser li tagħti daqqa t'għajn lejn id-dejta u r-reġistri miġbura minn endpoints multipli.
  • MongoDB – Server ta' database NoSQL għall-ħażna tad-dejta tal-konfigurazzjoni.
  • ElasticSearch – Din hija magna ta' tfittxija u analitika b'xejn u b'sors miftuħ li teżamina u tindika dejta mhux ipproċessata minn sorsi varji.

L-arkitettura ta’ Graylog taċċetta kwalunkwe tip ta’ data strutturata inkluż traffiku tan-netwerk u zkuk minn dawn li ġejjin:

  • Syslog (TCP, UDP, AMQP, Kafka).
  • AWS – zkuk AWS, CloudTrail, & FlowLogs.
  • Netflow (UDP).
  • GELF (TCP, UDP, AMQP, Kafka).
  • ELK – Beats, u Logstash.
  • Path JSON mill-API HTTP.

Uħud mill-kumpaniji tat-teknoloġija ġganti li jimplimentaw Graylog fil-munzell tat-teknoloġija tagħhom jinkludu Fiverr, CircleCI, CraftBase u BitPanda.

F'din il-gwida, ser nuruk kif tinstalla l-għodda tal-ġestjoni tal-log Graylog fuq RHEL 8 u distros ibbażati fuq RHEL bħal AlmaLinux, CentOS Stream, u Rocky Linux.

Pass 1: Installa EPEL Repo u Pakketti Prerekwiżiti

Biex tibda, għandek bżonn xi pakketti essenzjali li se jkunu ta 'għajnuna hekk kif timxi flimkien ma' din il-gwida. L-ewwel, installa r-repożitorju EPEL li jipprovdi sett għani ta 'pakketti ta' softwer għal distribuzzjonijiet RHEL & RHEL.

$ sudo dnf install https://dl.fedoraproject.org/pub/epel/epel-release-latest-8.noarch.rpm

Sussegwentement, installa l-pakketti li ġejjin li se jkunu meħtieġa tul it-triq.

$ sudo dnf install -y pwgen wget curl perl-Digest-SHA

Pass 2: Installa Java (OpenJDK) f'RHEL

Wieħed mill-prerekwiżiti għall-installazzjoni ta' Graylog huwa Java 8 u verżjonijiet ta' wara. Hawnhekk, se ninstallaw l-aħħar rilaxx LTS ta 'Java li huwa Java 11 li se jiġi pprovdut minn OpenJDK 11.

Għalhekk, mexxi l-kmand li ġej biex tinstalla OpenJDK.

$ sudo dnf install java-11-openjdk java-11-openjdk-devel -y

Dan jinstalla dipendenzi Java u għadd ta 'dipendenzi oħra.

Ladarba l-installazzjoni titlesta, ivverifika l-verżjoni installata.

$ java -version

Pass 3: Installa Elasticsearch f'RHEL

Elasticsearch hija magna ta' tfittxija u analitika b'xejn u open source li tieħu ħsieb varjetà wiesgħa ta' data inkluż data strutturata, mhux strutturata, numerika, ġeospazjali u testwali.

Huwa komponent ewlieni tal-munzell Elastic, magħruf ukoll bħala ELK (Elasticsearch, Logstash, u Kibana), u huwa użat ħafna għall-APIs REST sempliċi, iskalabbiltà u veloċità tiegħu.

Graylog jeħtieġ Elasticsearch 6.x jew 7.x. Aħna se ninstallaw Elasticsearch 7.x li huwa l-aħħar rilaxx fil-ħin tal-pubblikazzjoni ta 'din il-gwida.

Oħloq il-fajl tar-repożitorju ta' Elasticsearch.

$ sudo vim  /etc/yum.repos.d/elasticsearch.repo

Sussegwentement, waħħal il-linji ta 'kodiċi li ġejjin mal-fajl.

[elasticsearch-7.x]
name=Elasticsearch repository for 7.x packages
baseurl=https://artifacts.elastic.co/packages/oss-7.x/yum
gpgcheck=1
gpgkey=https://artifacts.elastic.co/GPG-KEY-elasticsearch
enabled=1
autorefresh=1
type=rpm-md

Issejvja l-bidliet u ħruġ.

Sussegwentement, installa Elasticsearch billi tuża l-maniġer tal-pakkett DNF kif muri.

$ sudo dnf install elasticsearch-oss

Biex Elasticsearch jaħdem ma' Graylog, huma meħtieġa ftit bidliet. Allura tiftaħ il-fajl elasticsearch.yml.

$ sudo vim /etc/elasticsearch/elasticsearch.yml

Aġġorna l-isem tal-cluster għal Graylog kif muri.

cluster.name: graylog

Issejvja l-bidliet u ħruġ.

Imbagħad erġa' tagħbija l-konfigurazzjoni tal-maniġer tas-systemd.

$ sudo systemctl daemon-reload

Sussegwentement, ippermetti u ibda s-servizz Elasticsearch billi tħaddem il-kmandi li ġejjin.

$ sudo systemctl enable elasticsearch.service
$ sudo systemctl start elasticsearch.service

Elasticsearch jisma' l-port 9200 awtomatikament sabiex jipproċessa t-talbiet HTTP. Tista' tikkonferma dan billi tibgħat talba CURL kif muri.

$ curl -X GET http://localhost:9200

Pass 4: Installa MongoDB f'RHEL

Graylog juża server tad-database MongoDB biex jaħżen id-dejta tal-konfigurazzjoni.

Se ninstallaw MongoDB 4.4, iżda l-ewwel, oħloq fajl ta 'konfigurazzjoni għal MongoDB.

