Almalinux

Cara Memasang Alat Pengurusan Log Graylog pada Sistem RHEL

Cara Memasang Alat Pengurusan Log Graylog pada Sistem RHEL

GrayLog adalah penyelesaian pengurusan log openSource yang terkemuka untuk mengumpul, menyimpan, mengindeks, dan menganalisis data masa nyata dari aplikasi dan pelbagai peranti dalam infrastruktur IT seperti pelayan, router, dan firewall.

Graylog Membantu anda memperoleh lebih banyak pandangan mengenai data yang dikumpulkan dengan menggabungkan pelbagai carian untuk analisis dan pelaporan terperinci. Ia juga mengesan ancaman dan kemungkinan aktiviti jahat dengan menjalankan analisis yang mendalam mengenai log dari sumber terpencil.

Alat Pengurusan Log GrayLog

Graylog terdiri daripada perkara berikut:

  • Pelayan Graylog - ini adalah pelayan utama dan digunakan untuk memproses log.
  • Antara Muka Web GrayLog - Ini adalah aplikasi penyemak imbas yang memberi pandangan pada data dan log yang dikumpulkan dari pelbagai titik akhir.
  • MongoDB - Pelayan Pangkalan Data NoSQL untuk menyimpan data konfigurasi.
  • Elasticsearch - Ini adalah enjin carian dan analisis percuma dan sumber terbuka yang menghancurkan dan mengindeks data mentah dari pelbagai sumber.

Senibina GrayLog menerima apa -apa jenis data berstruktur termasuk trafik rangkaian dan log dari yang berikut:

  • SYSLOG (TCP, UDP, AMQP, Kafka).
  • AWS - AWS Log, CloudTrail, & FlowLogs.
  • NetFlow (UDP).
  • Gelf (TCP, UDP, AMQP, Kafka).
  • Rusa - rentak, dan logstash.
  • JSON PATH dari HTTP API.

Beberapa syarikat teknologi gergasi yang melaksanakan Graylog dalam tumpukan teknologi mereka termasuk Fiverr, CircleCi, Craftbase, dan Bitpanda.

Dalam panduan ini, kami akan menunjukkan kepada anda cara memasang Graylog alat pengurusan log pada RHEL 8 dan distro berasaskan RHEL seperti Almalinux, CentOS Stream, dan Rocky Linux.

Langkah 1: Pasang pakej repo dan prasyarat epel

Untuk memulakan, anda memerlukan beberapa pakej penting yang akan membantu semasa anda bergerak bersama dengan panduan ini. Pertama, pasang Epel repositori yang menyediakan satu set pakej perisian yang kaya untuk RHEL & RHEL pengagihan.

$ sudo DNF Pasang https: // dl.Fedoraproject.org/pub/epel/epel-release-latest-8.Noarch.rpm

Seterusnya, pasang pakej berikut yang diperlukan di sepanjang jalan.

$ sudo dnf install -y pwgen wget curl perl-digest-sha

Langkah 2: Pasang Java (OpenJDK) di RHEL

Salah satu prasyarat memasang Graylog adalah Java 8 dan kemudian versi. Di sini, kami akan memasang pelepasan LTS terkini Java iaitu Java 11 yang akan disediakan oleh OpenJDK 11.

Oleh itu, jalankan arahan berikut untuk dipasang OpenJDK.

$ sudo dnf memasang java-11-openjdk java-11-openjdk-devel -y

Ini dipasang Java kebergantungan dan pelbagai ketergantungan lain.

Setelah pemasangan selesai, sahkan versi yang dipasang.

$ java -versi
Periksa java di rhel

Langkah 3: Pasang Elasticsearch di RHEL

Elasticsearch adalah enjin carian dan analisis sumber terbuka dan terbuka yang mengendalikan pelbagai data termasuk data berstruktur, tidak berstruktur, berangka, geospatial, dan tekstual.

Ia adalah komponen utama timbunan elastik, juga dikenali sebagai Rusa (Elasticsearch, Logstash, dan Kibana), dan digunakan secara meluas untuk API, skalabilitas dan kelajuannya yang mudah.

