Jak zainstalować narzędzie do zarządzania dziennikiem GrayLog w systemach RHEL

GrayLog to wiodące w branży rozwiązanie zarządzania dziennikiem OpenSource do gromadzenia, przechowywania, indeksowania i analizy danych w czasie rzeczywistym z aplikacji i niezliczonej liczby urządzeń w infrastrukturach IT, takich jak serwery, routery i zapory ogniowe.

Graylog Pomaga uzyskać więcej wglądu w dane zebrane, łącząc wiele wyszukiwań szczegółowych analizy i raportowania. Wykrywa również zagrożenia i możliwą nikczemną aktywność, prowadząc głęboką analizę dzienników ze zdalnych źródeł.

Narzędzie do zarządzania dziennikiem GrayLog

Graylog obejmuje następujące czynności:

• Serwer GrayLog - jest to główny serwer i służy do przetwarzania dzienników.
• Interfejs internetowy GrayLog - jest to aplikacja przeglądarki, która rzuca spojrzenie na dane i dzienniki zebrane z wielu punktów końcowych.
• MongoDB - serwer bazy danych NoSQL do przechowywania danych konfiguracyjnych.
• ElasticSearch - Jest to bezpłatny i open source Wyszukiwanie i analizy, który analizuje surowe dane z różnych źródeł.

Architektura GrayLog akceptuje każdy rodzaj strukturalnych danych, w tym ruch sieciowy i dzienniki z następujących:

• Syslog (TCP, UDP, AMQP, Kafka).
• AWS - AWS Logs, CloudTrail i Flowlogs.
• Netflow (UDP).
• GELF (TCP, UDP, AMQP, Kafka).
• Łoś - bicie i logstash.
• JSON ścieżka z HTTP API.

Niektóre z gigantycznych firm technologicznych, które wdrażają Graylog W swoich stosach technologicznych obejmują Fiverr, Circleci, Baza rzemieślnicza, I Bitpanda.

W tym przewodniku pokażemy, jak zainstalować Graylog Narzędzie do zarządzania dziennikiem RHEL 8 i dystrybucje oparte na REL Almalinux, Centos Stream, I Rocky Linux.

Krok 1: Zainstaluj repozytor

Na początek potrzebujesz niezbędnych pakietów, które będą pomocne podczas poruszania się wraz z tym przewodnikiem. Najpierw zainstaluj Epel repozytorium, które zapewnia bogaty zestaw pakietów oprogramowania Rhel I Rhel rozkłady.

$ sudo dnf instaluj https: // dl.Fedoraproject.ORG/PUB/EPEL/EPEL-Relase-Latest-8.Noarch.RPM 

Następnie zainstaluj następujące pakiety, które będą wymagane po drodze.

$ sudo dnf instaluj -y pwgen wget curl perl-digest-sha 

Krok 2: Zainstaluj Java (OpenJDK) w RHEL

Jeden z warunków instalacji Graylog Jest Java 8 a później wersje. Tutaj zainstalujemy najnowszą wersję LTS Jawa który jest Java 11 które będą dostarczone przez OpenJdk 11.

Dlatego uruchom następujące polecenie, aby zainstalować OpenJdk.

$ sudo dnf instalacja java-11-openjdk java-11-openjdk-devel -y 

To instaluje Jawa zależności i wiele innych zależności.

Po zakończeniu instalacji zweryfikuj zainstalowaną wersję.

$ java -version 

Sprawdź Javę w Rhel

Krok 3: Zainstaluj ElasticSearch w RHEL

Elasticsearch to bezpłatny i otwarty silnik wyszukiwania i analizy, który obsługuje szeroką gamę danych, w tym dane ustrukturyzowane, nieustrukturyzowane, numeryczne, geoprzestrzenne i tekstowe.

Jest kluczowym składnikiem stosu sprężystego, znanego również jako JELEŃ KANADYJSKI (Elasticsearch, logstash i kibana) i jest powszechnie używany do prostych interfejsów API REST, skalowalności i prędkości.

