Поиск по сайту:

Как настроить централизованную систему журналов с помощью Graylog в Debian 11


Это руководство существует для этих версий ОС

  • Debian 11 (Bullseye)
  • Debian 9 (Stretch)

На этой странице

  1. Предпосылки
  2. Установка базовых пакетов Зависимости
  3. Установка MongoDB
  4. Установка Elasticsearch
  5. Установка и настройка сервера Graylog
  6. Настройка Nginx в качестве обратного прокси-сервера
  7. Заключение

Graylog — это бесплатная платформа управления журналами с открытым исходным кодом для сбора, хранения и анализа ваших данных и журналов в реальном времени. Он написан на Java и построен поверх другого программного обеспечения с открытым исходным кодом, такого как MongoDB и Elasticsearch. Graylog предоставляет одну из самых эффективных, быстрых и гибких платформ централизованного управления журналами.

Используя Graylog, вы можете отправлять и анализировать как структурированные, так и неструктурированные данные практически из любого источника данных.

В этом руководстве мы покажем вам, как установить и настроить Graylog в качестве централизованной системы ведения журнала в системе Debian 11. Кроме того, мы покажем вам, как настроить веб-сервер Nginx в качестве обратного прокси-сервера для сервера Graylog.

Предпосылки

  • Сервер Linux Debian 11 — не менее 4 ГБ ОЗУ.
  • Пользователь без полномочий root с правами sudo или администратора.

Установить основные пакеты Зависимости

На первом этапе этого руководства вы будете устанавливать некоторые основные зависимости пакетов, включая Java и GnuPG.

Прежде чем начать установку каких-либо пакетов, запустите приведенную ниже команду apt, чтобы обновить текущий репозиторий Debian.

sudo apt update

Теперь установите некоторые зависимости пакета для Graylog, используя приведенную ниже команду.

sudo apt install apt-transport-https openjdk-11-jre-headless uuid-runtime pwgen dirmngr gnupg wget

Введите Y, чтобы подтвердить установку, и нажмите ENTER, чтобы продолжить.

После завершения установки перейдите к следующему шагу, чтобы установить еще одну зависимость Graylog MongoDB и Elasticsearch.

Установка MongoDB

Graylog использует базу данных NoSQL MongoDB для хранения всей информации о конфигурации Graylog, потоках, предупреждениях, пользователях, кэшированных потоках и т. д. Вся информация, которую вы видите в веб-интерфейсах Graylog, хранится в базе данных MongoDB NoSQL, за исключением самих журналов. Текущая версия Graylog требует MongoDB v4 до v4.4.

Выполните приведенные ниже команды, чтобы добавить ключ MongoDB GPG и репозиторий на ваш сервер Debian.

wget -qO - https://www.mongodb.org/static/pgp/server-4.2.asc | sudo apt-key add -
echo "deb http://repo.mongodb.org/apt/debian buster/mongodb-org/4.2 main" | sudo tee /etc/apt/sources.list.d/mongodb-org-4.2.list

Обновите репозиторий Debian с помощью следующей команды.

sudo apt update

Как вы можете видеть на скриншоте ниже, репозиторий MongoDB добавлен на ваш сервер Debian.

Затем установите пакеты MongoDB, используя приведенную ниже команду apt.

sudo apt install -y mongodb-org

Начнется установка базы данных MongoDB.

После завершения установки MongoDB выполните следующую команду, чтобы перезагрузить диспетчер systemd. Это необходимо перед запуском службы MongoDB.

sudo systemctl daemon-reload

Теперь выполните приведенную ниже команду, чтобы включить и перезапустить службу MongoDB. Служба MongoDB запустится и будет автоматически запускаться при запуске системы.

sudo systemctl enable mongod.service
sudo systemctl restart mongod.service

Проверьте службу MongoDB, используя следующую команду.

sudo systemctl status mongod

Как вы можете видеть на следующем снимке экрана, служба MongoDB запущена и включена.

Теперь перейдите к следующему этапу установки Elasticsearch.