$ sudo vim /etc/yum.repos.d/mongodb-org-4.repo

Imbagħad paste l-konfigurazzjoni li ġejja.

[mongodb-org-4]
name=MongoDB Repository
baseurl=https://repo.mongodb.org/yum/redhat/8/mongodb-org/4.4/x86_64/
gpgcheck=1
enabled=1
gpgkey=https://www.mongodb.org/static/pgp/server-4.4.asc

Issejvja l-bidliet u ħruġ.

Sussegwentement, installa MongoDB kif ġej.

$ sudo dnf install mongodb-org

Ladarba tkun installata, ibda u ppermetti lil MongoDB jibda mal-istartjar tas-sistema.

$ sudo systemctl start mongod
$ sudo systemctl enable mongod

Biex tiċċekkja l-verżjoni MongoDB, mexxi l-kmand:

$ mongo --version

Pass 5: Installa s-Server Graylog f'RHEL

Bil-komponenti kollha tal-prerekwiżiti installati, issa installa Graylog billi tħaddem il-kmandi li ġejjin.

$ sudo rpm -Uvh https://packages.graylog2.org/repo/packages/graylog-4.2-repository_latest.rpm
$ sudo dnf install graylog-server

Tista' tivverifika l-installazzjoni ta' Graylog kif muri:

$ rpm -qi graylog-server

Issa, ibda u ppermetti lis-server Graylog jibda fil-ħin tal-ibbutjar.

$ sudo systemctl start graylog-server.service
$ sudo systemctl enable  graylog-server.service

Pass 6: Ikkonfigura s-Server Graylog f'RHEL

Biex Graylog jiffunzjona kif mistenni, huma meħtieġa xi passi addizzjonali. Trid tiddefinixxi l-parametri li ġejjin fil-fajl tal-konfigurazzjoni:

root_password_sha2 
password_secret
root_username
http_bind_address

Aħna ser niddefinixxu dawn il-varjabbli fil-fajl /etc/graylog/server/server.conf li huwa l-fajl tal-konfigurazzjoni default.

Il-root_password_sha2 hija l-password tal-hash għall-utent root. Biex tiġġeneraha ħaddem il-kmand li ġej. L-[email  huwa biss placeholder. Ħossok liberu li tispeċifika l-password tiegħek.

$ echo -n [email  | shasum -a 256

Output

68e865af8ddbeffc494508bb6181167fccf0bb7c0cab421c54ef3067bdd8d85d

Ħu nota ta 'din il-password u ssejvjaha x'imkien.

Sussegwentement, iġġenera l-password_secret kif ġej:

$ pwgen -N 1 -s 96

Output

T1EtSsecY0QE4jIG3t6e96A5qLU5WhS9p5SliveX9kybWjC3WKhN4246oqGYPe4BTLXaaiOcM7LyuSd9bGAonQxkTsTjuqBf

Għal darb'oħra, ħu nota ta 'din il-password hashed.

Sussegwentement, iftaħ il-fajl tal-konfigurazzjoni Graylog.

$ sudo vim /etc/graylog/server/server.conf

Past il-valuri li ġġenerajt għal root_password_sha2 u password_secret kif muri.

root_username = admin
root_password_sha2 = 68e865af8ddbeffc494508bb6181167fccf0bb7c0cab421c54ef3067bdd8d85d
password_secret = T1EtSsecY0QE4jIG3t6e96A5qLU5WhS9p5SliveX9kybWjC3WKhN4246oqGYPe4BTLXaaiOcM7LyuSd9bGAonQxkTsTjuqBf

Barra minn hekk, agħmel Graylog aċċessibbli minn utenti esterni billi tistabbilixxi l-parametru http_bind_address kif ġej.

http_bind_address = 0.0.0.0:9000

Ukoll, ikkonfigura ż-żona tal-ħin għas-server Graylog.

root_timezone = UTC

Issejvja u oħroġ mill-fajl tal-konfigurazzjoni.

Biex tapplika l-bidliet, ibda mill-ġdid is-server Graylog.

$ sudo systemctl restart graylog-server.service

Tista' tikkonferma mill-log files u tiċċekkja jekk Graylog huwiex qed jaħdem kif mistenni.

$ tail -f /var/log/graylog-server/server.log

L-output li ġej fl-aħħar linja juri li kollox huwa tajjeb.

Graylog jisma fuq il-port 9000 li jipprovdi aċċess għall-interface tal-web. Allura, iftaħ dan il-port fuq il-firewall.

$ sudo firewall-cmd --add-port=9000/tcp  --permanent
$ sudo firewall-cmd --reload

Pass 7: Aċċessa Graylog Web UI

Biex taċċessa Graylog, ibbrawżja l-URL li ġej.

http://server-ip:9000
OR
http://domain-name:9000

Idħol bl-username admin tiegħek u l-password konfigurata għal root_password_sha2 fil-fajl server.conf.

Ladarba tkun illoggjat, għandek tara d-dashboard li ġej.

Minn hawn, tista 'tipproċedi bl-analiżi tad-dejta u z-zkuk miġbura minn diversi sorsi ta' dejta.

Graylog ikompli jkun soluzzjoni popolari ta 'ġestjoni ċentralizzata ta' zkuk għall-iżviluppaturi u timijiet ta 'operazzjoni. Analiżi tad-dejta miġbura tipprovdi għarfien profond dwar l-istat tax-xogħol ta 'diversi applikazzjonijiet u apparati u tgħin biex issib żbalji u tottimizza l-operazzjonijiet tal-IT.

Dan huwa kollu għal din il-gwida. F'dan it-tutorja, urejna kif tinstalla Graylog Server fuq distribuzzjonijiet Linux ibbażati fuq RHEL.