Graylog wymaga Elasticsearch 6.X lub 7.X. Zainstalujemy Elasticsearch 7.X która jest najnowszym wydaniem w momencie publikowania tego przewodnika.

Utwórz Elasticsearch plik repozytorium.

$ sudo vim /etc /yum.repozytorium.D/ElasticSearch.Repo 

Następnie wklej następujące wiersze kodu do pliku.

[ElasticSearch-7.x] nazwa = repozytorium elasticsearch dla 7.x pakiety baseurl = https: // artefakty.elastyczny.co/pakiety/OSS-7.x/yum gpgcheck = 1 gpgkey = https: // artefakty.elastyczny.CO/GPG-KEY-ELASTICSEARK Włączone = 1 autorefresh = 1 typ = rpm-md 

Zapisz zmiany i wyjdź.

Następnie zainstaluj Elasticsearch Korzystanie z menedżera pakietów DNF, jak pokazano.

$ sudo dnf instaluj elasticsearch-oS 

Zainstaluj ElasticSearch w RHEL

Dla Elasticsearch pracować z Graylog, Wymagane jest kilka zmian. Więc otwórz ElasticSearch.yml plik.

$ sudo vim/etc/elasticsearch/elasticsearch.yml 

Zaktualizuj nazwę klastra do GrayLog, jak pokazano.

grupa.Nazwa: Graylog 

Zapisz zmiany i wyjdź.

Następnie ponownie załaduj konfigurację SystemD Manager.

$ sudo systemctl demon-powód 

Następnie włącz i zacznij Elasticsearch usługa poprzez uruchomienie następujących poleceń.

$ sudo systemCtl Włącz ElasticSearch.Service $ sudo systemctl start elasticsearch.praca 

Włącz ElasticSearch w RHEL

Elasticsearch słucha portu 9200 Domyślnie w celu przetworzenia Http upraszanie. Możesz to potwierdzić, wysyłając KĘDZIOR żądanie jak pokazano.

$ curl -x get http: // localhost: 9200 

Sprawdź ElasticSearch w RHEL

Krok 4: Zainstaluj MongoDB w Rhel

Graylog używa a MongoDB Serwer bazy danych do przechowywania danych konfiguracyjnych.

Zainstalujemy MongoDB 4.4, ale najpierw utwórz plik konfiguracyjny dla MongoDB.

$ sudo vim /etc /yum.repozytorium.D/MongoDB-org-4.Repo 

Następnie wklej następującą konfigurację.

[MONGODB-ORG-4] Nazwa = MongoDB Repository Baseurl = https: // repo.MongoDB.org/yum/redhat/8/mongoDB-org/4.4/x86_64/gpgcheck = 1 włączony = 1 gpgkey = https: // www.MongoDB.ORG/STATIC/PGP/SERVER-4.4.Asc 

Zapisz zmiany i wyjdź.

Następnie zainstaluj MongoDB następująco.

$ sudo dnf instaluj MongoDB-org 

Po zainstalowaniu uruchom i włącz MongoDB uruchomienie uruchamiania systemu.

$ sudo systemctl start mongood $ sudo systemctl włącz Mongood 

Aby sprawdzić wersję MongoDB, uruchom polecenie:

$ Mongo --version 

Sprawdź MongoDB w Rhel

Krok 5: Zainstaluj serwer GrayLog w RHEL

Z zainstalowanymi wszystkimi komponentami wymagań wstępnych, teraz zainstaluj Graylog Uruchamiając następujące polecenia.

$ sudo rpm -uvh https: // pakiety.GrayLog2.org/repo/pakiety/GrayLog-4.2-Repository_latest.RPM $ sudo dnf instaluj graylog-server 

Możesz zweryfikować instalację Graylog jak pokazano:

$ rpm -Qi Graylog -Server 

Sprawdź Graylog w Rhel

Teraz zacznij i włącz Graylog serwer, aby zacząć od czasu rozruchu.