Установка эластичного поиска

После установки базы данных MongoDB NoSQL вам потребуется установить Elasticsearch. Сервер Graylog использует Elasticsearch в качестве поисковой системы для поиска журналов. В текущей версии Graylog требуется Elasticsearch v6.8 или v7.x до v7.10.

Перед установкой Elasticsearch выполните следующую команду, чтобы добавить ключ Elasticsearch GPG и репозиторий в вашу систему Debian.

wget -qO - https://artifacts.elastic.co/GPG-KEY-elasticsearch | sudo apt-key add -
echo "deb https://artifacts.elastic.co/packages/oss-7.x/apt stable main" | sudo tee -a /etc/apt/sources.list.d/elastic-7.x.list

Теперь обновите и обновите свой репозиторий Debian.

sudo apt update

На приведенном ниже снимке экрана репозиторий Elasticsearch добавлен на сервер Debian.

Затем установите пакеты Elasticsearch с помощью приведенной ниже команды apt.

sudo apt install elasticsearch-oss

Начнется установка Elasticsearch.

После завершения установки выполните приведенную ниже команду, чтобы добавить конфигурацию в файл конфигурации Elasticsearch /etc/elasticsearch/elasticsearch.yml. Следующая конфигурация создаст новый кластер Elasticsearch с именем \graylog\ и отключит автоматическое создание индекса в Elasticsearch.

sudo tee -a /etc/elasticsearch/elasticsearch.yml > /dev/null << EOT
cluster.name: graylog
action.auto_create_index: false
EOT

Прежде чем запускать службу Elasticsearch, выполните приведенную ниже команду, чтобы перезагрузить диспетчер systemd.

sudo systemctl daemon-reload

Теперь выполните следующие команды, чтобы включить и перезапустить службу Elasticsearch. Это добавит Elasticsearch в автозагрузку системы и запустит службу.

sudo systemctl enable elasticsearch.service
sudo systemctl restart elasticsearch.service

Наконец, проверьте службу Elasticsearch с помощью приведенной ниже команды.

sudo systemctl status elasticsearch.service

На приведенном ниже снимке экрана вы увидите, что служба Elasticsearch запущена и включена.

Кроме того, вы также можете проверить установку Elasticsearch, обратившись к Elasticsearch с помощью curl. Elasticsearch работает на порту по умолчанию 9200, поэтому выполните приведенную ниже команду curl.

curl http://localhost:9200/

Теперь вы увидите выходное сообщение, подобное следующему. Elasticsearch v7.x с кластером Graylog установлен на сервере Debian.

Теперь вы готовы установить сервер Graylog на сервер Debian.

Установка и настройка сервера Graylog

Чтобы начать установку Graylog, вам необходимо загрузить файл .deb репозитория Graylog и установить его с помощью следующей команды.

wget https://packages.graylog2.org/repo/packages/graylog-4.2-repository_latest.deb
sudo dpkg -i graylog-4.2-repository_latest.deb

Теперь обновите и обновите свой репозиторий Debian.

sudo apt update

Ниже вы можете видеть, что репозиторий Graylog добавлен на сервер Debian.

Затем установите пакеты Graylog на свой сервер Debian, используя приведенную ниже команду apt.

sudo apt install graylog-server graylog-enterprise-plugins graylog-integrations-plugins graylog-enterprise-integrations-plugins

Теперь начнется установка Graylog.

После завершения установки выполните следующую команду, чтобы сгенерировать пароль Graylog password_secret, который будет использоваться для шифрования и добавления пароля. Параметр Graylog password_secret должен совпадать, если вы используете кластер Graylog с несколькими узлами. Кроме того, вам понадобится случайная строка и число не менее 65 для Graylog password_secret.

pwgen -N 1 -s 96

Теперь скопируйте сгенерированную случайную строку для Graylog password_secret в свою заметку.