Graylog memerlukan Elasticsearch 6.x atau 7.x. Kami akan memasang Elasticsearch 7.x yang merupakan pelepasan terkini pada masa menerbitkan panduan ini.

Buat Elasticsearch fail repositori.

$ sudo vim /etc /yum.repos.D/Elasticsearch.repo

Seterusnya, tampal baris kod berikut ke fail.

[Elasticsearch-7.X] Nama = Repositori Elasticsearch untuk 7.X Packages BaseUrl = https: // artifak.elastik.Co/Pakej/OSS-7.x/yum gpgcheck = 1 gpgkey = https: // artifak.elastik.CO/GPG-KEY-ELASTICSEARK ENDLED = 1 AUTOREFRESH = 1 TYPE = RPM-MD

Simpan perubahan dan keluar.

Seterusnya, pasang Elasticsearch Menggunakan Pengurus Pakej DNF seperti yang ditunjukkan.

$ sudo dnf memasang elasticsearch-oss
Pasang Elasticsearch di RHEL

Untuk Elasticsearch untuk bekerja dengan Graylog, Beberapa perubahan diperlukan. Jadi buka Elasticsearch.yml fail.

$ sudo vim/etc/elasticsearch/elasticsearch.yml

Kemas kini Nama Kluster ke GrayLog seperti yang ditunjukkan.

kelompok.Nama: Graylog

Simpan perubahan dan keluar.

Kemudian muat semula konfigurasi Pengurus Systemd.

$ sudo systemctl daemon-reload

Seterusnya, aktifkan dan mulakan Elasticsearch perkhidmatan dengan menjalankan arahan berikut.

$ sudo systemctl membolehkan elasticsearch.Perkhidmatan $ sudo Systemctl Mula Elasticsearch.perkhidmatan
Dayakan Elasticsearch di RHEL

Elasticsearch mendengarkan port 9200 Secara lalai untuk memproses Http permintaan. Anda boleh mengesahkan ini dengan menghantar a Curl permintaan seperti yang ditunjukkan.

$ curl -x Dapatkan http: // localhost: 9200
Semak Elasticsearch di RHEL

Langkah 4: Pasang MongoDB di RHEL

Graylog menggunakan a Mongodb pelayan pangkalan data untuk menyimpan data konfigurasi.

Kami akan memasang MongoDB 4.4, Tetapi pertama, buat fail konfigurasi untuk Mongodb.

$ sudo vim /etc /yum.repos.D/MongoDB-ORG-4.repo

Kemudian tampalkan konfigurasi berikut.

[mongodb-org-4] name = mongodb repository baseUrl = https: // repo.Mongodb.org/yum/redhat/8/mongodb-org/4.4/x86_64/gpgcheck = 1 enabled = 1 gpgkey = https: // www.Mongodb.org/statik/pgp/pelayan-4.4.ASC

Simpan perubahan dan keluar.

Seterusnya, pasang Mongodb seperti berikut.

$ sudo dnf memasang mongodb-org

Setelah dipasang, mulakan dan aktifkan MongoDB untuk memulakan permulaan sistem.

$ sudo Systemctl Mula Mongod $ sudo Systemctl Dayakan Mongod

Untuk memeriksa versi MongoDB, jalankan arahan:

$ mongo --version
Periksa MongoDB di RHEL

Langkah 5: Pasang Server Graylog di RHEL

Dengan semua komponen prasyarat dipasang, kini pasang Graylog dengan menjalankan arahan berikut.

$ sudo rpm -uvh https: // pakej.Graylog2.org/repo/pakej/kelabu-4.2-repositori_latest.rpm $ sudo dnf pasang kelabu-pelayan

Anda boleh mengesahkan pemasangan Graylog seperti yang ditunjukkan:

$ rpm -qi Graylog -server
Periksa Graylog di RHEL

Sekarang, mulakan dan aktifkan Graylog pelayan untuk memulakan masa boot.