$ sudo systemctl start graylog-server.Service $ sudo systemCtl Włącz GrayLog-Server.praca 

Krok 6: Skonfiguruj serwer GrayLog w RHEL

Dla Graylog Aby funkcjonować zgodnie z oczekiwaniami, wymagane są dodatkowe kroki. Musisz zdefiniować następujące parametry w pliku konfiguracyjnym:

root_password_sha2 hasło_secret root_username http_bind_address 

Zdefiniujemy te zmienne w /ETC/GrayLog/Server/Server.conf plik, który jest domyślnym plikiem konfiguracyjnym.

root_password_sha2 to hasło do skrótu dla użytkownika root. Aby go wygenerować, uruchom następujące polecenie. [chroniony e -mail] to tylko symbol zastępczy. Zapraszam do określania własnego hasła.

$ echo -n [e -mail chroniony] | Shasum -A 256 

Wyjście

68E865AF8DDBEFFCC494508BB6181167FCCF0BB7C0CAB421C54EF3067BDD8D85D 

Zanotuj to hasło i zapisz je gdzieś.

Następnie wygeneruj hasło_secret następująco:

$ pwgen -n 1 -s 96 

Wyjście

T1etsSecy0Qe4Jig3t6e96a5qlu5Whs9p5Slivex9kyBwjc3wkhn4246oqGype4BtlxaaiOCM7LYUSD9BGAONQXKTSTJUQBF 

Ponownie, zwróć uwagę na to hasło.

Następnie otwórz plik konfiguracyjny GrayLog.

$ sudo vim/etc/grayLog/Server/Server.conf 

Wklej wartości wygenerowane root_password_sha2 I hasło_secret jak pokazano.

root_username = admin root_password_sha2 = 68e865af8ddbeffc494508bb6181167fccf0bb7c0cab421c54ef3067bdd8d85d password_secret = T1EtSsecY0QE4jIG3t6e96A5qLU5WhS9p5SliveX9kybWjC3WKhN4246oqGYPe4BTLXaaiOcM7LyuSd9bGAonQxkTsTjuqBf 

Dodatkowo Make Graylog Dostępne przez użytkowników zewnętrznych, ustawiając http_bind_address Parametr w następujący sposób.

http_bind_address = 0.0.0.0: 9000 

Ponadto skonfiguruj strefę czasową dla Graylog serwer.

root_timeZone = UTC 

Zapisz i wyjdź z pliku konfiguracyjnego.

Aby zastosować zmiany, uruchom ponownie Graylog serwer.

$ sudo systemctl restart graylog-server.praca 

Możesz potwierdzić z plików dziennika i sprawdzić, czy Graylog działa zgodnie z oczekiwaniami.

$ tygn -f/var/log/greyLog -Server/Server.dziennik 

Następujące dane wyjściowe na ostatnim wierszu pokazuje, że wszystko jest w porządku.

Sprawdź status GrayLog w Rhel

Graylog słucha w porcie 9000 który zapewnia dostęp do interfejsu internetowego. Więc otwórz ten port w zaporze.

$ sudo firewall-cmd --add-port = 9000/tcp-permanent $ sudo firewall-cmd-rela jest 

Krok 7: Uzyskaj dostęp do interfejsu internetowego GrayLog

Mieć dostęp Graylog, Przeglądaj następujący adres URL.

http: // server-ip: 9000 lub http: // nazwa domeny: 9000 

Zaloguj się ze swoim administratorem nazwy użytkownika i hasłem skonfigurowanym dla root_password_sha2 w serwer.conf plik.

GrayLog Login użytkownika

Po zalogowaniu powinieneś zobaczyć następujący pulpit nawigacyjny.

Dashboard GrayLog

Stąd możesz kontynuować analizę danych i dzienników zebranych z różnych źródeł danych.

Graylog nadal jest popularnym scentralizowanym rozwiązaniem do zarządzania dziennikami dla programistów i zespołów operacyjnych. Analiza zebranych danych zapewnia głęboki wgląd w stan roboczy różnych aplikacji i urządzeń oraz pomaga znaleźć błędy i optymalizować operacje IT.

To wszystko dla tego przewodnika. W tym samouczku wykazaliśmy, jak zainstalować Serwer GrayLog O Linux opartych na RHEL.