Затем выполните приведенную ниже команду, чтобы сгенерировать зашифрованный пароль с помощью sha256. Этот пароль будет использоваться в качестве пароля администратора Graylog.

echo -n "Enter Password: " && head -1 </dev/stdin | tr -d '\n' | sha256sum | cut -d" " -f1

Введите свой пароль для пароля администратора Graylog. И вы увидите сгенерированный зашифрованный пароль sha256. Скопируйте зашифрованный пароль в свою заметку.

Затем отредактируйте конфигурацию сервера Graylog /etc/graylog/server/server.conf с помощью редактора nano.

sudo nano /etc/graylog/server/server.conf

Скопируйте и вставьте сгенерированный Graylog password_secret и пароль администратора Graylog в root_password_sha2, как показано ниже.

password_secret = Eqq4M8EHpKbGfgi6C05t19hJ5WmF3nkVS8yjwclYHtvwsTXRulNHEsaWuy85QUTNIUc6b2ovfRjvR7yD5kwNTPAJCCw39T3d
root_password_sha2 = 05a181f00c157f70413d33701778a6ee7d2747ac18b9c0fbb8bd71a62dd7a223

Сохраните и закройте файл, когда закончите.

Теперь выполните приведенную ниже команду, чтобы перезагрузить диспетчер systemd перед запуском службы сервера Graylog.

sudo systemctl daemon-reload

Теперь включите и запустите службу сервера Graylog с помощью приведенной ниже команды.

sudo systemctl enable graylog-server.service
sudo systemctl start graylog-server.service

Сервер Graylog будет запущен, проверьте его с помощью следующей команды.

sudo systemctl status graylog-server.service

На приведенном ниже снимке экрана вы увидите, что служба сервера Graylog запущена и включена.

Вы завершили установку Graylog, которая выполняется на локальном хосте по умолчанию с портом 9000.

Настройте Nginx в качестве обратного прокси

После завершения установки и настройки сервера Graylog теперь вы будете устанавливать и настраивать веб-сервер Nginx в качестве обратного прокси-сервера для сервера Graylog. Это позволяет вам запускать Graylog с вашим доменным именем.

Установите пакет Nginx на свой сервер Debian, используя следующую команду.

sudo apt install nginx -y

Начнется установка.

После завершения установки создайте новый виртуальный хост Nginx или серверные блоки /etc/nginx/sites-available/graylog.conf с помощью редактора nano.

sudo nano /etc/nginx/sites-available/graylog.conf

Добавьте следующую конфигурацию Nginx. Это позволит использовать Nginx в качестве обратного прокси-сервера для сервера Graylog, работающего по адресу http://127.0.0.1:9000/.

server
{
    listen 80 default_server;
    listen [::]:80 default_server ipv6only=on;
    server_name graylog.example.org;

    location / {
      proxy_set_header Host $http_host;
      proxy_set_header X-Forwarded-Host $host;
      proxy_set_header X-Forwarded-Server $host;
      proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
      proxy_set_header X-Graylog-Server-URL http://$server_name/;
      proxy_pass       http://127.0.0.1:9000;
    }
}

Сохраните и закройте файл, когда закончите.

Затем выполните следующую команду, чтобы активировать конфигурацию graylog.conf. Затем проверьте конфигурацию nginx.

sudo ln -s /etc/nginx/sites-available/graylog.conf /etc/nginx/sites-enabled/
sudo nginx -t

Убедитесь, что вы получили выходное сообщение, такое как успешное тестирование.

Наконец, перезапустите службу Nginx, чтобы применить новую конфигурацию виртуального хоста, используя следующую команду.

sudo systemctl restart nginx

Теперь откройте веб-браузер и посетите доменное имя для URL-адреса установки Graylog.

Ниже вы увидите страницу входа в Graylog. Введите пользователя-администратора по умолчанию с вашим паролем (root_password_sha2) и нажмите кнопку «Войти».

После входа в систему вы увидите панель управления Graylog, как показано ниже.

Вы завершили запуск Graylog под обратным прокси-сервером Nginx.

Заключение

Поздравляем! теперь вы завершили установку сервера Graylog и настройку сервера Debian 11. Кроме того, вы выполнили настройку Nginx в качестве обратного прокси-сервера для сервера Graylog.