$ sudo Systemctl Mula Graylog-Server.perkhidmatan $ sudo systemctl membolehkan kelabu-pelayan.perkhidmatan

Langkah 6: Konfigurasikan pelayan Graylog di RHEL

Untuk Graylog Untuk berfungsi seperti yang dijangkakan, beberapa langkah tambahan diperlukan. Anda perlu menentukan parameter berikut dalam fail konfigurasi:

root_password_sha2 password_secret root_username http_bind_address

Kami akan menentukan pembolehubah ini di /etc/graylog/pelayan/pelayan.Conf fail yang merupakan fail konfigurasi lalai.

The root_password_sha2 adalah kata laluan hash untuk pengguna root. Untuk menjana ia menjalankan arahan berikut. The [dilindungi e -mel] hanya pemegang tempat. Jangan ragu untuk menentukan kata laluan anda sendiri.

$ echo -n [dilindungi e -mel] | Shasum -A 256

Pengeluaran

68e865af8ddbeffc494508bb61811167fccf0bb7c0cab421c54ef3067bdd8d85d

Perhatikan kata laluan ini dan simpan di suatu tempat.

Seterusnya, menjana password_secret seperti berikut:

$ pwgen -n 1 -s 96

Pengeluaran

T1etssecy0qe4jig3t6e96a5qlu5whs9p5slivex9kybwjc3wkhn4246oqgype4btlxaaiocm7lyusd9bgaonqxktstjuqbf

Sekali lagi, ambil perhatian kata laluan hashed ini.

Seterusnya, buka fail konfigurasi GrayLog.

$ sudo vim/etc/graylog/pelayan/pelayan.Conf

Tampal nilai yang anda hasilkan root_password_sha2 dan password_secret seperti yang ditunjukkan.

root_username = admin root_password_sha2 = 68e865af8ddbeffc494508bb6181167fccf0bb7c0cab421c54ef3067bdd8d85d password_secret = T1EtSsecY0QE4jIG3t6e96A5qLU5WhS9p5SliveX9kybWjC3WKhN4246oqGYPe4BTLXaaiOcM7LyuSd9bGAonQxkTsTjuqBf

Di samping itu, buat Graylog boleh diakses oleh pengguna luaran dengan menetapkan http_bind_address parameter seperti berikut.

http_bind_address = 0.0.0.0: 9000

Juga, konfigurasikan zon waktu untuk Graylog pelayan.

root_timeZone = UTC

Simpan dan keluar dari fail konfigurasi.

Untuk menerapkan perubahan, mulakan semula Graylog pelayan.

$ sudo Systemctl Mulakan semula Graylog-Server.perkhidmatan

Anda boleh mengesahkan dari fail log dan periksa sama ada Graylog berjalan seperti yang diharapkan.

$ ekor -f/var/log/kelabu -pelayan/pelayan.log

Output berikut pada baris terakhir menunjukkan bahawa semuanya baik -baik saja.

Semak status Graylog dalam RHEL

Graylog mendengar di port 9000 yang menyediakan akses ke antara muka web. Oleh itu, buka port ini di firewall.

$ sudo firewall-cmd --add-port = 9000/tcp --permanent $ sudo firewall-cmd-reload

Langkah 7: Akses UI Web Graylog

Untuk mengakses Graylog, Semak url berikut.

http: // server-ip: 9000 atau http: // domain-name: 9000

Log masuk dengan pentadbir nama pengguna anda dan kata laluan yang dikonfigurasikan untuk root_password_sha2 di dalam pelayan.Conf fail.

Log masuk pengguna GrayLog

Setelah log masuk, anda harus melihat papan pemuka berikut.

Dashboard Graylog

Dari sini, anda boleh meneruskan dengan menganalisis data dan log yang dikumpulkan dari pelbagai sumber data.

Graylog terus menjadi penyelesaian pengurusan log terpusat yang popular untuk pemaju dan pasukan operasi. Analisis data yang dikumpulkan memberikan pandangan mendalam ke dalam keadaan kerja pelbagai aplikasi dan peranti dan membantu mencari kesilapan dan mengoptimumkan operasi IT.

Itu semua untuk panduan ini. Dalam tutorial ini, kami telah menunjukkan cara memasang Pelayan GrayLog mengenai pengagihan Linux berasaskan RHEL.